1、、乌克 兰等地。 需要特别注意主要是,C&C 服务器地域分布很广,现在一些小国家也逐渐占据了一些 比例、如巴拿马与荷兰都占据了 3.5%。另外其他地域占据了 9.4%,这中间主要包括了中 国、法国、罗马尼亚、巴西、捷克、伊拉克、土耳其、泰国、马来西亚等国。 需要特别注意的是:部分攻击者为了更好的隐藏自己,通常会使用除本国以外的其他 地域 C&C 服务器,此类攻击者很难被定位到具体位置。 六、载荷 C&C 服务器顶级域名分析 通过统计载荷直接使用域名访问 C&C 服务器的漏洞文档,发现攻击者更喜欢.com 的 顶级域名作为 C&C 服务器,其占比高达 61.1%,远远大于其他顶级域名,其原因可能
2、在于. com 域名是国际顶级域名,非国家域名,在国际上使用较早、运用范围广且申请容易,所 以很多攻击者选择此类域名作为 C&C 服务器。令人比较诧异的是尼日利亚国家顶级域名. ng,排名第二,占比为 10.4%,该域名在日常生活中所见不多,但是在漏洞文档载荷中该 域名出现的频率较高,排名第三位的是.org 域名,占比为 6.8%。 需要特别注意的是,顶级域名.cn 占比达到了 2.6%,该类型的部分 C&C 地址可能是攻 击者控制的中转服务器地址。另外,.info、.ru、.xyz 等顶级域名在所有 C&C 地址服务器中 也排名靠前,在其他类别中主要包括.us、.ga、.me、.cz、.ro
3、、.in、.net 等顶级域名。 11 七、载荷 C&C 服务器端口分析 通过统计载荷直接使用 IP 地址访问 C&C 服务器的漏洞文档,发现很多攻击者偏向于 使用 443 和 80 端口,占比居前二位,分别为 32.8%与 25.4%,其主要原因在于这两个端口 都是浏览网页的常用端口,攻击者使用该端口与 C&C 服务器进行通信时,通常不会被防 火墙、网关等设备拦截,攻击者正是利用这一点,才倾向于使用这两个端口进行数据传输。 此外,443 端口主要用于 HTTPS 服务,是提供加密和通过安全端口传输的另一种 HTTP, 使用该端口安全性很高,攻击者用 443 端口传输重要数据,不易被察觉,这说
4、明了使用漏 洞文档进行攻击的攻击者很注重自身安全。排名第三的是 8080 端口,占比为 18.3%, 8080 端口广泛被用于 WWW 代理服务,可以实现网页浏览,攻击者也常利用该端口进行 攻击。 需要特别注意的是,攻击者也常使用 4444 与 4455 端口,这两个端口之所以常被使用, 是由于网络上广泛流传的 Metasploit 漏洞攻击教程的示例大多使用了这两个端口,部分攻 击者依据教程配置荷载时也就同样使用了这两个端口。5552 端口是部分后门程序常使用的 端口,另外其他类别主要包括 55555、8000、689 等端口。 12 第三章典型漏洞文档案例分析 一、经久不衰之 CVE-20
5、12-0158 CVE-2012-0158 漏洞是一个栈溢出漏洞,该漏洞是由于微软 Office 办公软件在处理 MSCOMCTL 的 ListView 控件时检查失误造成的,攻击者可以通过精心构造的数据控制程 序 EIP 实现任意代码执行。 CVE-2012-0158 虽说 2012 年的漏洞,但其稳定性非常高,其加载恶意代码方式可以为 远程下载,也可以附带在文档中释放执行,在一些进行了网络隔离的内网环境中因为系统 升级慢,其攻击效果往往比新漏洞效果更好,因此该漏洞很受攻击者青睐,被利用的比例 一直很高,从第一章统计的被利用漏洞占比的情况也可以看出该漏洞经久不衰,其占比达 到了 17.5%。
6、 下面是一封附带 CVE-2012-0158 漏洞文档的邮件,其中附带的文件名为 Mariette Clermont IMM 2017.doc,安全意识薄弱的用户通过邮件内容以及附带的文件名会以为会正 常的公司资料,从而打开附件中招。我们通过分析该文档,发现文档中嵌入了恶意载荷, 通过 CVE-2012-0158 漏洞触发。 调试该载荷,发现该漏洞触发后会连接远端地址,下载恶意程序,存放在临时目录。 通过分析下载文件,知道该文件为 VB 程序,运行后常见挂起的自身程序,注入恶意 PE,该 PE 会利用开源程序 CMemoryExecute、WebBrowserPass、mailpv 盗取用户信
