一、概述

互聯(lián)網(wǎng)現(xiàn)在已經(jīng)融入了生活的方方面面，許多人在網(wǎng)上進(jìn)行交易、購物和社交，網(wǎng)絡(luò)已經(jīng)成為了商業(yè)組織的生命線。政府、企業(yè)和消費(fèi)者對(duì)技術(shù)的依賴，也為具有各種動(dòng)機(jī)的攻擊者提供了廣泛的攻擊面——金融盜竊、數(shù)據(jù)竊取、基礎(chǔ)設(shè)施破壞、名譽(yù)受損等等。網(wǎng)絡(luò)攻擊的范圍，從高度復(fù)雜的特定目標(biāo)攻擊，到機(jī)會(huì)主義網(wǎng)絡(luò)犯罪。通常，這兩者都依賴于將心理學(xué)操縱作為危害整個(gè)系統(tǒng)或個(gè)人計(jì)算機(jī)的方式。攻擊者的目標(biāo)不斷擴(kuò)大，已經(jīng)開始覆蓋到一些不屬于計(jì)算機(jī)的設(shè)備，例如兒童玩具和安全攝像頭。本文主要針對(duì)2018年發(fā)生的重大事件和安全趨勢(shì)進(jìn)行年度總結(jié)。

二、針對(duì)特定目標(biāo)的攻擊活動(dòng)

在今年內(nèi)的安全分析師峰會(huì)上，我們分析了Slingshot，這是一個(gè)復(fù)雜的網(wǎng)絡(luò)間諜平臺(tái)，從2012年以來一直瞄準(zhǔn)中東和非洲的受害者。我們?cè)谕{事件中發(fā)現(xiàn)了這種威脅，該威脅與Regin和ProjectSauron類似。Slingshot使用了一種不同尋常的攻擊載體，許多受害者受到被攻陷的MikroTik路由器的攻擊。攻陷路由器的確切方法尚不清楚，但攻擊者已經(jīng)找到了向設(shè)備添加惡意DLL的方法：該DLL是其他惡意文件的下載程序，然后將其存儲(chǔ)在路由器上。當(dāng)系統(tǒng)管理員登錄并配置路由器時(shí)，路由器的管理軟件會(huì)在管理員的計(jì)算機(jī)上下載并運(yùn)行惡意模塊。Slingshot在受感染的計(jì)算機(jī)上加載了許多模塊，其中最引入注意的兩個(gè)模塊是Cahnadr和GollumApp，它們分別是內(nèi)核模式和用戶模式的模塊。二者共同提供持久性、管理文件系統(tǒng)、泄漏數(shù)據(jù)以及與C&C(命令和控制)服務(wù)器通信的功能。我們查看的樣本，標(biāo)記為“版本6.X”，表明這一威脅已經(jīng)存在相當(dāng)長的一段時(shí)間。

根據(jù)Slingshot的創(chuàng)建時(shí)間、技能和成本表明，其背后的團(tuán)隊(duì)是高度組織化和專業(yè)化的，并且可能有國家背景。在平昌冬季奧運(yùn)會(huì)開幕后不久，我們就收到了針對(duì)奧運(yùn)會(huì)基礎(chǔ)設(shè)施的惡意軟件攻擊報(bào)告。Olympic Destroyer攻擊了一些顯示器，關(guān)閉了Wi-Fi，攻陷了奧運(yùn)會(huì)網(wǎng)站從而阻止觀眾打印門票。攻擊者還攻擊了該地區(qū)的其他一些組織，例如一些韓國的滑雪勝地。Olympic Destroyer是一種網(wǎng)絡(luò)蠕蟲，其主要目的是從受害者的遠(yuǎn)程網(wǎng)絡(luò)共享中擦除文件。在攻擊發(fā)生后的幾天中，基于此前網(wǎng)絡(luò)間諜和攻擊團(tuán)隊(duì)的一系列特征，世界各地的研究團(tuán)隊(duì)和媒體將此次襲擊歸咎為俄羅斯、中國和朝鮮。我們的研究人員也試圖分析攻擊的幕后黑手，在研究的過程中，我們發(fā)現(xiàn)Lazarus惡意組織似乎與此次攻擊相關(guān)。

我們發(fā)現(xiàn)，攻擊者留下的一些獨(dú)特痕跡與此前Lazarus惡意軟件的組件完全匹配。然而，我們?cè)陧n國一家受到攻擊的組織進(jìn)行現(xiàn)場調(diào)查時(shí)發(fā)現(xiàn)，此次攻擊與已知的Lazarus TTP(戰(zhàn)術(shù))相對(duì)比，其動(dòng)機(jī)明顯不同。我們發(fā)現(xiàn)相應(yīng)的特征與代碼無法相互匹配，該攻擊中的惡意軟件被偽造成與Lazarus使用的指紋完美匹配。因此我們得出結(jié)論，其所使用的“指紋”是一個(gè)復(fù)雜的虛假標(biāo)志，故意放置于惡意軟件內(nèi)部，以便使威脅研究人員找到，從而誤導(dǎo)他們。

??

我們繼續(xù)追蹤這一APT組織的活動(dòng)，并在今年6月注意到他們已經(jīng)開始一個(gè)針對(duì)不同地理范圍的新型攻擊。根據(jù)我們的遠(yuǎn)程監(jiān)測(cè)和對(duì)魚叉式網(wǎng)絡(luò)釣魚文件的分析，表明在Olympic Destroyer背后的攻擊者主要針對(duì)歐洲的金融行業(yè)和生物技術(shù)相關(guān)組織發(fā)動(dòng)攻擊，特別是俄羅斯、荷蘭、德國、瑞士和烏克蘭。在早期，Olympic Destroyer的主要目標(biāo)是摧毀冬奧會(huì)及相關(guān)的供應(yīng)鏈、合作伙伴和場館的基礎(chǔ)設(shè)施，并且之前已經(jīng)進(jìn)行了一次偵查活動(dòng)。這樣的證據(jù)表明，新的惡意活動(dòng)是另一個(gè)偵查階段的一部分，隨后會(huì)進(jìn)行一系列具有新動(dòng)機(jī)的破壞性攻擊。其針對(duì)的各種金融相關(guān)目標(biāo)和非金融目標(biāo)也表明，具有不同目的的多個(gè)惡意組織正在使用相同的惡意軟件。這可能是網(wǎng)絡(luò)攻擊外包的結(jié)果，這種情況在民族國家威脅中并不少見。然而，以金融為目標(biāo)很可能也是惡意組織的一個(gè)“幌子”，從而掩蓋其真實(shí)的目的。

