E安全10月16日訊 戴爾旗下安全公司Secureworks事件響應(yīng)與反威脅單位（簡(jiǎn)稱(chēng)CTU）的研究人員們對(duì)BRONZE BUTLER威脅組織（或稱(chēng)Tick）相關(guān)活動(dòng)展開(kāi)調(diào)查，Secureworks公司稱(chēng)BRONZE BUTLER的行動(dòng)表明，其長(zhǎng)期以來(lái)一直試圖滲透日本企業(yè)以竊取知識(shí)產(chǎn)權(quán)及其它機(jī)密數(shù)據(jù)，相關(guān)入侵活動(dòng)還證明，該惡意集團(tuán)的入侵目標(biāo)主要集中在關(guān)鍵基礎(chǔ)設(shè)施、重工業(yè) 、制造業(yè)以及國(guó)際關(guān)系網(wǎng)絡(luò)層面。CTU研究人員懷疑該組織可能位于中國(guó)。

CTU研究人員將這一威脅組織的相關(guān)威脅情報(bào)劃分為兩大類(lèi)：戰(zhàn)略與戰(zhàn)術(shù)。各企業(yè)高管可利用對(duì)相關(guān)持續(xù)威脅的戰(zhàn)略評(píng)估結(jié)論判斷如何有效降低所在企業(yè)內(nèi)日常業(yè)務(wù)及關(guān)鍵資產(chǎn)所面臨的風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)人員則可利用此次事故響應(yīng)調(diào)查與研究中收集到的戰(zhàn)術(shù)信息作為指導(dǎo)，從而降低應(yīng)對(duì)該威脅組織相關(guān)活動(dòng)所投入的時(shí)間與精力。

CTU研究的鍵點(diǎn)

分析BRONZE BUTLER的行動(dòng)、目標(biāo)與能力，幫助CTU研究人員評(píng)估該組織位于中國(guó)境內(nèi)的可能性。該組織曾利用魚(yú)叉式釣魚(yú)攻擊、戰(zhàn)略性網(wǎng)絡(luò)入侵（簡(jiǎn)稱(chēng)SWC）以及一項(xiàng)零日漏洞對(duì)目標(biāo)系統(tǒng)實(shí)施入侵攻擊。在自網(wǎng)絡(luò)中提取目標(biāo)數(shù)據(jù)后，BRONZE BUTLER通常會(huì)刪除其活動(dòng)所留下的相關(guān)證據(jù)。不過(guò)其仍會(huì)盡可能保留對(duì)所入侵環(huán)境的持續(xù)訪(fǎng)問(wèn)能力，定期重新訪(fǎng)問(wèn)目標(biāo)站點(diǎn)，借以發(fā)現(xiàn)新的數(shù)據(jù)竊取機(jī)會(huì)。該威脅組織成員似乎有能力開(kāi)發(fā)并部署其專(zhuān)有惡意軟件工具。該組織的命令與控制（C&C）協(xié)議經(jīng)過(guò)加密，因此給網(wǎng)絡(luò)維護(hù)人員與事件響應(yīng)人員帶來(lái)了一定挑戰(zhàn)。

CTU研究發(fā)現(xiàn)的戰(zhàn)略性威脅情報(bào)

分析BRONZE BUTLER組織的指向、來(lái)源以及能力，將能夠確定哪些企業(yè)可能因此面臨風(fēng)險(xiǎn)。此類(lèi)信息能夠幫助各企業(yè)就相關(guān)威脅作出戰(zhàn)略性防御決策。

黑客組織瞄準(zhǔn)哪些內(nèi)容？

CTU分析結(jié)果表明，BRONZE BUTLER主要針對(duì)位于日本的企業(yè)機(jī)構(gòu)。該威脅組織曾經(jīng)以非法入侵與關(guān)鍵基礎(chǔ)設(shè)施、重工業(yè)、制造業(yè)以及國(guó)際關(guān)系相關(guān)的組織機(jī)構(gòu)的網(wǎng)絡(luò)體系。Secureworks分析師觀(guān)察到，BRONZE BUTLER曾提取以下幾類(lèi)數(shù)據(jù)內(nèi)容：

與技術(shù)與開(kāi)發(fā)相關(guān)的知識(shí)產(chǎn)權(quán)產(chǎn)品規(guī)格敏感性業(yè)務(wù)與銷(xiāo)售相關(guān)信息網(wǎng)絡(luò)與系統(tǒng)配置文件郵件信息與會(huì)議記錄

對(duì)于知識(shí)產(chǎn)權(quán)、產(chǎn)品規(guī)格以及企業(yè)信息的關(guān)注表明，該威脅組織正在積極收集其認(rèn)為可能對(duì)競(jìng)爭(zhēng)性企業(yè)具有實(shí)際價(jià)值的信息。而多樣的目標(biāo)設(shè)置則證明，BRONZE BUTLER很可能由多個(gè)具備不同優(yōu)先級(jí)考量的團(tuán)隊(duì)或者組織共同組成。