7、息,如 浏览器、邮箱、ftp 等帐号密码。 在该实例中发现加载恶意代码的方式是通过远端下载恶意程序,这种方式在漏洞文档 13 中利用非常普遍,通过第一章统计的漏洞文档载荷类型上看,运用该方式占到了 68.5%。 这种方式的好处是下载程序可以由作者自由更换,云控下载方式在漏洞文档中非常广泛。 另外,需要说明是通过漏洞文档来盗取用户信息越来越普遍,并且有上涨的趋势,这 间接说明了用户数据泄漏现象越来越严重。在此也提醒广大用户注意自身数据的保护,加 强安全意识,对于未知邮件需要谨慎处理。 二、稳如泰山之 CVE-2015-1641 CVE-2015-1641 漏洞为类型混淆漏洞,word 在解析 d
8、ocx 文档处理 displacedByCustom XML 属性时未对 customXML 对象进行验证,可以传入其他标签对象进行处理,造成类型 混淆,导致任意内存写入,最终经过精心构造的标签以及对应的属性值可以造成远程任意 代码执行。 该漏洞影响非常广泛,覆盖 Office 2007 SP3,Office 2010 SP2(32 位和 64 位) ,Offi ce 2013 SP1(32 位和 64 位) ,Office 2013RT SP1,Word for Mac 2011 以及 Office 在 Sh arePoint 服务器上的 Office 2010/2013 和 Office
9、Web 2010/2013 等应用,并且 CVE-2015-16 41 这个漏洞触发非常稳定,因此很受攻击者喜爱,在 2017 年上半年被利用的漏洞统计中 占比达到 11.1%,并且从第一章的被利用的漏洞变化趋势图也可以看出,该漏洞每月出现 的次数趋于稳定。 例如下面是一个利用 CVE-2015-1641 漏洞的 RTF 文档,该 RTF 文档内嵌 3 个 OLE 对 象,第一个是加载 ActiveX/COM objects otkloadr.WRAssembly.1,通过这个调用 MSVCR7 1.DLL,MSVCR71.DLL 在编译时不加/DYNAMICBASE 选项,这样库内容的加载地
10、址不 变,用于绕过 ASLR 防护。其余两个分别是嵌入的 DOCX 文档,第一个 DOCX 通过 Hea p Spray 定位 shellcode 并 ROP 过 DEP 防护(office2007 中并未使用 ROP 过 DEP),第二个 D OCX 则是触发漏洞的模块,通过漏洞覆盖 MSVCR71.DLL 中的全局函数地址指针跳转到 s hellcode 中执行。 通过调试该文档发现,加载恶意代码的方式不是直接的下载文件,而是通过将 shellco de 注入到 svchost.exe 系统进程中,从而执行恶意操作。 14 在所统计的文档型漏洞文档中,发现有相当部分漏洞文档都是通过自身载荷
11、注入到系 统进程,然后执行恶意功能,或直接在内存中加载恶意程序,不会存放在用户电脑中。因 此,在今后很长一段时间内可能都会存在这种基于内存攻击的方式,而不是简单的下载文 件并运行。 三、不拘小节之 CVE-2015-2545 CVE-2015-2545 是 Microsoft Office 在处理 EPS 文件时存在内存破坏,攻击者可利用此 漏洞构造恶意 Office 文件,允许恶意 Office 中的特殊的 Encapsulated PostScript (EPS)图形 文件任意执行代码。 该漏洞影响 Microsoft Office 2007 SP3、Microsoft Office 20
