即使是最先进的威胁也依赖于未修补的系统

毫无疑问，普通网络罪犯是一种威胁，从卧室黑客到勒索软件集团，网络犯罪正在造成巨大的破坏。但与著名黑客组织和国家资助组织等更专业的组织所使用的工具相比，普通网络犯罪分子所使用的工具和构成的威胁都相形见绌。

事实上，这些工具几乎无法检测到–；并防范。BVP47就是一个很好的例子。在本文中，我们将概述这种强大的国家赞助的恶意软件多年来是如何悄悄传播的，它是如何巧妙地伪装自己的，并解释这对企业的网络安全意味着什么。

BVP47背后的背景故事

说来话长，适合写间谍小说。今年早些时候，一个名为盘古实验室（PanguLab）的中国网络安全研究小组发布了一份56页的深入报告，其中包含一段恶意代码，研究小组决定将其命名为BVP47（因为BVP是代码中最常见的字符串，47因为加密算法使用的是数字0x47）。

该报告真正深入，提供了全面的技术解释，包括对恶意软件代码的深入研究。据透露，盘古实验室最初是在2013年对一家机构的计算机安全状况进行调查时发现该代码的，该机构很可能是中国政府部门–；但该组织为何等到现在才公布这份报告，目前还没有说明。

作为一个关键因素，该报告将BVP47与“等式组”联系起来，而“等式组”又与美国国家安全局（NSA）的定制访问操作单元联系在一起。盘古实验室得出这一结论，是因为它在影子经纪人（TSB）集团发布的一组文件中发现了一个私钥，可以触发BVP47。TSB将该文件转储归因于方程组，这将我们带回了NSA。你只是无法编造，这是一个适合电影的故事。

BVP47在实践中是如何工作的？

但关于间谍vs.间谍的故事已经够多了。BVP47对网络安全意味着什么？本质上，它是目标网络系统的一个非常聪明和隐蔽的后门，使运营它的一方能够未经授权访问数据–；这样做是不被发现的。

该工具有几个非常复杂的技巧，部分依赖于大多数系统管理员不会寻找的利用行为–；只是因为没有人认为任何技术工具都会这样。它通过在一个没人会想到的地方建立一个隐蔽的通信通道，即TCP SYN数据包，开始了其感染途径。

特别阴险的是，BVP47能够监听其他服务使用的同一网络端口，这是很难做到的。换句话说，它可能非常难以检测，因为很难区分使用端口的标准服务和使用该端口的BVP47。

防御这条攻击线的困难

在另一种情况下，该工具定期测试其运行的环境，并在运行过程中擦除其轨迹，隐藏自己的进程和网络活动，以确保没有留下任何痕迹。

此外，BVP47跨多个加密层使用多种加密方法进行通信和数据过滤。它是高级持久性威胁组织使用的顶级工具的典型代表–；包括国家赞助的团体。

综上所述，这相当于一种极其复杂的行为，甚至可以逃避最精明的网络安全防御。防火墙、高级威胁保护等功能最强大的组合仍然无法阻止BVP47等工具。这些后门之所以如此强大，是因为财力雄厚的国家行为者可以投入资源来开发它们。

一如既往，良好的实践是您的最佳选择

当然，这并不意味着网络安全团队应该放弃。有一系列活动至少会使参与者更难部署BVP47之类的工具。意识和检测活动是值得追求的，因为严密的监控仍然可能捕获远程入侵者。类似地，蜜罐可以将攻击者吸引到无害的目标#8211；在那里他们很可能会暴露自己。

然而，有一种简单的首要原则方法可以提供大量的保护。即使是像BVP47这样的复杂工具也依赖于未修补的软件来获得立足点。因此，始终修补所依赖的操作系统和应用程序是您的第一个调用端口。

应用补丁本身并不是最具挑战性的步骤–；但正如我们所知，每次快速修补都是大多数组织都在努力解决的问题。

当然，这正是像BVP47背后的团队这样的威胁行为者所依赖的，因为他们在等待他们的目标，而目标不可避免地会因资源紧张而无法持续修补，最终错过关键修补程序。

有压力的团队可以做什么？自动实时修补是一种解决方案，因为它消除了手动修补的需要–；并消除了耗时的重启和相关的停机时间。在无法进行实时修补的情况下，可以使用漏洞扫描来突出显示最关键的修补程序。

不是第一个–；而且不是最后一次

此类深入报道对于帮助我们了解重大威胁非常重要。但在这份公开报告之前，BVP47已经运行了很多年，同时，无数系统遭到了攻击–；包括世界各地备受瞩目的目标。

我们不知道有多少类似的工具–；我们所知道的是，我们需要做些什么来保持一贯强大的网络安全态势：监视、分散注意力和修补。即使团队无法缓解所有威胁，他们至少可以进行有效的防御，使成功操作恶意软件变得尽可能困难。