在今年4月，我們披露了Parliament活動(dòng)的運(yùn)作情況，這是一項(xiàng)針對(duì)世界各地立法、行政和司法組織的網(wǎng)絡(luò)間諜活動(dòng)，主要集中在中東和北非地區(qū)，特別是巴勒斯坦。這些攻擊始于2017年初，主要針對(duì)議會(huì)、參議院、州政府及其官員、政治學(xué)家、軍事和情報(bào)機(jī)構(gòu)、政府部門、媒體機(jī)構(gòu)、研究中心、選舉委員會(huì)、奧運(yùn)組織、大型貿(mào)易公司等。此次目標(biāo)受害者不同于此前在該地區(qū)的惡意活動(dòng)(Gaza Cybergang和Desert Falcons)，并且在這次惡意攻擊之前，惡意組織精心進(jìn)行了信息收集活動(dòng)。在進(jìn)一步感染之前，攻擊者一直非常小心的驗(yàn)證受害設(shè)備，從而保護(hù)他們的C&C服務(wù)器。在2018年以后，攻擊速度放緩，可能是由于攻擊者已經(jīng)實(shí)現(xiàn)了目標(biāo)。

我們持續(xù)追蹤C(jī)rouching Yeti(又名Energetic Bear)的惡意活動(dòng)，這是一個(gè)自2010年以來一直活躍的APT集團(tuán)，主要以能源和工業(yè)公司為目標(biāo)。該惡意組織面向全球各地發(fā)動(dòng)攻擊，但特別關(guān)注歐洲、美國和土耳其，土耳其是該惡意組織在2016-2017年期間新增的目標(biāo)。該惡意組織的主要策略是發(fā)送包含惡意文檔的網(wǎng)絡(luò)釣魚電子郵件，以及借助托管工具、日志和水坑攻擊來感染服務(wù)器。美國CERT和英國國家網(wǎng)絡(luò)安全中心(NCSC)已經(jīng)公開討論過Crouching Yeti針對(duì)美國目標(biāo)的惡意活動(dòng)。今年4月，卡巴斯基實(shí)驗(yàn)室ICS CERT提供了有關(guān)被Crouching Yeti感染和惡意利用的服務(wù)器的信息，并提供了針對(duì)2016年和2017年初被該惡意組織攻陷的幾臺(tái)Web服務(wù)器的分析結(jié)果。讀者可以在這里查閱??完整報(bào)告??，但以下是我們總結(jié)的摘要：

• 除了極少數(shù)例外情況，該惡意組織使用公開的工具來進(jìn)行攻擊。正因如此，使得根據(jù)攻擊行為追溯到惡意組織的這一過程非常困難。
• 當(dāng)攻擊者希望建立一個(gè)“跳板”，對(duì)目標(biāo)設(shè)施開展進(jìn)一步攻擊時(shí)，互聯(lián)網(wǎng)上任何存在漏洞的服務(wù)器都有可能受到攻擊。
• 該惡意組織執(zhí)行的大多數(shù)任務(wù)，都是尋找漏洞、在各類主機(jī)上獲得持久性，以及竊取身份驗(yàn)證數(shù)據(jù)。
• 惡意攻擊的受害者來自不同行業(yè)，同時(shí)也表明攻擊者具有多種目的。
• 在某種程度上，可以確定該惡意組織的運(yùn)營方式是接受外部客戶的資金支持或接受訂單，然后進(jìn)行初始數(shù)據(jù)收集，竊取身份驗(yàn)證數(shù)據(jù)，并獲得相應(yīng)攻擊資源的持久性，以便攻擊者進(jìn)一步執(zhí)行惡意活動(dòng)。

今年5月，Cisco Talos團(tuán)隊(duì)的研究人員發(fā)布了他們針對(duì)VPNFilter的研究結(jié)果，這是一個(gè)用于感染不同品牌路由器的惡意軟件，主要針對(duì)烏克蘭的目標(biāo)發(fā)動(dòng)攻擊，但同時(shí)也影響了54個(gè)國家的路由器。關(guān)于該惡意軟件的分析，請(qǐng)參考??這篇文章???和??這篇文章??。

最初，分析人員認(rèn)為該惡意軟件感染了大約500000臺(tái)路由器，包括小型辦公室或家庭辦公室(SOHO)中的Linksys、MikroTik、Netgear和TP-Link網(wǎng)絡(luò)設(shè)備，以及QNAP網(wǎng)絡(luò)附加存儲(chǔ)(NAS)設(shè)備。但實(shí)際上，受感染的路由器清單顯然要長得多，總共有75種設(shè)備，包括華碩、D-Link、華為、Ubiquiti、UPVEL和中興。

惡意軟件能夠使受感染的設(shè)備停止工作、執(zhí)行Shell命令、創(chuàng)建用于匿名訪問設(shè)備的TOR配置或配置路由器的代理端口和代理URL以控制瀏覽會(huì)話。但是，該風(fēng)險(xiǎn)也會(huì)擴(kuò)散到設(shè)備支持的網(wǎng)絡(luò)中，從而擴(kuò)大了攻擊范圍。我們的全球研究和分析團(tuán)隊(duì)(GReAT)的研究人員詳細(xì)分析了VPNFilter使用的C&C機(jī)制。其中一個(gè)有趣的問題是，誰是這個(gè)惡意軟件的幕后黑手?Cisco Talos表示，該惡意軟件的背后是一個(gè)由國家或州支持的威脅行為者。美國聯(lián)邦調(diào)查局在其關(guān)于使用Sink-holing 技術(shù)關(guān)停C&C服務(wù)器的報(bào)告中表示，Sofacy(又名APT28、Pawn Storm、Sednit、STRONTIUM和Tsar Team)是該惡意軟件的始作俑者。在此前針對(duì)烏克蘭的攻擊所使用的BlackEnergy惡意軟件中，有一些代碼與之相同。

Sofacy是卡巴斯基實(shí)驗(yàn)室多年來一直追蹤的惡意組織，該網(wǎng)絡(luò)間諜組織保持高度活躍，并且頻繁產(chǎn)出惡意軟件。在2月，我們發(fā)布了2017年Sofacy惡意活動(dòng)的概述，并揭示了2017年該惡意組織逐漸從北約的目標(biāo)轉(zhuǎn)向中東、中亞以及其他地區(qū)的目標(biāo)。Sofacy使用魚叉式網(wǎng)絡(luò)釣魚和水坑攻擊來竊取信息，包括帳戶憑據(jù)、敏感通信和文檔。該威脅行為者還利用0day漏洞來部署其惡意軟件。

Sofacy針對(duì)不同的目標(biāo)部署了不同的工具。2017年年初，該惡意組織的經(jīng)銷商針對(duì)軍事和外交組織(主要位于北約國家和烏克蘭)開展惡意活動(dòng)。在今年晚些時(shí)候，該組織利用其武器庫中的Zebrocy和SPLM，針對(duì)更廣泛的組織(包括科學(xué)與工程中心以及新聞媒體)，面向中亞和遠(yuǎn)東地區(qū)發(fā)動(dòng)攻擊。與其他復(fù)雜的威脅參與者一樣，Sofacy不斷開發(fā)新的工具，保持高水平的操作安全性，并專注于使其惡意軟件難以檢測(cè)。一旦在網(wǎng)絡(luò)上發(fā)現(xiàn)了Sofacy這類高級(jí)惡意組織的任何活動(dòng)跡象，應(yīng)該立即檢查系統(tǒng)上的登錄和異常管理員訪問權(quán)限，徹底掃描或使用沙箱運(yùn)行收到的所有附件，并將電子郵件等服務(wù)設(shè)置為雙因素身份驗(yàn)證和通過VPN訪問。借助APT情報(bào)報(bào)告、YARA等威脅搜索工具以及KATA(卡巴斯基反目標(biāo)攻擊平臺(tái))等高級(jí)檢測(cè)解決方案，可以有助于用戶了解惡意組織的目標(biāo)，并提供檢測(cè)惡意活動(dòng)的強(qiáng)大方法。