12、10 SP2、Microsoft Office 201 3 SP1、Microsoft Office 2013 RT SP1、Microsoft Office for Mac 2011、Microsoft Office for M ac 2016 和 Microsoft Office Compatibility Pack SP3,并且该漏洞有相对应的模版文档,我们 发现攻击者在利用 CVE-2015-2545 漏洞时大部分都是基于该模版配置生成。漏洞模版界面 如下。 15 打开漏洞文档,首先弹出上图所示的模版内容,接着会加载嵌入的 EPS 文件,该文件 是个 PostScript 脚本。Pos
13、tScript 脚本在处理 forall 指令时,存在 Use-After-Free。通过精心 构造 PostScript 脚本能导致任意内存写入,最终造成远程任意代码执行。下图是 PostScript 脚本文件中的触发漏洞的 forall 语句。 利用该模版的样本首先会释放 plugin.dll 并加载执行,plugin.dll 运行后又会释放 igfxe.exe 并执行,igfxe.exe 主要功能是下载其他的恶意程序并执行。利用该模版的样本只 有 igfxe.exe 中的下载地址不同,其它流程一致。同时还发现利用该漏洞模版进行下载的恶 意程序大部分都为远控木马,如 NanoCore,Lu
14、minosityLink RAT 等。 此外,需要引起重视的是,在 Office 2010 及以上的 Office 版本中,微软采取了在沙盒 中解析 EPS 文件的方式来缓解 EPS 文件解析过程中出现的漏洞,但在今年上半年陆续出现 16 的高危 EPS 漏洞(如 CVE-2017-0261、CVE-2017-0262)中,攻击者利用这些漏洞结合其他 Windows 提权漏洞(如 CVE-2017-0001、CVE-2017-0263)来绕过 Office 文档的沙盒保护, 从而实现攻击目的。可以预测,这种通过利用多个漏洞的相互配合来完成一次高级攻击的 技巧或许将会成为一种趋势。 四、后起之秀
15、之 CVE-2017-0199 CVE-2017-0199 是 Microsoft Office 的 OLE 处理机制实现上存在的一个逻辑漏洞, Microsoft Office 在处理内嵌 OLE2LINK 对象时,通过网络更新对象时未正确处理 Content- Type 所形成的一个漏洞。攻击者可利用此漏洞构造恶意 Office 文件,当用户打开特殊构造 的恶意 Office 文件后攻击者可以在用户系统上执行任意命令,从而控制用户系统。 该漏洞影响非常广泛,覆盖 Microsoft Office 所有版本,且构造恶意文档相对其它漏洞 更加简单,因此当该漏洞在上半年三月份被披露时大量爆发,在
16、四月份集中爆发,一度掩 盖经典漏洞 CVE-2012-0158 的光辉,成为攻击者的宠儿,同时它的载荷也非常广泛,从常 用的信息盗取木马、远控木马和下载者,再到最近敏感的敲诈者都有涉及。由于敲诈者相 对其它病毒木马能够直接获取利益,越来越多的攻击者开始使用敲诈者牟利,今年 5 月 12 日爆发了“WanaCrypt0r” (永恒之蓝)勒索病毒和 6 月 27 日爆发的 Petya 勒索病毒,这说 明了敲诈者病毒越来越流行,攻击者也乐于使用它们进行牟利。 下图是利用 CVE-2017-0199 的漏洞文档下载敲诈者病毒运行后的界面,该敲诈者会加 密用户计算机上的重要文件,并提醒用户支付赎金购买解
17、密软件,但未必用户支付了赎金 就能找回重要文件。 且在最近的研究中我们还发现,利用该漏洞的恶意 Office 文档已经开始混淆更新的 URL,如下。 17 另外,由于该漏洞利用简单且覆盖 Microsoft Office 所有版本,在以后很可能会成为像 CVE-2012-0158 一样的经典存在而经久不衰。避免这种漏洞文档最直接的方法是及时更新 补丁。每当有新的漏洞被披露时,由于很多用户未及时更新补丁,导致自己中招。 18 第四章结尾 综上所述,越来越多的攻击者更加倾向于利用漏洞文档来进行恶意行为,相比传统的 恶意程序更具有迷惑性。若攻击者通过鱼叉或水坑攻击方式,并结合社会工程学手段,精 心构