關(guān)于BRONZE BUTLER組織的歸因

以下特性使得CTU的研究人員們認(rèn)定BRONZE BUTLER很可能位于中國(guó)：

使用公開(kāi)發(fā)布于某中國(guó)開(kāi)發(fā)者網(wǎng)站上的T-SMB掃描工具在其xxmm后門(mén)的某一早期版本中，在安裝服務(wù)中使用中文字符BRONZE BUTLER的惡意軟件 Daserf 后門(mén)工具與來(lái)自中國(guó)的NCPH黑客組織之間存在記錄關(guān)聯(lián)，另外在中國(guó)國(guó)內(nèi)法定假日期間BRONZE BUTLER的活躍度水平有所下降

中國(guó)近年來(lái)經(jīng)濟(jì)迅猛發(fā)展，增長(zhǎng)速度飛快。英國(guó)前內(nèi)政部國(guó)務(wù)大臣麥克·貝茨勛爵表示，中國(guó)經(jīng)濟(jì)增長(zhǎng)奇跡令世界嘆服。

但仍有外媒認(rèn)為，中國(guó)的網(wǎng)絡(luò)間諜組織可能是受到中國(guó)雄心勃勃的經(jīng)濟(jì)增長(zhǎng)目標(biāo)的有力推動(dòng)，高度關(guān)注競(jìng)爭(zhēng)性經(jīng)濟(jì)體所掌握的知識(shí)產(chǎn)權(quán)與經(jīng)濟(jì)情報(bào)，且積極竊取可在國(guó)內(nèi)實(shí)現(xiàn)競(jìng)爭(zhēng)優(yōu)勢(shì)的信息。

然而，中國(guó)的基礎(chǔ)設(shè)施年支出已經(jīng)超過(guò)了美國(guó)和歐盟，擁有世界上最大的高速鐵路網(wǎng)——截止2016 年里程已達(dá)到約2萬(wàn)公里，是歐洲已建或在建高速鐵路總長(zhǎng)度的兩倍左右。此外，自2007年以來(lái)，中國(guó)機(jī)場(chǎng)的數(shù)量增加了62%，高速公路總長(zhǎng)增加了157%，集裝箱碼頭的數(shù)量增加了132%。而另一方面，《中國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)白皮書(shū)：解讀中國(guó)互聯(lián)網(wǎng)特色》顯示，中國(guó)已經(jīng)成為全球互聯(lián)網(wǎng)經(jīng)濟(jì)的先鋒，并與美國(guó)一起成為驅(qū)動(dòng)全球互聯(lián)網(wǎng)發(fā)展的雙引擎。

BRONZE BUTLER組織的網(wǎng)絡(luò)能力

BRONZE BUTLER曾使用多種廣泛公開(kāi)（包括Mimikatz與gsecdump）以及專(zhuān)用型（Daserf與Datper）工具。其似乎擁有充足的資源以長(zhǎng)時(shí)間不斷開(kāi)發(fā)并替換各類(lèi)專(zhuān)用工具。該組織開(kāi)發(fā)出可生成并利用加密 C&C 通信機(jī)制的遠(yuǎn)程訪(fǎng)問(wèn)工具及惡意軟件，從而提升了檢測(cè)與問(wèn)題緩解工作的復(fù)雜程度。另外，其組織成員亦能夠流利使用日語(yǔ)編寫(xiě)指向日本本土的釣魚(yú)郵件，并可在日語(yǔ)環(huán)境中成功開(kāi)展攻擊。

CTU分析結(jié)果表明，BRONZE BUTLER曾經(jīng)以購(gòu)買(mǎi)形式獲取到其 C&C 基礎(chǔ)設(shè)施當(dāng)中一部分方案。其基礎(chǔ)設(shè)施當(dāng)中的相當(dāng)一部分立足日本運(yùn)行，這可能是為了避免國(guó)際通信安全機(jī)構(gòu)的監(jiān)督與審查。該組織會(huì)定期更改各已入侵網(wǎng)絡(luò)的 C&C IP地址與域名，從而限制其基礎(chǔ)設(shè)施被列入黑名單的可能性。另外，該組織還通過(guò)訪(fǎng)問(wèn)已入侵網(wǎng)站補(bǔ)充自身運(yùn)營(yíng)基礎(chǔ)設(shè)施，BRONZE BUTLER可能曾經(jīng)具備專(zhuān)用基礎(chǔ)設(shè)施的信息獲取能力。

該組織已經(jīng)被證明有能力發(fā)現(xiàn)一款高人氣日本企業(yè)工具中存在的嚴(yán)重零日漏洞，而后通過(guò)掃描及利用這項(xiàng)漏洞無(wú)差別破壞日本國(guó)內(nèi)各面向互聯(lián)網(wǎng)的企業(yè)系統(tǒng)。該組織似乎首先建立初步立足點(diǎn)，而后有選擇地對(duì)目標(biāo)實(shí)施進(jìn)一步入侵。該組織會(huì)關(guān)注已入侵網(wǎng)絡(luò)的變化，并主動(dòng)嘗試通過(guò)修改工具及入侵方法以回避網(wǎng)絡(luò)維護(hù)人員的審查。在長(zhǎng)達(dá)5年時(shí)間內(nèi)，其始終成功潛伏在多套已入侵網(wǎng)絡(luò)當(dāng)中且始終未被察覺(jué)。