我們的研究表明，Sofacy并不是唯一在遠(yuǎn)東地區(qū)運(yùn)營的惡意組織，這有時(shí)會(huì)導(dǎo)致不同惡意組織之間的目標(biāo)重疊。我們已經(jīng)發(fā)現(xiàn)，Sofacy的Zebrocy惡意軟件利用俄羅斯惡意組織Mosquito Turla的集群競爭訪問受害者計(jì)算機(jī)的案例，其使用的SPLM后門軟件與Turla和Danti競相攻擊，都以中亞地區(qū)政府、科技、軍事相關(guān)的組織為攻擊目標(biāo)。最有趣的目標(biāo)重疊，可能是Sofacy與Lamberts家族之間的重疊。在檢測(cè)到服務(wù)器上存在Sofacy組織的惡意軟件之后，研究人員發(fā)現(xiàn)該服務(wù)器此前已被Grey Lambert惡意軟件攻擊。這臺(tái)被攻陷的服務(wù)器屬于一家設(shè)計(jì)和制造航空航天和防空技術(shù)的中國企業(yè)集團(tuán)。但是，原始的SPLM投遞載體仍然未知，這就引發(fā)了很多假設(shè)的可能性，包括Sofacy可能正在使用尚未被發(fā)現(xiàn)的新型漏洞利用方式、后門產(chǎn)生了新的變種，或者Sofacy以某種方式成功利用了Gray Lambert的通信渠道來下載其惡意軟件。甚至，可能之前的Lambert感染是該惡意活動(dòng)中故意留下的虛假線索。我們認(rèn)為，最可能的答案是，Sofacy利用未知的新PowerShell腳本或合法但存在漏洞的Web應(yīng)用程序來加載并執(zhí)行SPLM代碼。

6月份，我們報(bào)告了一項(xiàng)針對(duì)中亞國家數(shù)據(jù)中心的持續(xù)惡意活動(dòng)。在這一活動(dòng)中，目標(biāo)的選擇尤為重要，這意味著攻擊者能夠一舉獲得大量的政府資源。我們認(rèn)為，攻擊者通過在相應(yīng)國家的官方網(wǎng)站上插入惡意腳本來執(zhí)行水坑攻擊。我們根據(jù)惡意活動(dòng)中所使用的工具和策略，以及C&C服務(wù)器update.iaacstudio[.]com，推斷該惡意活動(dòng)由LuckyMouse組織進(jìn)行(又名EmissaryPanda和APT27)。該惡意組織此前的目標(biāo)是政府組織，也包括中亞地區(qū)的組織。用于攻擊數(shù)據(jù)中心的原始載體尚不清楚。我們此前觀察到，LuckyMouse使用武器化工具，借助CVE-2017-11882(Microsoft Office公式編輯器漏洞，自2017年12月以來被廣泛使用)進(jìn)行攻擊，但我們無法證明這一系列工具與此次攻擊有關(guān)。攻擊者可能會(huì)使用水坑攻擊的方式來感染數(shù)據(jù)中心內(nèi)部的計(jì)算機(jī)。

在9月，我們報(bào)道了LuckyMouse的另一起活動(dòng)。自3月份以來，我們發(fā)現(xiàn)了一些感染行為，其中一個(gè)以前未知的木馬被注入到“l(fā)sass.exe”系統(tǒng)進(jìn)程內(nèi)存中。注入過程是由經(jīng)過簽名的32位或64位網(wǎng)絡(luò)過濾驅(qū)動(dòng)程序NDISProxy實(shí)現(xiàn)，這一驅(qū)動(dòng)程序由中國的LeagSoft公司簽署，該公司是一家位于深圳的信息安全軟件開發(fā)商，我們通過CN-CERT報(bào)告了這一問題。該惡意活動(dòng)針對(duì)的是中亞政府組織，我們認(rèn)為此次攻擊與該地區(qū)的高層會(huì)議有關(guān)。在攻擊中所使用的Earthworm隧道，對(duì)于使用中文的惡意組織來說是非常典型的。此外，攻擊者使用的命令之一(-s rssocks -d 103.75.190[.]28 -e 443)創(chuàng)建了到先前已知的LuckyMouse C&C服務(wù)器的隧道。該惡意活動(dòng)所針對(duì)的目標(biāo)，也與該惡意組織此前選擇的目標(biāo)一致。我們沒有發(fā)現(xiàn)任何魚叉式網(wǎng)絡(luò)釣魚或水坑活動(dòng)的跡象，我們認(rèn)為攻擊者是通過已經(jīng)被攻陷的網(wǎng)絡(luò)來進(jìn)行惡意軟件傳播。

Lazarus是一個(gè)成熟的惡意組織，從2009年以來就開始進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)和網(wǎng)絡(luò)破壞活動(dòng)。近年來，該組織開始針對(duì)全球金融組織開展惡意活動(dòng)。在8月，我們發(fā)現(xiàn)該組織已經(jīng)成功攻陷了幾家銀行，并滲透了一些全球加密貨幣交易所和金融科技公司。在協(xié)助應(yīng)急響應(yīng)的同時(shí)，我們了解到受害者是通過帶有木馬的加密貨幣交易應(yīng)用被感染的。一位安全意識(shí)較為薄弱的員工從看似合法的網(wǎng)站下載了第三方應(yīng)用程序，并感染了一個(gè)名為Fallchill的惡意軟件，這是Lazarus近期開始使用的勞工具。似乎Lazarus已經(jīng)找到了一種有效的方法來創(chuàng)建一個(gè)看起來合法的網(wǎng)站，并將惡意Payload注入到看似合法的軟件更新機(jī)制中。在這種情況下，惡意組織創(chuàng)建了一個(gè)虛假的供應(yīng)鏈，而并沒有攻陷一個(gè)真正的供應(yīng)鏈。無論如何，Lazarus集團(tuán)在攻擊供應(yīng)鏈方面取得的成功，表明了他們會(huì)繼續(xù)利用這種攻擊方式。攻擊者針對(duì)非Windows平臺(tái)做出了額外的努力，并且開發(fā)了針對(duì)macOS系統(tǒng)的惡意軟件，同時(shí)該網(wǎng)站提示稱Linux版本即將推出。這可能是我們第一次發(fā)現(xiàn)這個(gè)APT組織利用針對(duì)macOS的惡意軟件?？雌饋?，為了針對(duì)特定高級(jí)目標(biāo)發(fā)動(dòng)攻擊，惡意組織被迫要開發(fā)macOS惡意軟件工具。Lazarus集團(tuán)擴(kuò)展其目標(biāo)操作系統(tǒng)列表的事實(shí)，應(yīng)該為非Windows用戶敲響警鐘。讀者可以在??這里??閱讀我們關(guān)于AppleJeus的報(bào)告。