18、造文档名及伪装内容,很多安全意识薄弱的用户很容易中招。 在此,360 互联网安全中心提醒广大用户,陌生人发来的陌生文档不要轻易打开,很 可能该文档携带恶意载荷,从而导致自己蒙受损失。同时也建议广大用户一定要在电脑中 安装安全软件,并及时更新漏洞补丁,减少漏洞文档触发的可能性。 最后,提醒用户,除了本文研究的漏洞文档外,一些不是利用漏洞进行的恶意文档文 件所带来的危害也不容忽略,例如: 一、恶意宏攻击的文档,针对该类文档的防护,建议广大用户不要将 Office 宏安全设 置为默认允许所有宏代码执行,对于未知的宏不要轻易运行; 二、嵌入恶意链接的文档,针对这类文档不要轻易点击未知链接,除非确认来源
19、正常, 以免遭受损失; 三、嵌入恶意 PowerShell 代码的文档,这种文档一般为 PowerPoint 文档,文档中注册 了鼠标悬停回调函数,并在函数中调用恶意的 PowerShell 代码,如“Zusy”文档,这种文 档 Office 会提示用户选择是否需要执行该 PowerShell 代码,但大多数用户并不知道这代表 什么,如果选择了执行,则恶意的 PowerShell 代码将从远端下载其他恶意程序,从而控制 用户电脑。因此,提醒广大用户,请大家养成良好的计算机使用习惯,对于 Office 办公软 件中未知的警告提示不要轻易选择开启或确认放行。 经济增长 预期较高的国家设立机构。东道
20、国的管制环境和银行业的竞争力水平也是较重 要的决定因素,跨国银行多倾向于进入集权程度较低的市场。 (2)国内的研究成果 关于中资商业银行“走出去”,从实证角度讨论中资商业银行海外经营的研 究比较少。而且主要是定性的理论分析,比如商业银行海外经营的动因(吴英蕴, 2000)、存在的问题(张邯玥、田高良,2006)、海外分支机构的监管(李斌,2004)、 国际化战略和路径选择(吴念鲁,2006)、海外资本运作的市场反应及战略选择 (周先平等,2010)等。黄启瑞,2010)通过分析中国对东道国的直接投资、出口 贸易及东道国的金融服务业发展程度等重要区位变量间的关系,藉以验证中国银 行业国际化之区位
21、选择因素。周先平(2010)得出商业银行海外控股子公司的综 合效率明显比国内母银行的综合效率要低,说明国际化经营面临的竞争更加激烈,经 营管理、产品创新有待改善,风险也更大,开展海外经营要谨慎。许南(2005) 4 在从并购路径看我国商业银行跨国经营中从经营协同和管理协同效应两方 面对我国商业银行跨国并购的动因进行了分析,还提出我国商业银行跨国并购 的策略:一是在跨国并购形式上,主张采用多种形式进行对外扩展,应该采用 联属机构、附属机构、银行控股公司以及银行战略联盟等多种形式相互结合。 二是根据区位优势,合理选择跨国并购的布局:首先以香港为跨国并购的基地, 此地金融市场发达,并且地理位置、文化
22、背景和风俗习惯与我国大陆相近,所 以并购风险较小;其次以香港为跳板向纽约、伦敦、东京、法兰克福等国际金 融中心延伸,扩大跨国并购的区域范围;此外要“追随客户发展”优先拓展欧 盟、日本等贸易伙伴国市场,为贸易双方提供国际融资、汇兑和结算等金融服 务。三是寻求业务互补性,以实现业务多元化为指导进行并购目标选择。 1 文献阅读综述报告文献阅读综述报告 一、研究背景及意义一、研究背景及意义 随着全球经济一体化的高度发展,各国纷纷开放市场,并积极参与竞争。 中国加入 WTO 多年后,遵照承诺逐步放开金融市场,外资银行纷纷进入中国市 场,与“引进来”局面相对应的是中资银行“走出去”的发展战略。外资银行 进
23、入中国市场形成了国内银行业更激烈的竞争局面,这使开拓外国市场成为了 中资银行保持和增强竞争力的必然选择;并且,中资银行多年来稳固扎实的经 营积累了各方面的实力,为中资银行走向国际市场奠定了良好的基础;因此, 为了实现规模效应、协同效应、混合经营、寻找业务增长点、分散风险,许多 有实力的中资银行大步走向了国际化之路。 2007 年美国爆发次贷危机,2008 年这场危机蔓延到全球,对许多国家的 金融和经济造成了极具破坏性的影响。在这场危机中,遭受损失最大的是欧美 等金融高度发达的国家和地区,中国的金融业国际化程度尚且单一,因此遭受 的打击不大,并且很快地恢复了过来。在这种特殊的经济背景下,中资银行