CTU研究發(fā)現(xiàn)的戰(zhàn)術(shù)性威脅情報(bào)

事件響應(yīng)行動(dòng)使CTU研究人員們得以深入了解BRONZE BUTLER在入侵期間所使用的工具與具體策略。

攻擊活動(dòng)使用工具調(diào)查

CTU研究人員們已經(jīng)觀(guān)察到BRONZE BUTLER利用以下獨(dú)有的工具方案。圖一所示為該威脅組織在2012年到2017年期間所使用的部分專(zhuān)屬工具。

圖一：BRONZE BUTLER所使用惡意軟件時(shí)間線(xiàn)。（來(lái)源：Secureworks）

Daser —這套后門(mén)具備遠(yuǎn)程shell功能，可用于執(zhí)行命令、上傳與下載數(shù)據(jù)、捕捉屏幕截圖以及擊鍵記錄。其采用RC4加密與自定義Base64編碼對(duì)HTTP流量進(jìn)行混淆。CTU研究人員們確定Daserf擁有兩個(gè)版本，分別在Visual C與Delphi中編寫(xiě)而成。編譯時(shí)間戳分析結(jié)果證明，Delphi版本屬于Visual C版本的后繼者。CTU還通過(guò)分析發(fā)現(xiàn)，以下注冊(cè)表項(xiàng)能夠證明計(jì)算機(jī)已經(jīng)受到Delphi版本Daserf的感染：Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ExplorerValue: MMID = Datper — BRONZE BUTLER之所以創(chuàng)建這套Delphi編碼RAT，可能是為了替代Daserf。Datper采用RC4加密配置以混淆HTTP流量。xxmm (亦被稱(chēng)為Minzen) — 此RAT有可能屬于Daserf的后繼者，其通過(guò)一次性加密密鑰實(shí)現(xiàn)AES加密HTTP通信機(jī)制。研究人員們發(fā)現(xiàn)，BRONZE BUTLER在其惡意活動(dòng)中表現(xiàn)出對(duì)Datper與xxmm的使用偏好。CTU研究人員還確定了xxmm的xxmm builder（詳見(jiàn)圖二），這表明該組織成員會(huì)根據(jù)目標(biāo)定制xxmm惡意軟件設(shè)置。

圖二：xxmm builder當(dāng)中的可定制設(shè)置。（圖片來(lái)源：Secureworks）

xxmm下載器(亦被稱(chēng)為KVNDM) — 這款簡(jiǎn)單下載器的代碼類(lèi)似于主xxmm的有效載荷。Gofarer — 這款下載器在其HTTP通信中使用“Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+Trident/4.0;” User-Agent（詳見(jiàn)圖三）。

圖三：Gofarer HTTP GET請(qǐng)求。（圖片來(lái)源：Secureworks）

MSGet — 這款持久下載器利用機(jī)密傳遞點(diǎn)解析器（簡(jiǎn)稱(chēng)DDR）以下載并執(zhí)行其它惡意有效載荷。MSGet通常從其中的硬編碼URL處下載已編碼二進(jìn)制文件。在解碼之后，MSGet會(huì)將該二進(jìn)制文件保存為%TEMP%\msDGet — 這款簡(jiǎn)單下載器（詳見(jiàn)圖四）類(lèi)似于wget Web服務(wù)器檢索工具。

圖四：DGet使用情況。（圖片來(lái)源：Secureworks）

Screen Capture Tool — 這款工具能夠捕捉受害者系統(tǒng)中的桌面圖像（詳見(jiàn)圖五）。

圖五：Screen Capture Tool使用情況。（圖片來(lái)源：Secureworks）

RarStar — 這款定制化工具能夠?qū)AR歸檔文件以POST數(shù)據(jù)的形式上傳至特定URL處（詳見(jiàn)圖六）。RarStar會(huì)利用Base64與一套定制化XOR算法對(duì)POST數(shù)據(jù)進(jìn)行編碼。

圖六：RarStar HTTP POST請(qǐng)求。（圖片來(lái)源：Secureworks）

BRONZE BUTLER還曾經(jīng)利用以下公開(kāi)工具，但CTU的研究人員們發(fā)現(xiàn)該組織對(duì)其中大部分工具作出了修改。通過(guò)分析，研究人員確定其中曾使用多種打包工具、對(duì)源代碼進(jìn)行功能調(diào)整并加以重新編譯。

Mimikatz、Windows Credential Editor (簡(jiǎn)稱(chēng)WCE)、gsecdump — 這3款工具能夠從內(nèi)存中獲取密碼。T-SMB Scan — 這款SMB掃描工具最初發(fā)布于中國(guó)某程序共享網(wǎng)站（pudn）。BRONZE BUTLER刪除了其中的輔助信息功能。WinRAR — 這款工具能夠在后續(xù)操作解壓出其它工具，并對(duì)所提取數(shù)據(jù)進(jìn)行壓縮。