Turla(又名Venomous Bear、Waterbug和Uroboros)惡意組織最著名的就是當(dāng)時(shí)極度復(fù)雜的Snake Rootkit，主要攻擊與北約相關(guān)的目標(biāo)。然而，這一惡意組織的實(shí)際活動(dòng)要比這一惡意軟件廣泛得多。10月，我們報(bào)道了Turla組織近期的活動(dòng)，揭示了舊代碼、新代碼和新猜測(cè)的有趣組合，以及推測(cè)了該惡意組織的后續(xù)計(jì)劃。我們?cè)?018年的大部分研究，都集中于他們的KopiLuwak JavaScript后門、Carbon框架的新變種以及Meterpreter交付技術(shù)。其他一些值得關(guān)注的地方是他們使用不斷變化的Mosquito投遞技術(shù)、定制的PoshSec-Mod開源PowerShell和從別處借用的注入代碼。我們將一些惡意活動(dòng)與WhiteBear和Mosquito基礎(chǔ)設(shè)施及數(shù)據(jù)點(diǎn)以及惡意組織在2017年和2018年期間的活動(dòng)相關(guān)聯(lián)。該惡意組織的目標(biāo)很少與其他APT活動(dòng)相重疊。Turla并沒有參加具有里程碑意義的DNC黑客活動(dòng)(Sofacy和CozyDuke都曾參與)，他們悄然活躍在全球各地的其他惡意活動(dòng)中，與該惡意組織相關(guān)的攻擊方法尚未被武器化。Mosquito和Carbon活動(dòng)主要針對(duì)外交和外交事務(wù)目標(biāo)，而WhiteAtlas和WhiteBear活動(dòng)遍布全球，針對(duì)于外交相關(guān)的組織，但還針對(duì)一些科技組織以及與政治無關(guān)的組織。該組織的KopiLuwak惡意活動(dòng)沒有針對(duì)于外交和外交事務(wù)，相反，在2018年的惡意活動(dòng)主要針對(duì)具有政府背景的科學(xué)和能源研究組織，以及阿富汗政府相關(guān)的通信組織。這種具有高度針對(duì)性但更加廣泛的目標(biāo)選擇模式可能會(huì)持續(xù)到2019年。

10月，我們報(bào)道了MuddyWater APT組織近期的活動(dòng)。我們?cè)谶^去的監(jiān)測(cè)表明，這個(gè)相對(duì)較新的惡意組織在2017年浮出水面，主要針對(duì)伊拉克和沙特阿拉伯的政府目標(biāo)發(fā)動(dòng)攻擊。然而，眾所周知，近期MuddyWater背后的惡意組織又將目標(biāo)瞄準(zhǔn)中東、歐洲和美國的其他國家。我們注意到，近期大量的魚叉式網(wǎng)絡(luò)釣魚文件似乎針對(duì)約旦、土耳其、阿塞拜疆和巴基斯坦的政府機(jī)構(gòu)、軍事實(shí)體、電信公司和教育機(jī)構(gòu)，此外他們針對(duì)伊拉克和沙特阿拉伯還在發(fā)動(dòng)持續(xù)的攻擊。在馬里、奧地利、俄羅斯、伊朗和巴林，也發(fā)現(xiàn)了受到攻擊的主機(jī)。這些新惡意文檔創(chuàng)建于2018年，惡意活動(dòng)從5月開始升級(jí)。新的魚叉式網(wǎng)絡(luò)釣魚文檔依靠社會(huì)工程學(xué)來誘導(dǎo)受害者啟用宏。受害者依靠一系列被攻陷的主機(jī)來發(fā)動(dòng)攻擊。在我們研究的高級(jí)階段，我們不僅發(fā)現(xiàn)該惡意組織武器庫中的一些其他文件和工具，還觀察到攻擊者所犯的一些OPSEC錯(cuò)誤。為了防范惡意軟件攻擊，我們建議采取如下措施：

• 對(duì)普通員工開展安全教育，以便他們能夠識(shí)別網(wǎng)絡(luò)釣魚鏈接等惡意行為。
• 對(duì)信息安全人員開展專業(yè)培訓(xùn)，確保他們具備完整的配置加固、事件調(diào)查和溯源能力。
• 使用經(jīng)過驗(yàn)證的企業(yè)級(jí)安全解決方案，與能夠通過分析網(wǎng)絡(luò)異常來檢測(cè)攻擊的反目標(biāo)攻擊解決方案相結(jié)合。
• 為安全人員提供訪問最新威脅情報(bào)數(shù)據(jù)的權(quán)限，例如IoC和YARA規(guī)則。
• 建立企業(yè)級(jí)補(bǔ)丁管理流程。

大型組織更應(yīng)該應(yīng)用高水平的網(wǎng)絡(luò)安全技術(shù)，因?yàn)楣粽邔?duì)這些組織的攻擊是無法避免的，并且永遠(yuǎn)不太可能停止。

DustSquad是另一個(gè)針對(duì)中亞組織的惡意組織。在過去兩年中，卡巴斯基實(shí)驗(yàn)室一直在監(jiān)控這個(gè)使用俄語的網(wǎng)絡(luò)間諜組織，并想我們的客戶提供有關(guān)針對(duì)Android和Windows的四個(gè)惡意活動(dòng)的私有情報(bào)報(bào)告。最近，我們分析了一個(gè)名為Octopus的惡意程序，該程序用于攻擊特定地區(qū)的外交機(jī)構(gòu)。這一名稱是由ESET在2017年確定的，因?yàn)樗麄冊(cè)谂f的C&C服務(wù)器上發(fā)現(xiàn)攻擊所使用的0ct0pus3.php腳本。使用卡巴斯基歸因引擎(Kaspersky Attribution Engine)基于相似度算法進(jìn)行分析，我們發(fā)現(xiàn)Octopus與DustSquad相關(guān)。在我們的監(jiān)測(cè)中，我們?cè)谥衼喌貐^(qū)前蘇聯(lián)成員國和阿富汗發(fā)現(xiàn)這一活動(dòng)的蹤跡。4月，我們發(fā)現(xiàn)了一個(gè)新的Octopus樣本，偽裝成具有俄語界面的Telegram Messenger。我們無法找到該惡意軟件所冒充的合法軟件，事實(shí)上，我們認(rèn)為相應(yīng)的合法軟件并不存在。然而，攻擊者利用哈薩克斯坦?jié)撛诘慕故褂肨elegram規(guī)定來推動(dòng)其Dropper作為政治反對(duì)派的替代通信軟件。