24、也 看到了更多国际化经营的机遇。在如此特殊又复杂多变的国际形势下,如何认 清形势、抓住机遇、稳固和开拓国际市场,是中资银行急需重视的问题。本文 的重点是通过对我国商业银行国际化的动因、现状的分析,总结其特点和暴露 出的问题,并将发达国家银行的国际化经验以及我国的实际情况相结合,结合 后危机时代这一时代背景,得出我国商业银行可行的国际化路径,具有现实指 导意义。 二、文献综述二、文献综述 从银行国际化的概念、动因理论、国际化经营路径和对策建议五大方面对 中资银行国际化的研究成果进行综述 1银行国际化内涵 目前国内外学者关于银行国际化内涵大致分两类:一类是把银行国际化看作 是银行发展的一个过程。陈
25、岱孙、厉以宁(1991)认为银行国际化是银行从事国 际金融业务,到海外建立分支机构开展业务,其经营从国内发展到国外,从封闭走 向开放的过程。另一类是把银行国际化看作是银行经营的一个状态,即指银行经 营要素的国际流动和国际组合。中国民生银行董事长董文标将国际化分为内涵 国际化和外延国际化,内涵国际化主要是指股东结构和融资平台国际化,外延国 际化主要是指机构国际化和业务国际化。部分学者以发展主体的视角对银行国 际化的概念进行细化。王建、吴英蕴(2000)提出商业银行国际化包括两层含义, 第一层含义是单个银行的国际化,即一家银行由国内银行走向全球化的发展过程,由 于示范效应,引起其他许多银行走向国际
26、化,最后形成了一个国家或地区整个银 行体系的国际化;另一层含义是指一国银行从封闭走向开放的过程,即该国家或 地区开放其银行服务市场,允许外国银行到本国发展。 2银行国际化动因研究综述 银行国际化理论大体可以分为两类:一类是基于跨国公司和对外直接投资等 传统理论的银行国际化理论,主要包括比较优势理论、内部化理论、国际生产折 衷理论、引导效应说和跟随客户说;另一类是基于银行经营效益的银行国际化理 论,包括风险规避说和规模经济说。 (1)国外研究的文献综述 2 Aliber(1976)的比较优势理论运用有关国际生产的产业组织理论来分析银 行进行国际化经营的原因。Heiber Grubles 结合跨国
27、公司的理论来解释金融业 的跨国经营。认为银行服务市场的不完全性是银行国际化的根本原因,这种不完 全性产生于金融产品本身、跨国市场造成的要素市场不完全、政府的保护和限 制政策以及跨国银行在东道国中占据有利地位。Casson(1976)的内部化理论,指 出由于金融市场的不完善及出于国际财务保密等一些特殊金融业务的需要,跨国 银行通过遍布全球的分支机构的灵活性,可以将外部市场转化为一个内部化的市 场,降低金融交易的成本和风险。Rugman(1981)作了进一步的发展并将其引入银 行国际化的分析中。当国际市场上内部化获得的收益将大大高于国内市场,银行 国际化是一个很好的选择。银行在国际间实现市场内部化
28、的过程就是国际化的 过程。在关于海外直接投资和跨国经营的优势的理论中,最有影响 JHDunning(1977)提出“国际生产折衷理论”,认为一国企业之所以能跨国 经营,关键在于拥有所有权优势、内部化优势和区位优势。银行拥有的不同优势 之间是相互关联的,其中所有权优势和内部化优势是银行国际化的必要条件,区 位优势是充分条件。银行国际化是三种优势在一定时间一定市场上相互作用的 结果。关于引导效应理论,Aliber(1984)提出“贸易引导型”,认为银行跨经营 的主要动机是配合本国的国际贸易,在主要的贸易伙伴国设立分支机构,以使银 行更加快捷和方便地进行贸易结算和支付,从而提高本国出口竞争能力。 L