從黑客組織攻擊過(guò)程可以得到哪些啟發(fā)？

事件響應(yīng)行動(dòng)使得CTU研究人員能夠深入了解BRONZE BUTLER在入侵期間所采取的具體策略。

交付

BRONZE BUTLER利用魚(yú)叉式釣魚(yú)郵件與SWC入侵目標(biāo)網(wǎng)絡(luò)，且大多借助Flash。該組織曾經(jīng)利用包含F(xiàn)lash動(dòng)畫(huà)附件的釣魚(yú)郵件下載并執(zhí)行Daserf惡意軟件，亦利用Flash安全漏洞進(jìn)行SWC攻擊。

CTU研究人員們觀(guān)察到，BRONZE BUTLER利用各已入侵網(wǎng)站（通常位于日本及韓國(guó)）作為其攻擊基礎(chǔ)設(shè)施的組成部分。該組織也表現(xiàn)出了在攻擊活動(dòng)中入侵并利用大量網(wǎng)站的實(shí)際能力。由于在同一次攻擊活動(dòng)中能夠使用大量 C&C 服務(wù)器與多條IP地址，因此該組織似乎也在購(gòu)買(mǎi)服務(wù)器以攻擊基礎(chǔ)設(shè)施。BRONZE BUTLER曾經(jīng)面向不同目標(biāo)使用特定攻擊基礎(chǔ)設(shè)施，這證明其會(huì)對(duì)運(yùn)營(yíng)基礎(chǔ)設(shè)施進(jìn)行主動(dòng)分配，從而盡可能降低自身活動(dòng)被安全研究人員歸因的風(fēng)險(xiǎn)。

漏洞利用

在對(duì)2016年的入侵事件進(jìn)行調(diào)查時(shí)，Secureworks事件響應(yīng)人員發(fā)現(xiàn)，BRONZE BUTLER曾利用SKYSEA Client View（一款日本高人氣企業(yè)IT資產(chǎn)管理產(chǎn)品）中當(dāng)時(shí)尚未得到修復(fù)的遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2016-7836）。SKY集團(tuán)于2016年12月21日正式公布此項(xiàng)安全漏洞，但受害者在SKYSEA Client View默認(rèn)日志（Ctlcli.log）中的條目顯示，至少自2016年6月以來(lái)，該黑客組織就已經(jīng)開(kāi)始利用這一漏洞。

圖七：SKYSEA Client View日志條目顯示出CVE-2016-7836漏洞利用情況。（圖片來(lái)源：Secureworks）

在將便攜式連接設(shè)備——例如LTE USB調(diào)制解調(diào)器——接入企業(yè)設(shè)備時(shí)，攻擊者即有機(jī)會(huì)利用此項(xiàng)漏洞。事實(shí)上，差旅及遠(yuǎn)程協(xié)作的日本員工經(jīng)常使用便攜式連接設(shè)備以接入互聯(lián)網(wǎng)及企業(yè)VPN。然而，其中部分設(shè)備會(huì)將互聯(lián)網(wǎng)服務(wù)供應(yīng)商的全局IP地址分配給接入的筆記本電腦。惡意攻擊者能夠利用這一漏洞來(lái)模擬管理控制臺(tái)，同時(shí)破壞筆記本電腦中的SKYSEA代理以使其暴露在互聯(lián)網(wǎng)之上。

BRONZE BUTLER會(huì)定期進(jìn)行互聯(lián)網(wǎng)掃描，旨在發(fā)現(xiàn)易受攻擊的主機(jī)。CTU研究人員們證實(shí)，一部分受到入侵的系統(tǒng)并沒(méi)有遭遇進(jìn)一步破壞或者橫向移動(dòng)。結(jié)果表明，該威脅組織可能會(huì)將惡意軟件部署到所有已發(fā)現(xiàn)的易受攻擊系統(tǒng)當(dāng)中，而后驗(yàn)證目標(biāo)系統(tǒng)與自身關(guān)注點(diǎn)之間的聯(lián)系，最終僅針對(duì)特定目標(biāo)執(zhí)行進(jìn)一步活動(dòng)。

安裝

惡意攻擊者利用多種依賴(lài)于可執(zhí)行文件、PowerShell腳本或者VBS/VBE腳本的定制化下載工具，包括Gofarer、MSGet以及xxmm下載器。這些下載器使用HTTP流量，以壓縮與編碼格式下載其它有效載荷（例如Daserf、Dapter或者xxmm），并通常會(huì)在文件解碼之后執(zhí)行下載完成的惡意軟件。

CTU研究人員識(shí)別出一款下載器程序中的代碼，如圖八所示。此代碼會(huì)在該可執(zhí)行文件末尾插入“0”字符以將該文件大小提升至50到100 MB，從而嘗試逃避反病毒軟件的檢測(cè)。在對(duì)BRONZE BUTLER攻擊進(jìn)行分析時(shí)，CTU研究人員們觀(guān)察到這種進(jìn)行主動(dòng)體積提升的文件確實(shí)能夠逃過(guò)多種反病毒工具的法眼。

