互联网基础设施与软件安全年度发展研究报告(2020)

本书是一本互联网基础设施与软件安全研究报告，通过对本书的阅读，读者能全面了解互联网基础设施与软件安全的现状和发展趋势。 本书在对我国互联网基础设施与软件安全进行了梳理和总结，供各行业互联网基础设施安全建设提供参考，本书的出版具有一定的研究意义。 本书针对近期新的安全技术问题进行分析，紧跟国家网络安全思想主题，具有一定的社会意义。

《互联网基础设施与软件安全年度发展研究报告（2020）》是由清华大学（网络研究院）-奇安信集团网络安全联合研究中心推出的网络安全领域年度报告。全书针对我国互联网基础设施安全、物联网安全、软件供应链安全以及恶意样本共4个方面进行梳理和总结，在对当今互联网基础设施与软件安全领域发展状况进行分析的同时，也对未来网络安全相关技术的走势进行了预测。通过跟踪互联网安全技术热点，剖析网络发展中的安全隐患，对重点问题进行了专题研究，以期为各行业的互联网基础设施安全建设提供可参考的数据和相关分析。本书适合对互联网基础设施安全感兴趣的读者阅读。

引言：网络异域，风险同天1
0．1路由系统依赖运营商之间的诚实与协作2
0．2域名系统的依赖关系3
0．3公钥证书系统的依赖关系5
0．4软件供应链的依赖性7
0．5总结8
第1章我国互联网基础设施安全测量与分析报告10
1．1互联网基础设施安全的范畴与形势10
1．1．1互联网基础设施安全是网络空间安全的基础10
1．1．2互联网基础设施安全的评估方法11
1．2域名系统安全现状12
1．2．1开放递归解析服务器的全球部署情况12
1．2．2域名解析加密递归服务的全球部署情况15
1．2．3域名权威服务器的安全隐患17
1．3HTTPS部署与公钥证书现状23
1．3．1主流网络服务HTTPS的部署情况23
1．3．2TLS证书误用及滥用现象显著31
1．4内容分发网络安全现状38
1．4．1CDN服务部署情况38
1．4．2CDN的新型攻击方法40
1．5电子邮件安全拓展协议现状41
1．5．1邮件安全协议部署现状与问题41
1．5．2主流邮件服务安全性分析50
1．6IPv6安全现状53
1．6．1IPv6发展趋势53
1．6．2IPv6安全策略56
1．7互联网基础设施安全前景展望58
1．7．1域名系统安全隐患不容忽视58
1．7．2HTTPS和公钥证书由支持部署转向规范部署58
1．7．3CDN安全存在隐患，需特别关注新型攻击59
1．7．4电子邮件服务安全需要激励措施或强制规定59
1．7．5IPv6安全是下一代互联网基础设施安全的基石59
第2章物联网安全测量与分析报告60
2．1物联网安全发展趋势60
2．1．1物联网漏洞报告趋势60
2．1．2物联网漏洞攻击态势61
2．1．3软件安全防护机制的部署情况62
2．1．42020年上半年物联网重大安全事件总结63
2．2物联网安全威胁模型分析64
2．2．1物联网角色定义64
2．2．2物联网攻击面分析65
2．3固件安全65
2．3．1代码漏洞66
2．3．2组件安全68
2．3．3配置安全69
2．3．4代码复用70
2．3．5捆绑恶意代码70
2．3．6小结71
2．4密码学安全71
2．4．1密码学漏洞分类72
2．4．2密码学误用漏洞分类73
2．4．3密码学误用整体分析75
2．4．4非对称加密密钥误用分析77
2．4．5小结78
2．5云安全78
2．5．1云边界服务安全（API安全）79
2．5．2云后端服务安全82
2．5．3云场景专题—FOTA安全84
2．5．4小结85
2．6通信安全85
2．6．1MQTT协议85
2．6．2CoAP协议90
2．6．3SSL/TLS协议93
2．6．4BLE协议99
2．6．5Wi-Fi协议103
2．7App安全106
2．7．1App自动化分析106
2．7．2安全风险108
2．7．3小结111
2．8总结111
第3章软件供应链安全分析报告112
3．1背景介绍112
3．2分析方法与分析系统介绍116
3．2．1技术方案116
3．2．2关键技术118
3．3代码特性分析119
3．3．1Windows系统120
3．3．2macOS系统123
3．3．3Android系统124
3．4软件空间的元素异常分析127
3．4．1软件空间的复杂性127
3．4．2异常的域名依赖129
3．4．3异常的模块依赖132
3．4．4基础模块安全隐患135
3．5软件元素之间的风险调用138
3．5．1WindowsDLL劫持139
3．5．2macOSDYLIB劫持141
3．5．3Android组件劫持142
3．6固件生态安全评估144
3．6．1Android预装App分析144
3．6．2Android安全补丁滞后评估147
3．6．3固件相似性分析149
3．7总结151
第4章恶意样本分析报告152
4．1恶意文件样本集简介153
4．2样本分析过程153
4．2．1天穹沙箱介绍154
4．2．2沙箱分析面临的挑战155
4．3恶意样本分析概况156
4．3．1样本文件类型156
4．3．2样本文件大小158
4．3．3样本相似性分析159
4．3．4样本压缩与内嵌160
4．3．5样本破损率161
4．3．6动态行为分析162
4．3．7网络行为分析164
4．4PE样本分析167
4．4．1样本签名信息167
4．4．2样本编译时间168
4．4．3样本加壳分析169
4．4．4样本采用的编译器169
4．4．5对沙箱分析环境的需求171
4．5ELF样本分析171
4．5．1样本属性信息分析171
4．5．2对沙箱分析环境的需求172
4．5．3样本持久化方式分析173
4．6APK样本分析174
4．6．1样本加固与保护分析174
4．6．2样本签名分析175
4．6．3样本签名时间分析176
4．6．4样本权限分析177
4．6．5对沙箱分析环境的需求177
4．6．6样本动态行为分析178
4．7文档样本分析180
4．7．1Office文档180
4．7．2Office漏洞利用分析181
4．7．3PDF文档182
4．7．4PDF漏洞利用分析183
4．8典型案例分析184
4．8．1勒索软件样本184
4．8．2复合文件型样本192
4．8．3文件附加型样本195
4．9恶意代码的发展趋势与分析挑战198
4．9．1样本编写语言的多元化199
4．9．2老树开新花199
4．9．3新功能应用的安全风险200