10月，我們發(fā)表了針對(duì)Dark Pulsar的分析。我們的調(diào)查始于2017年3月，當(dāng)時(shí)Shadow Brokers發(fā)布的被竊取數(shù)據(jù)中包含了兩個(gè)框架，分別是DanderSpritz和FuzzBunch。DanderSpritz中包含各種類型的插件，旨在分析受害者、實(shí)現(xiàn)漏洞利用、添加計(jì)劃任務(wù)等。DanderSpritz框架旨在檢查已受控制的計(jì)算機(jī)，并從中收集情報(bào)。這兩個(gè)框架共同為網(wǎng)絡(luò)間諜提供了一個(gè)非常強(qiáng)大的平臺(tái)。但泄露的數(shù)據(jù)中并不包括Dark Pulsar后門本身，而是包含一個(gè)用于控制后門的管理模塊。但是，通過在管理模塊中基于一些常量創(chuàng)建特殊簽名，我們就能夠捕獲到植入工具。這種植入工具使攻擊者能夠遠(yuǎn)程控制被感染設(shè)備。我們發(fā)現(xiàn)了50臺(tái)被感染的設(shè)備，它們位于俄羅斯、伊朗和埃及，但我們相信可能還會(huì)有更多。首先，DanderSpritz接口能同時(shí)管理大量被感染主機(jī)。此外，攻擊者通常會(huì)在惡意活動(dòng)結(jié)束后刪除惡意軟件。我們認(rèn)為這一惡意活動(dòng)在2017年4月Shadow Brokers泄露“Lost in Translation”后就停止了。針對(duì)Dark Pulsar這樣的復(fù)雜威脅，大家可以在這里查看我們提供的緩解策略。

三、移動(dòng)APT攻擊系列

2018年，在移動(dòng)APT威脅部分，我們主要發(fā)現(xiàn)了三起重大事件：Zoopark、BusyGasper和Skygofree網(wǎng)絡(luò)間諜活動(dòng)。

從技術(shù)上講，這三起惡意活動(dòng)都經(jīng)過精心設(shè)計(jì)，其主要目的相似，都是監(jiān)視特定的受害者。這些攻擊的主要目的是從移動(dòng)設(shè)備中竊取所有可用的個(gè)人數(shù)據(jù)，包括呼叫、信息、地理定位等。甚至一些惡意軟件還具有通過麥克風(fēng)進(jìn)行竊聽的功能。針對(duì)一些毫無防備的目標(biāo)，他們的智能手機(jī)直接成為了攻擊者最佳的竊聽和信息收集工具。

網(wǎng)絡(luò)犯罪分子特別針對(duì)流行的即時(shí)通信服務(wù)進(jìn)行信息竊取，現(xiàn)在這些服務(wù)已經(jīng)在很大程度上取代了傳統(tǒng)的通信方式。在某些情況下，攻擊者能夠使用木馬實(shí)現(xiàn)在設(shè)備上的本地特權(quán)提升，從而實(shí)現(xiàn)幾乎沒有限制的遠(yuǎn)程監(jiān)控訪問以及設(shè)備管理。

在這三個(gè)惡意程序中，有兩個(gè)程序具有記錄鍵盤輸入的功能，網(wǎng)絡(luò)犯罪分子記錄用戶的每次擊鍵。值得注意的是，要記錄鍵盤輸入，攻擊者甚至都不需要提升權(quán)限。

從地理位置來看，受害者位于各個(gè)國家：Skygofree針對(duì)意大利用戶，BusyGasper針對(duì)俄羅斯特定用戶，Zoopark主要在中東運(yùn)營。

同樣值得注意的是，與間諜活動(dòng)相關(guān)的犯罪分子越來越青睞于移動(dòng)平臺(tái)，因?yàn)橐苿?dòng)平臺(tái)提供了更多的個(gè)人信息。

四、漏洞利用

利用軟件和硬件中存在的漏洞，仍然是攻擊者攻陷各種設(shè)備的主要手段。

今年早些時(shí)候，有兩個(gè)影響Intel CPU的高危漏洞，分別是Meltdown和Spectre，這兩個(gè)漏洞分別允許攻擊者從任何進(jìn)程和自身進(jìn)程中讀取內(nèi)存。這些漏洞自2011年以來一直存在。Meltdown(CVE-2017-5754)會(huì)影響Intel CPU并允許攻擊者從主機(jī)上的任何進(jìn)程讀取數(shù)據(jù)。盡管需要執(zhí)行代碼，但可以通過各種方式來實(shí)現(xiàn)，舉例來說，可以通過軟件漏洞或訪問加載包含Meltdown攻擊相關(guān)JavaScript代碼的惡意網(wǎng)站。一旦該漏洞被成功利用，攻擊者就可以讀取內(nèi)存中的所有數(shù)據(jù)(包括密碼、加密密鑰、PIN等)。廠商很快就發(fā)布了流行操作系統(tǒng)適用的?。但在1月3日發(fā)布的Microsoft補(bǔ)丁與所有反病毒程序不兼容，可能會(huì)導(dǎo)致BSoD(藍(lán)屏)。因此，只有在反病毒軟件首次設(shè)置特定注冊(cè)表項(xiàng)時(shí)，才能安裝更新，從而指示不存在兼容性問題。Spectre(CVE-2017-5753和VCE-2017-5715)與Meltdown不同，該漏洞也存在于其他架構(gòu)中(例如AMD和ARM)。此外，Spectre只能讀取漏洞利用進(jìn)程的內(nèi)存空間，而不能讀取任意進(jìn)程的內(nèi)存空間。更重要的是，除了一些瀏覽器采用了防范措施之外，Spectre還沒有通用的解決方案。在報(bào)告漏洞之后的幾周內(nèi)，可以很明顯地看出這些漏洞不易被修復(fù)。大部分發(fā)布的補(bǔ)丁都是減少攻擊面，減少漏洞利用的已知方法，但并沒有完全消除風(fēng)險(xiǎn)。由于這個(gè)漏洞會(huì)嚴(yán)重影響CPU的正常工作，很明顯廠商在未來的幾年內(nèi)都要努力應(yīng)對(duì)新的漏洞利用方式。事實(shí)上，這一過程并不需要幾年的時(shí)間。在今年7月，Intel為Spectre變種(CVE-2017-5753)相關(guān)的新型處理器漏洞支付了10萬美元的漏洞賞金。Spectre 1.1(CVE-2018-3693)可用于創(chuàng)建預(yù)測(cè)的緩沖區(qū)溢出。Spectre 1.2允許攻擊者覆蓋制度數(shù)據(jù)和代碼指針，從而破壞不強(qiáng)制執(zhí)行讀寫保護(hù)的CPU上的沙箱。麻省理工學(xué)院研究員Vladimir Kiriansky和獨(dú)立研究員Carl Waldspurger發(fā)現(xiàn)了這些新的漏洞。