圖八：用于提升有效載荷文件大小的下載器惡意軟件代碼。（圖片來(lái)源：Secureworks）

CTU研究人員們還觀(guān)察到，BRONZE BUTLER會(huì)在已入侵系統(tǒng)上將下載器源代碼下載至一個(gè)文件當(dāng)中（do.cs），而后將其編譯為可執(zhí)行文件（do.exe）。經(jīng)過(guò)解密的代理日志顯示，惡意攻擊者確實(shí)在已入侵系統(tǒng)上編譯定制化代碼（詳見(jiàn)圖九）。

圖九：解密代理日志顯示，已入侵端點(diǎn)上曾進(jìn)行定制化代碼編譯。（圖片來(lái)源：Secureworks）

利用命令與控制（簡(jiǎn)稱(chēng)C&C）通信

Daserf、Datper以及xxmm通過(guò)HTTP、加密命令以及數(shù)據(jù)同 C&C 服務(wù)器進(jìn)行通信，具體加密算法如表一所示。只要已入侵系統(tǒng)在代理定義的授權(quán)時(shí)間內(nèi)進(jìn)行通信，這些工具即可利用IE瀏覽器組件繞過(guò)代理身份驗(yàn)證服務(wù)器。

惡意軟件

HTTP 方法

加密算法

Daserf (Visual C)

POST

RC4

Daserf (Delphi)

GET (大型數(shù)據(jù)則使用POST)

RC4

Datper

GET (大型數(shù)據(jù)則使用POST)

RC4

xxmm

GET (大型數(shù)據(jù)則使用POST)

RC4AES外加一次性加密密鑰

表一：Daserf、Datper以及xxmm加密算法。

BRONZE BUTLER為每款工具配備特定的 C&C 服務(wù)器，同時(shí)會(huì)定期更改 C&C 服務(wù)器。該組織的 C&C 服務(wù)器中有很大一部分位于日本。代理日志（詳見(jiàn)表二）中的特定URL模式能夠揭露BRONZE BUTLER的具體活動(dòng)。

惡意軟件

URL模式

用戶(hù)-代理

Daserf

http://.gifhttp://.asphttp://.php?id=&=

Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1)Internet Explorer 多個(gè)版本

Datper

http://.php?=1http://.php?=2

xxmm

http://.php?t0=>&t1=&t2=&t3=&t6=http://.php?id0=&id1=&id2=id3=&id6=http://.php?idcard0=idcard1=

Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1)

表二：與BRONZE BUTLER惡意活動(dòng)相關(guān)的URL模式。

BRONZE BUTLER在這些工具當(dāng)中利用遠(yuǎn)程訪(fǎng)?...

中國(guó)5個(gè)軟件產(chǎn)業(yè)在世界的地位

目前軟件市場(chǎng)的規(guī)模在5000億美元以上，和芯片半導(dǎo)體市場(chǎng)不相上下。

如果說(shuō)芯片產(chǎn)業(yè)是韓國(guó)美國(guó)臺(tái)灣三足鼎立的話(huà)，那軟件市場(chǎng)就是美國(guó)一家獨(dú)大。

2015年普華永道公布《全球軟件百?gòu)?qiáng)企業(yè)》，前14名都是美國(guó)公司。

軟件這個(gè)市場(chǎng)主要分為：1、操作系統(tǒng)，2、中間件，3、數(shù)據(jù)庫(kù)、4辦公軟件、5設(shè)計(jì)軟件。

先看操作系統(tǒng)。

操作系統(tǒng)目前有：WINDOWS 、Unix類(lèi)操作系統(tǒng)、Mac操作系統(tǒng)、Linux類(lèi)操作系統(tǒng)、安卓、蘋(píng)果OS。

這里我不想談操作系充的市場(chǎng)份額，因?yàn)槊绹?guó)幾乎占據(jù)99%的市場(chǎng)。

我先介紹一下國(guó)產(chǎn)操作系統(tǒng)的一些情況。

國(guó)產(chǎn)操作系統(tǒng)全部是基于Linux，因?yàn)長(zhǎng)inux開(kāi)源而且免費(fèi)。

1. 深度Linux 官網(wǎng)：https://deepin/ 包管理：deb 企業(yè)性質(zhì)：民營(yíng)企業(yè)

武漢深之度科技有限公司（以下簡(jiǎn)稱(chēng)深度科技）成立于 2011 年，是專(zhuān)注基于 Linux 的國(guó)產(chǎn)操作系統(tǒng)研發(fā)與服務(wù)的商業(yè)公司。

據(jù)官網(wǎng)介紹，截止到 2015 年，深度操作系統(tǒng)下載超過(guò) 4000 萬(wàn)次，提供 30 種不同的語(yǔ)言版本，以及遍布六大洲的 70 多個(gè)鏡像站點(diǎn)的升級(jí)服務(wù)。在全球開(kāi)源操作系統(tǒng)排行榜上，深度操作系統(tǒng)長(zhǎng)期保持前 20 名，也是排名最高的中國(guó)操作系統(tǒng)產(chǎn)品。系統(tǒng)更新也非常頻繁。