29、evine(1996)的“投资引导型”理论认为国际直接投资的扩大和跨国公司的发 展直接刺激了跨国银行业务的发展。发现银行国际化还能够反过来引导跨国公 司的国际化经营,即银行的功能是双重的,既能发挥“跟随者”(follower),又能 发挥“领导者”(leader)的作用。规避风险理论是托宾(J. Tobin)和马柯维茨 (H.Markowitz)用数学模型的方法建立的国际间接资本流动理论。认为国际化程 度较高的银行能比地区性银行获得更多的资产组合。凯诺(Canal)提出规模经济 理论,认为规模应是研究银行国际化的首要因素。规模经济实质随着银行业务规 模、人员数量、机构网点的扩大而产生的单位运营
30、成本下降、单位受益上升。 银行通过跨国经营可以降低平均成本、形成规模经济、提高效率和盈利能力。 波特(Michael Porter)提出“国际竞争优势理论”,即从要素条件、需求状况相 关支持产业和企业战略结构四个方面组成的综合竞争优势成功地解释了英国、 美国、日本及瑞士跨国银行的发展。 (2)国内学者的文献综述 对于商业银行国际化发展的动因,中国学者是从外资银行角度探讨进入中国 的动因,但是研究的并不多,尤其是实证方面。国内学者苗启虎、王海鹏(2004) 发现,外资银行在中国的机构数与其母国与中国的贸易额及其母国在中国的直接 投资额存在显著的正相关关系,它们是影响商业银行对外直接投资的最重要的
31、两 个因素,这是对外资银行进入动因中“客户追随”战略这一动因做了很好的验证。 对于中国商业银行国际化发展的动因,钟根元(2006)对中国银行业对外投资的动 因进行的实证研究发现东道国人均 GDP、中国对东道国直接投资等因素对中国 银行业的对外投资有不同程度的影响。于效利,张蔚(2006)用制度经济学理论分 析我国商业银行国际化的动因,他们认为我国的国有商业银行选择国际化战略, 主动适应国内外的各项制度,以更好地参考竞争,从制度选择角度分析,是多种利 益博弈下的制度变迁的结果。 3.银行国际化路径选择 关于跨国银行进入别国市场的直接投资方式有两种:新建投资和跨国并购。 3 在设立何种金融机构形式
32、的选择上,Wengel(1995)认为规模经济效应是国际银行 在东道国进行选择的主要因素。Miller 与 Parkhe(1998)实证研究了影响美国银 行进行国际扩张的组织形式,该研究发现,美国银行在东道国所提供的银行服务 水平依赖于其组织形式的不同,以子公司形式出现的跨国银行的比重受进入壁垒、 东道国是否允许混业经营、直接投资规模、银行体系的发展状况、差别税率以 及东道国工业化和发展水平不同因素的影响密切相关。黄涛、李甲(2010)建立 了中资商业银行海外发展投资模式的决策模型,为中资商业银行跨国并购与新建 投资的实务决策提供一种可量化的决策方法,以提高决策效率。 4.银行国际化对策建议
33、(1)国外的研究成果 国外学者的实证研究成果占主要部分,并且研究角度多样。将研究成果中已 经验证过的银行国际化决定因素分为三类进行回顾:第一类因素与母国和东道国 的经济往来相关,在这类因素中普遍受到关注是双边贸易,FDI 因素以及“跟随 客户理论”即银行是否跟随客户到海外市场。Grubel(1977)尝试对促使银行 在海外开设机构的优势进行分析,他指出银行需要跟随自己的客户到海外市场以 保证东道国市场上的竞争对手不能获取这一信息知识。Gray and Gray(1981)在 其研究中指出,当银行的客户走向海外,跨国银行就跟随自己的客户进入海外市 场,利用自己的相对竞争优势为他们提供服务。Fis
34、her and Molyneux(1996)以 在伦敦的外资银行数目及员工数目为样本进行研究,发现投资母国对英国的 FDI 流出量以及两国双边贸易量对银行国际化有着重要影响,同时母国市场规模,地 理距离差异等也有着一定影响作用。第二类因素主要是考虑制度和体制的障碍 问 Goldberg and Johnson(1990)研究了美国银行海外经营活动的决定因素,指 出美国从事海外经营活动会选择这样一个市场:拥有较为宽松的管制环境,规模 较大的国际贸易量和相对较低的国内存款率。Buch(2003)发现宽松的管制、较 低的信息成本、相同的语言和相近的法律体制都鼓励着银行从事跨国经营和国 际投资,这些因素对银行国际化影响的程度因母国不同而相异。对众多发达和发 展中国家的
个人主页