4月18日，有人向VirusTotal上傳了一個(gè)新的漏洞利用工具。該文件被多家安全廠商檢測(cè)，包括卡巴斯基實(shí)驗(yàn)室在內(nèi)，我們借助通用啟發(fā)式邏輯來檢測(cè)一些較舊的Microsoft Word文檔。事實(shí)證明，這是Internet Explorer(CVE-2018-8174)的一個(gè)新的0day漏洞，Microsoft在5月8日實(shí)現(xiàn)了修復(fù)。我們?cè)谏诚湎到y(tǒng)中運(yùn)行樣本后，發(fā)現(xiàn)該樣本成功針對(duì)應(yīng)用了最新補(bǔ)丁的Microsoft Word版本實(shí)現(xiàn)漏洞利用。因此，我們對(duì)漏洞進(jìn)行了更深入的分析，發(fā)現(xiàn)感染鏈包含以下步驟。受害者首先收到惡意的Microsoft Word文檔，在打開之后，將會(huì)下載漏洞的第二階段，是一個(gè)包含VBScript代碼的HTML頁面。該頁面將會(huì)觸發(fā)UAF漏洞并執(zhí)行ShellCode。盡管最初的攻擊向量是Word文檔，但該漏洞實(shí)際上是位于VBScript中。這是我們第一次看到用于在Word中加載IE漏洞的URL Moniker，我們相信這種技術(shù)在以后會(huì)被攻擊者嚴(yán)重濫用，因?yàn)檫@種技術(shù)允許攻擊者強(qiáng)制加載IE，并忽略默認(rèn)瀏覽器設(shè)置。漏洞利用工具包的作者很可能會(huì)在通過瀏覽器的攻擊和通過Word文檔的魚叉式網(wǎng)絡(luò)釣魚攻擊中濫用這一漏洞。為了防范這種攻擊方式，我們應(yīng)該應(yīng)用最新的安全更新，并使用具有行為檢測(cè)功能的安全解決方案。

8月，我們的AEP(自動(dòng)漏洞利用防御)技術(shù)檢測(cè)到一種新型網(wǎng)絡(luò)攻擊，試圖在Windows驅(qū)動(dòng)程序文件win32k.sys中使用0day漏洞。我們向Microsoft通報(bào)了這一問題，并且Microsoft在10月9日披露了這一漏洞(CVE-2018-8453)并發(fā)布了更新。這是一個(gè)非常危險(xiǎn)的漏洞，攻擊者可以控制受感染的計(jì)算機(jī)。該漏洞被用于針對(duì)中東組織的特定目標(biāo)攻擊活動(dòng)中，我們發(fā)現(xiàn)了近12臺(tái)被感染的計(jì)算機(jī)，我們認(rèn)為這些攻擊是由FruityArmor惡意組織發(fā)動(dòng)的。

10月下旬，我們向Microsoft報(bào)告了另一個(gè)漏洞，這次是win32k.sys的0day特權(quán)提升漏洞，攻擊者可以利用該漏洞來獲取創(chuàng)建系統(tǒng)持久性所需的特權(quán)。這種漏洞也被用于針對(duì)中東組織的攻擊之中。Microsoft在11月13日發(fā)布了該漏洞的更新(CVE-2018-8589)。我們還通過主動(dòng)檢測(cè)技術(shù)(卡巴斯基反目標(biāo)攻擊平臺(tái)的高級(jí)沙盒、反惡意軟件引擎和AEP技術(shù))成功檢測(cè)出這一威脅。

五、瀏覽器擴(kuò)展：擴(kuò)大網(wǎng)絡(luò)犯罪分子的范圍

瀏覽器擴(kuò)展可以隱藏難看的廣告、翻譯文本、幫助我們?cè)诰W(wǎng)上商店選擇想要的商品等，使我們的生活更加輕松。但不幸的是，還有一些惡意擴(kuò)展被用于廣告轟炸、收集用戶活動(dòng)的相關(guān)信息，以及竊取財(cái)產(chǎn)。今年早些時(shí)候，一個(gè)惡意瀏覽器擴(kuò)展引起了我們的注意，因?yàn)樵摂U(kuò)展與一些可疑的域名進(jìn)行了通信。惡意擴(kuò)展名稱為DesbloquearConteúdo(葡萄牙語：解鎖內(nèi)容)，主要針對(duì)巴西地區(qū)使用網(wǎng)上銀行服務(wù)的客戶，收集其登錄信息和密碼，以便攻擊者訪問受害者的銀行賬戶。

9月，黑客發(fā)布了來自至少81000個(gè)Facebook帳戶的私人信息，聲稱這只是1.2億帳戶信息泄露的冰山一角。在暗網(wǎng)的廣告中，攻擊者以每個(gè)帳戶10美分的價(jià)格來提供這些竊取的信息。BBC俄羅斯服務(wù)和網(wǎng)絡(luò)安全公司Digital Shadows調(diào)查了這起攻擊事件。他們發(fā)現(xiàn)在81000個(gè)帳戶中，大多數(shù)來自烏克蘭和俄羅斯，但其他國家的帳戶也包含在內(nèi)，包括英國、美國和巴西。Facebook認(rèn)為這些信息是通過惡意瀏覽器擴(kuò)展程序竊取的。

惡意擴(kuò)展非常罕見，但我們需要認(rèn)真防范這些威脅，因?yàn)樗鼈兛赡軙?huì)造成潛在的損害。用戶應(yīng)該只在Chrome網(wǎng)上應(yīng)用商店或其他官方服務(wù)中安裝具有大量安裝數(shù)和評(píng)論數(shù)的經(jīng)過驗(yàn)證的擴(kuò)展程序。即便應(yīng)用商店的運(yùn)營者已經(jīng)實(shí)施了保護(hù)措施，但惡意擴(kuò)展還是有可能被成功發(fā)布。因此，建議用戶額外使用互聯(lián)網(wǎng)安全產(chǎn)品，安全產(chǎn)品將能夠檢測(cè)出可疑的擴(kuò)展程序。

六、世界杯期間的欺詐行為

社會(huì)工程學(xué)仍然是各類網(wǎng)絡(luò)攻擊者的重要工具。詐騙者總是在尋找機(jī)會(huì)，通過一些熱門的體育賽事來非法牟利，而世界杯就是他們的一個(gè)不錯(cuò)之選。在世界杯開始前的一段時(shí)間，網(wǎng)絡(luò)犯罪分子就開始建立網(wǎng)絡(luò)釣魚網(wǎng)站，并發(fā)出與世界杯相關(guān)的信息。這些網(wǎng)絡(luò)釣魚郵件包括虛假的彩票中獎(jiǎng)通知和比賽門票相關(guān)消息。詐騙者總是竭盡全力地模仿合法的世界杯合作伙伴網(wǎng)站，創(chuàng)建一個(gè)經(jīng)過完美設(shè)計(jì)的網(wǎng)頁，甚至添加了SSL證書以增加可信度。犯罪分子還通過模擬FIFA官方通知來提取數(shù)據(jù)：受害者收到一條消息，通知他們安全系統(tǒng)已經(jīng)更新，必須重新輸入所有個(gè)人數(shù)據(jù)才能避免帳戶被鎖定。這些消息中包含指向虛假頁面的鏈接，詐騙者在這些虛假頁面上收集受害者的個(gè)人信息。

關(guān)于網(wǎng)絡(luò)犯罪分子利用世界杯進(jìn)行欺詐的相關(guān)報(bào)告可以從??這里???找到。此外，我們還提供了有關(guān)如何避免網(wǎng)絡(luò)釣魚詐騙的??提示??，這些提示適用于任何網(wǎng)絡(luò)釣魚詐騙，而不僅僅局限于世界杯相關(guān)。