2. 中標(biāo)麒麟Linux 官網(wǎng):http://cs2c/ 包管理:rpm，企業(yè)性質(zhì)：國(guó)有控股

中標(biāo)軟件有限公司（簡(jiǎn)稱(chēng)中標(biāo)軟件）成立于2003年，注冊(cè)資金2.5億元，是國(guó)產(chǎn)操作系統(tǒng)產(chǎn)品專(zhuān)業(yè)化研發(fā)與推廣企業(yè)，以操作系統(tǒng)技術(shù)為核心，重點(diǎn)打造自主可控、安全可靠等差異化特性產(chǎn)品。作為國(guó)家規(guī)劃布局內(nèi)重點(diǎn)軟件企業(yè)，中標(biāo)軟件獲得了軍、民兩方面的相關(guān)企業(yè)與產(chǎn)品資質(zhì)，是國(guó)產(chǎn)操作系統(tǒng)旗艦企業(yè)。

中標(biāo)軟件旗下?lián)碛小爸袠?biāo)麒麟”、“中標(biāo)普華”、“中標(biāo)凌巧”三大產(chǎn)品品牌。中標(biāo)麒麟操作系統(tǒng)系列產(chǎn)品主要以操作系統(tǒng)技術(shù)為核心，安全可信為特色；中標(biāo)普華以辦公軟件為核心；中標(biāo)凌巧移動(dòng)終端操作系統(tǒng)為行業(yè)客戶(hù)提供安全的移動(dòng)業(yè)務(wù)新體驗(yàn)。

3. 紅旗Linux 官網(wǎng)：http://redflag-linux/ 包管理：rpm 企業(yè)性質(zhì)：民營(yíng)企業(yè)

紅旗LINUX是國(guó)內(nèi)最早從事操作系統(tǒng)研發(fā)的企業(yè)之一，成立于1999年，但是由于經(jīng)營(yíng)不善，于2014年倒閉，被五甲萬(wàn)京以上3800萬(wàn)元收購(gòu)。

4. 中科方德Linux 官網(wǎng)：http://nfschina/ 包管理：rpm 企業(yè)性質(zhì)：國(guó)有控股

中科方德軟件有限公司成立于2006年，是“基礎(chǔ)軟件國(guó)家工程研究中心”的項(xiàng)目法人單位，該中心是目前基礎(chǔ)軟件領(lǐng)域唯一的國(guó)家級(jí)工程技術(shù)研究中心。作為國(guó)內(nèi)為數(shù)不多的長(zhǎng)期投身操作系統(tǒng)產(chǎn)業(yè)發(fā)展的企業(yè)，中科方德以保障國(guó)家黨政軍及重大行業(yè)信息系統(tǒng)安全、發(fā)展我國(guó)自主可控基礎(chǔ)軟件為己任，致力于提供可以信賴(lài)的國(guó)產(chǎn)操作系統(tǒng)產(chǎn)品、解決方案和服務(wù)。

2016年，中科方德的系統(tǒng)就已經(jīng)搭載在聯(lián)想的開(kāi)天M6100臺(tái)式機(jī)上對(duì)外出售了。

5. 凝思Linux 官網(wǎng)：http://linx-info/ 包管理：deb 企業(yè)性質(zhì)：民營(yíng)企業(yè)

北京凝思科技有限公司（以下簡(jiǎn)稱(chēng)“公司"）成立于2001年，是基礎(chǔ)軟件和相關(guān)產(chǎn)品的提供商。為了使信息系統(tǒng)更加開(kāi)放和安全，公司持續(xù)關(guān)注自由開(kāi)源軟件的發(fā)展，開(kāi)發(fā)出滿(mǎn)足等級(jí)保護(hù)要求的凝思安全操作系統(tǒng)和相關(guān)產(chǎn)品組合。凝思安全操作系統(tǒng)的核心安全機(jī)制具有完全自主知識(shí)產(chǎn)權(quán)，未使用美國(guó)國(guó)家安全局SELinux的代碼，是國(guó)內(nèi)首家獲得等級(jí)保護(hù)四級(jí)銷(xiāo)售許可證的安全操作系統(tǒng)?；谀及踩僮飨到y(tǒng)推出的凝思安全服務(wù)器填補(bǔ)了國(guó)內(nèi)空白，獲得軍用信息安全產(chǎn)品軍B級(jí)認(rèn)證。主要是軍用，民用的少，更新也少。

6. 新支點(diǎn)Linux 官網(wǎng)：http://gd-linux.org/ 包管理：rpm 企業(yè)性質(zhì)：中興通訊全資子公司

廣東中興新支點(diǎn)技術(shù)有限公司成立于2004年，屬中興通訊的全資子公司，是廣東省Linux公共服務(wù)技術(shù)支持中心的運(yùn)營(yíng)實(shí)體。是一家專(zhuān)注于以操作系統(tǒng)為基礎(chǔ)的基礎(chǔ)軟件研發(fā)及CPI寬帶物聯(lián)網(wǎng)解決方案提供的專(zhuān)業(yè)技術(shù)型公司。旗下有服務(wù)器操作系統(tǒng)、嵌入式操作系統(tǒng)、桌面操作系統(tǒng)、高可用集群軟件、備份軟件、多運(yùn)營(yíng)商多鏈路智慧協(xié)同路由器（ICG）、寬帶無(wú)線(xiàn)級(jí)聯(lián)路由器（NCA)等產(chǎn)品，具備完整的CPI寬帶物聯(lián)網(wǎng)連接平臺(tái)解決方案提供能力，產(chǎn)品和方案廣泛服務(wù)于電力、能源、通訊、電子政務(wù)系統(tǒng)。是目前中國(guó)首家提供寬帶物聯(lián)網(wǎng)解決方案的公司，也是中國(guó)Linux開(kāi)源軟件技術(shù)實(shí)力最強(qiáng)的單位之一。

最近中興因?yàn)楸幻绹?guó)制裁，又活躍于各大新聞平臺(tái)，查了一下，想不到中興還做操作系統(tǒng)。

7. 一銘Linux 官網(wǎng)：http://emindsoft/ 包管理：rpm 企業(yè)性質(zhì)：民營(yíng)企業(yè)

一銘軟件是成立于2004年。一銘軟件是一家從事操作系統(tǒng)、云計(jì)算應(yīng)用和東盟小語(yǔ)種智能翻譯軟件的研發(fā)、銷(xiāo)售及軟件技術(shù)服務(wù)的國(guó)家高新技術(shù)企業(yè)。2016年?duì)I業(yè)收入為6272.27萬(wàn)元，

8. 思普Linux 官網(wǎng)：http://spgnux/ 包管理：未知 企業(yè)性質(zhì)：民營(yíng)企業(yè)

云南思普投資有限公司是一家高新技術(shù)產(chǎn)業(yè)企業(yè)，自2005年成立以來(lái)，一直致力于IT基礎(chǔ)軟件的研發(fā)，含蓋軟件開(kāi)發(fā)、系統(tǒng)集成、國(guó)家電子政府網(wǎng)絡(luò)建設(shè)、Linux開(kāi)源產(chǎn)業(yè)等領(lǐng)域。

9. 優(yōu)麒麟Linux 官網(wǎng)：http://ubuntukylin/ 包管理：deb 企業(yè)性質(zhì)：國(guó)有控股

圖片來(lái)官網(wǎng)，看上去更新比較快。

10. 銀河麒麟Linux 官網(wǎng)：http://kylinos/ 包管理：deb 企業(yè)性質(zhì)：國(guó)有控股

天津麒麟信息技術(shù)有限公司（TKC）是在中國(guó)電子信息產(chǎn)業(yè)集團(tuán)、國(guó)防科技大學(xué)和天津市政府發(fā)起下成立的國(guó)有控股高科技信息技術(shù)企業(yè)，成立于2014年12月11日，注冊(cè)資金5000萬(wàn)元，擁有國(guó)防科大授權(quán)“麒麟”、“銀河麒麟”、“KYLIN”商標(biāo)及知識(shí)產(chǎn)權(quán)，是國(guó)產(chǎn)自主可控操作系統(tǒng)的領(lǐng)軍企業(yè)。公司總部位于天津海洋高新區(qū)，設(shè)有長(zhǎng)沙、北京2個(gè)分公司，建有國(guó)內(nèi)一流的操作系統(tǒng)研發(fā)、適配與集成環(huán)境。

11. COS操作系統(tǒng) 官網(wǎng)：http://china-cos/ 包管理：deb 企業(yè)性質(zhì) ：國(guó)有控股

OS操作系統(tǒng)是由上海聯(lián)彤與中科院軟件研究所在北京時(shí)間2014年1月15日在北京聯(lián)合發(fā)布具有自主知識(shí)產(chǎn)權(quán)的操作系統(tǒng)COS（China Operating System）（意為中國(guó)自主系統(tǒng)），該操作系統(tǒng)可應(yīng)用于個(gè)人電腦、智能掌上終端、機(jī)頂盒、智能家電等領(lǐng)域。

和以上的操作系統(tǒng)不同的是，COS操作系統(tǒng)不僅可以用于個(gè)人電腦，還可以用在手機(jī)上。

12、阿里云操作系統(tǒng)。

YunOS是阿里巴巴集團(tuán)旗下智能操作系統(tǒng)，融合了阿里巴巴在云數(shù)據(jù)存儲(chǔ)、云計(jì)算服務(wù)以及智能設(shè)備操作系統(tǒng)等多領(lǐng)域的技術(shù)成果，可搭載于智能手機(jī)、智能穿戴、互聯(lián)網(wǎng)汽車(chē)、智能家居等多種智能終端設(shè)備。

阿里正式做操作系統(tǒng)是在2011年，起步雖晚，但勢(shì)頭很猛，根據(jù)賽諾數(shù)據(jù)顯示已經(jīng)成為第三大移動(dòng)操作系統(tǒng)，2016年7月搭載YunOS的物聯(lián)網(wǎng)終端已經(jīng)突破1。

12、華為操作系統(tǒng)。

華為是2015年傳出在自研操作系統(tǒng)的，3年過(guò)去，雖然目前還沒(méi)有正式版本發(fā)布，但以華為的尿性，要么不做，要做肯定是一線(xiàn)，看好華為。