在比賽前，我們還分析了舉辦FIFA世界杯比賽的11個(gè)城市的無線接入點(diǎn)，總共包含近32000個(gè)Wi-Fi熱點(diǎn)。在檢查其加密和身份驗(yàn)證算法時(shí)，我們計(jì)算了WPA2加密方式和完全開放的網(wǎng)絡(luò)數(shù)量，以及它們?cè)谒薪尤朦c(diǎn)之中的占比。超過五分之一的Wi-Fi熱點(diǎn)都使用了不可靠的網(wǎng)絡(luò)，這意味著犯罪分子只需要身處接入點(diǎn)附近，就能夠攔截流量并獲取人們的數(shù)據(jù)。大約四分之三的接入點(diǎn)使用了WPA/WPA2加密，這是目前被認(rèn)為最安全的加密方式之一。針對(duì)這些熱點(diǎn)，安全防護(hù)的強(qiáng)度主要取決于配置，例如熱點(diǎn)所有者所設(shè)置的密碼強(qiáng)度。復(fù)雜的加密密鑰可能需要數(shù)年才能成功破解。然而，即使是可靠的網(wǎng)絡(luò)(例如WPA2)，也不能被認(rèn)為是完全安全的。這些網(wǎng)絡(luò)仍然容易受到暴力破解、字典破解和密鑰重新配置的攻擊，并且網(wǎng)上有大量的攻擊教程和開源工具。在公共的接入點(diǎn)中，也可以通過中間人攻擊的方式攔截來自WPA Wi-Fi的流量。

我們的報(bào)告以及如何安全使用Wi-Fi熱點(diǎn)的建議可以在??這里??找到，這些建議也同樣適用于任何場景，不只是世界杯。

七、工業(yè)規(guī)模的金融詐騙

今年8月，卡巴斯基實(shí)驗(yàn)室ICS CERT報(bào)道了一起旨在從企業(yè)(主要是制造公司)竊取資金的網(wǎng)絡(luò)釣魚活動(dòng)。攻擊者使用典型的網(wǎng)絡(luò)釣魚技術(shù)，誘導(dǎo)受害者點(diǎn)擊受感染的附件，該附件包含在一封偽裝成商業(yè)報(bào)價(jià)和其他財(cái)務(wù)文件的電子郵件之中。網(wǎng)絡(luò)犯罪分子使用合法的遠(yuǎn)程管理應(yīng)用程序TeamViewer或RMS(Remote Manipulator System)來訪問設(shè)備，并掃描當(dāng)前購買的相關(guān)信息，以及受害者使用的財(cái)務(wù)和會(huì)計(jì)軟件的詳細(xì)信息。然后，攻擊者通過不同手段竊取公司的資金，例如通過替換交易中的銀行賬號(hào)。在8月1日發(fā)布報(bào)告時(shí)，我們已經(jīng)發(fā)現(xiàn)至少有800臺(tái)計(jì)算機(jī)感染這一威脅，這些受感染設(shè)備位于至少400個(gè)組織中，涉及到制造業(yè)、石油和天然氣、冶金、工程、能源、建筑、采礦和物流等多個(gè)行業(yè)。該惡意活動(dòng)自2017年10月以來就持續(xù)進(jìn)行。

我們的研究發(fā)現(xiàn)，即使惡意組織使用簡單的技術(shù)和已知的惡意軟件，他們也可以借助社會(huì)工程學(xué)技巧以及將代碼隱藏在目標(biāo)系統(tǒng)中的方法，成功實(shí)現(xiàn)對(duì)工業(yè)公司的攻擊。同時(shí)，他們使用合法的遠(yuǎn)程管理軟件，來逃避反病毒解決方案的檢測(cè)。

有關(guān)攻擊者如何使用遠(yuǎn)程管理工具來攻陷其目標(biāo)的更多信息，請(qǐng)參見??這篇文章???，以及2018年上半年針對(duì)工控系統(tǒng)的??攻擊概述??。

八、勒索軟件：仍然存在的威脅

在過去一年內(nèi)，勒索軟件攻擊的數(shù)量已經(jīng)發(fā)生下降。然而，這種類型的惡意軟件仍然是一個(gè)嚴(yán)重的問題。我們持續(xù)看到了新的勒索軟件家族的發(fā)展。8月初，我們的反勒索軟件模塊檢測(cè)到了KeyPass木馬。在短短兩天內(nèi)，我們?cè)?0多個(gè)國家發(fā)現(xiàn)了這種惡意軟件，巴西和越南遭受的打擊最為嚴(yán)重，但也在歐洲、非洲和遠(yuǎn)東地區(qū)發(fā)現(xiàn)了受害者。KeyPass可以對(duì)受感染的計(jì)算機(jī)能訪問的本地驅(qū)動(dòng)器和網(wǎng)絡(luò)共享上的所有文件(不限擴(kuò)展名)進(jìn)行加密。同時(shí)，還忽略了一些文件，這些文件位于惡意軟件中硬編碼的目錄中。加密文件的附加擴(kuò)展名為KEYPASS，勒索提示文件名為“!!!KEYPASS_DECRYPTION_INFO!!!.txt”，保存在包含加密文件的每個(gè)目錄中。該木馬的作者實(shí)施了一個(gè)非常簡單的方案。惡意軟件使用了AES-256對(duì)稱加密算法(CFB模式)，并針對(duì)所有文件使用為0的IV和相同的32字節(jié)密鑰。木馬在每個(gè)文件的頭部進(jìn)行加密，最多加密到0x500000字節(jié)(約5MB)的數(shù)據(jù)。在運(yùn)行后不久，惡意軟件連接到其C&C服務(wù)器，并獲取當(dāng)前受害者的加密密鑰和感染ID。數(shù)據(jù)以JSON的形式通過純HTTP傳輸。如果C&C不可用(例如被感染計(jì)算機(jī)未連接到網(wǎng)絡(luò)，或者服務(wù)器已經(jīng)被關(guān)閉)，那么惡意軟件會(huì)使用硬編碼的密鑰和ID。在離線加密的情況下，可以輕松實(shí)現(xiàn)對(duì)文件的解密。

??

KeePass木馬最值得注意的一個(gè)功能是“人工控制”。木馬包含一個(gè)默認(rèn)隱藏的表單，但在按下鍵盤上的特定按鈕后可以顯示該表單。這一表單允許犯罪分子通過更改加密密鑰、勒索提示名稱、勒索文本、受害者ID、加密文件的擴(kuò)展名以及要排除的目錄列表等參數(shù)，從而自定義加密過程。這種能力表明，木馬背后的犯罪分子可能打算在人工攻擊中使用這一軟件。

然而，不僅僅是新的勒索軟件家族對(duì)用戶造成了威脅。在WannaCry爆發(fā)的一年半之后，該軟件仍然是最廣泛的加密勒索惡意軟件之一，到目前為止，我們已經(jīng)在全球范圍內(nèi)發(fā)現(xiàn)了74621次獨(dú)立的攻擊。在2018年第三季度，這些攻擊占所有針對(duì)特定目標(biāo)進(jìn)行加密攻擊的28.72%。這一比例與去年相比增加了2/3?？紤]到在2017年5月病毒爆發(fā)之前，WannaCry所使用的EternalBlue補(bǔ)丁就已經(jīng)存在，這一情況非常令人擔(dān)憂。