做為PC端操作系統(tǒng)的霸主微軟，它2016的WINDOWS銷(xiāo)售有147億美金，而國(guó)產(chǎn)操作系統(tǒng)超過(guò)1億美金的公司應(yīng)該還沒(méi)有。

下面來(lái)說(shuō)一下中間件。

中間件是一種與操作系統(tǒng)、數(shù)據(jù)庫(kù)并重的基礎(chǔ)軟件：中間件是一種應(yīng)用于分布式系統(tǒng)的基礎(chǔ)軟件，位于應(yīng)用與操作系統(tǒng)、數(shù)據(jù)庫(kù)之間，主要用于解決分布式環(huán)境下數(shù)據(jù)傳輸、數(shù)據(jù)訪(fǎng)問(wèn)、應(yīng)用調(diào)度、系統(tǒng)構(gòu)建和系統(tǒng)集成、流程管理等問(wèn)題，是分布式環(huán)境下支撐應(yīng)用開(kāi)發(fā)、運(yùn)行和集成的平臺(tái)。中間件是整個(gè)軟件行業(yè)中屬于基礎(chǔ)軟件板塊下，與操作系統(tǒng)、數(shù)據(jù)庫(kù)并重的基礎(chǔ)軟件之一。在整個(gè)軟件產(chǎn)業(yè)中，中間件的占比比較低，但作用類(lèi)似于橋梁，在需要共享信息的不同軟件應(yīng)用中起重要的連接作用，讓企業(yè)實(shí)現(xiàn)信息的整合。

根據(jù)Gartner報(bào)告顯示， 中間件目前的全球市場(chǎng)規(guī)模大約250億美元上下，中國(guó)市場(chǎng)規(guī)模55億人民幣左右。

中間件相對(duì)操作系統(tǒng)來(lái)說(shuō)，難度較低，所以我國(guó)在中間件這塊略有斬獲。

上圖可以看美資IBM和甲骨文占了國(guó)產(chǎn)市場(chǎng)的近70%，剩下中資企業(yè)占20%左右，就目前這個(gè)情況也比操作系統(tǒng)強(qiáng)太多。

3、數(shù)據(jù)庫(kù)。

數(shù)據(jù)庫(kù)當(dāng)中國(guó)內(nèi)企業(yè)表顯最好的是南大通用，市場(chǎng)份額占2.3%，相比中間件，中資企業(yè)東方通占9%。

4、辦公軟件。

相結(jié)基礎(chǔ)軟件，辦公軟件要強(qiáng)太多，金山的WPS國(guó)內(nèi)市場(chǎng)份額已占到28%。

主流還是微軟公司的產(chǎn)品，辦公軟件相對(duì)來(lái)說(shuō)技術(shù)含并不高，為什么只有28%的市場(chǎng)份額，主要是因?yàn)槲④浀睦変N(xiāo)售。

5、設(shè)計(jì)軟件。

設(shè)計(jì)軟件種類(lèi)很多，主要有1、平面設(shè)計(jì)、三維設(shè)計(jì)。

說(shuō)到設(shè)計(jì)軟件，中國(guó)可是百花齊放。天正、中望CAD、浩辰、數(shù)碼大方等等。

其中不少?lài)?guó)產(chǎn)軟件都開(kāi)拓了國(guó)際業(yè)務(wù)，拿中望來(lái)說(shuō)，中望支持英語(yǔ)、法語(yǔ)、德語(yǔ)等15個(gè)國(guó)家的語(yǔ)言，在全球80多個(gè)國(guó)家都有相關(guān)合作業(yè)務(wù)。

國(guó)產(chǎn)設(shè)計(jì)軟件最大的貢獻(xiàn)就國(guó)外軟件版費(fèi)下降了80%以上，2010以前國(guó)外正版CAD的價(jià)格幾萬(wàn)一套，現(xiàn)在就一萬(wàn)多一套，有時(shí)促銷(xiāo)就幾千一套。

國(guó)內(nèi)設(shè)計(jì)軟件公司不少，但和國(guó)外的巨頭比，差距還是天壤之別。

2017年上半年中望CAD營(yíng)收7000多萬(wàn)人民幣；

對(duì)比下國(guó)外設(shè)計(jì)軟件公司，Adobe公司在2017前兩個(gè)季度的營(yíng)收有34億美金，折人民幣221億，是中望的300多倍。

中望、浩辰等都是工業(yè)CAD設(shè)計(jì)軟件，還有一引起如CDR軟件、PhotoShop這類(lèi)圖形設(shè)計(jì)，視頻剪輯軟件AE等等，中國(guó)國(guó)內(nèi)還沒(méi)有，不要說(shuō)什么美圖秀秀、繪聲繪音的，那些還不是專(zhuān)業(yè)的設(shè)計(jì)軟件。

這5個(gè)軟件行業(yè)，國(guó)產(chǎn)的實(shí)力大小，

辦公〉設(shè)計(jì)〉中間件〉數(shù)據(jù)庫(kù)〉操作系統(tǒng)。