九、Asacub和銀行木馬

2018年，涉及移動(dòng)銀行木馬的攻擊數(shù)量有明顯增長。在今年年初，我們針對(duì)這種類型的威脅已經(jīng)檢測(cè)到一定數(shù)量的獨(dú)特樣本和受攻擊用戶。

然而，在第二季度，這一情況發(fā)生了巨大變化。我們檢測(cè)到的移動(dòng)銀行木馬和受攻擊用戶的數(shù)量突破記錄。盡管主要原因還是在于Asacub和Hqwar，但這一數(shù)字發(fā)送巨大回升的根本原因還不清楚。根據(jù)我們的數(shù)據(jù)，Asacub幕后團(tuán)隊(duì)已經(jīng)運(yùn)營了超過3年。

Asacub是從一個(gè)短信木馬演變而來的，它在最開始就擁有防止刪除、攔截來電和攔截短信的技術(shù)。作者隨后將程序邏輯復(fù)雜化，并開始大規(guī)模分發(fā)惡意軟件。所選擇的載體與最初的載體相同，都是通過SMS短信方式借助社會(huì)工程學(xué)實(shí)現(xiàn)分發(fā)。

當(dāng)木馬感染的設(shè)備開始傳播感染時(shí)，就會(huì)呈現(xiàn)出滾雪球的增長趨勢(shì)，Asacub通過自我傳播，擴(kuò)散到受害者的全部聯(lián)系人名單。

十、智能不一定意味著安全

如今，我們被智能設(shè)備所包圍，包括日常家用物品，例如電視、智能電表、恒溫器、嬰兒監(jiān)視器和兒童玩具等。但智能設(shè)備的范疇還包含汽車、醫(yī)療設(shè)備、閉路電視攝像機(jī)和停車咪表。隨著智能化的進(jìn)一步提升，智能城市也相繼出現(xiàn)。然而，如今的智能時(shí)代為攻擊者提供了更大的攻擊面。要保護(hù)傳統(tǒng)計(jì)算機(jī)的安全非常困難，但如果要保護(hù)物聯(lián)網(wǎng)(IoT)的安全，則又是難上加難。由于缺乏標(biāo)準(zhǔn)化，安全人員往往會(huì)忽視其安全性，或者將安全性視為開發(fā)之后需要考量的因素之一。有很多例子可以佐證這一觀點(diǎn)。

2月，我們探討了智能中心(Smart Hub)的安全性問題。通過智能中心，用戶可以控制家中其他智能設(shè)備的操作，發(fā)出命令并接收消息。智能中心可以通過觸摸屏、移動(dòng)應(yīng)用程序或Web界面進(jìn)行控制。如果它遭受攻擊，可能會(huì)出現(xiàn)單點(diǎn)故障。盡管我們的研究人員分析的智能中心沒有明顯漏洞，但其中還是存在足以獲取遠(yuǎn)程訪問權(quán)限的邏輯漏洞。

卡巴斯基實(shí)驗(yàn)室ICS CERT的研究人員針對(duì)一款流行的智能攝像頭進(jìn)行了分析，并研究該設(shè)備是如何防止入侵的。智能攝像頭現(xiàn)在已經(jīng)成為日常生活中的一部分，有許多智能攝像頭都連到云端，用于遠(yuǎn)程監(jiān)控特定位置(查看寵物、進(jìn)行安全監(jiān)控等)。我們的研究人員所分析的設(shè)備被當(dāng)做通用攝像頭來銷售，可以用作嬰兒監(jiān)視器，也可以作為安全系統(tǒng)的一部分。該攝像頭具有夜視能力，可以跟隨移動(dòng)的物體，并支持將視頻傳輸?shù)街悄苁謾C(jī)或平板電腦，可以通過內(nèi)置揚(yáng)聲器播放聲音。但不幸的是，這一智能攝像頭居然有13個(gè)漏洞，幾乎與它的功能一樣多，可以允許攻擊者更改管理員密碼、在設(shè)備上執(zhí)行任意代碼、構(gòu)建被攻陷攝像頭的僵尸網(wǎng)絡(luò)或者完全阻止攝像頭運(yùn)行。

這些安全問題不止存在于面向消費(fèi)者的設(shè)備之中。今年年初，我們的全球研究和分析團(tuán)隊(duì)研究員與Azimuth Security的Amihai Neiderman共同發(fā)現(xiàn)了一個(gè)加油站自動(dòng)化設(shè)備的漏洞。該設(shè)備直接連接到互聯(lián)網(wǎng)，負(fù)責(zé)管理加油站的每一個(gè)組件，包括加油機(jī)器和支付終端。更令人擔(dān)憂的是，外部人員可以使用默認(rèn)憑據(jù)訪問設(shè)備的Web界面。經(jīng)過進(jìn)一步的研究顯示，攻擊者可以關(guān)閉所有加油系統(tǒng)、導(dǎo)致燃油泄漏、修改價(jià)格、繞過支付終端、獲取車輛牌照和駕駛員身份、在控制器單元上執(zhí)行代碼，甚至可以在加油站的網(wǎng)絡(luò)上自由移動(dòng)。

如今，技術(shù)正在推動(dòng)醫(yī)療保健的改革，它有助于提升醫(yī)療質(zhì)量，并降低醫(yī)療和護(hù)理服務(wù)的成本，同時(shí)還可以讓患者和公民更好地管理他們的醫(yī)療保健信息，賦予護(hù)理人員全力，并有助于新藥和治療方法的研究。然而，新的醫(yī)療技術(shù)和移動(dòng)工作實(shí)踐所產(chǎn)生的數(shù)據(jù)要比以往任何時(shí)候都多，同時(shí)也為數(shù)據(jù)丟失或數(shù)據(jù)竊取提供了更多的機(jī)會(huì)。在過去的幾年中，我們已經(jīng)多次提出了這一問題。我們持續(xù)跟蹤網(wǎng)絡(luò)犯罪分子的活動(dòng)軌跡，了解他們?nèi)绾螡B透醫(yī)療網(wǎng)絡(luò)，如何找到公開醫(yī)療資源的數(shù)據(jù)以及如何將其泄露出去。9月，我們檢查了醫(yī)療領(lǐng)域的安全性，發(fā)現(xiàn)超過60%醫(yī)療機(jī)構(gòu)的計(jì)算機(jī)上存在某種惡意軟件。此外，針對(duì)制藥行業(yè)的攻擊仍在持續(xù)增長。關(guān)鍵是，醫(yī)療機(jī)構(gòu)應(yīng)該刪除不再需要的個(gè)人醫(yī)療數(shù)據(jù)，及時(shí)更新軟件，并刪除不再需要的應(yīng)用程序的所有終端，不要將重要的醫(yī)療設(shè)備連接到主LAN上。在??這里??可以找到我們的詳細(xì)建議。

今年，我們還研究了用于動(dòng)物的智能設(shè)備，特別是用于監(jiān)控寵物位置的追蹤器。這些小工具可以訪問寵物主人的家庭網(wǎng)絡(luò)和電話，以及獲取寵物的位置。我們的研究人員研究了幾種市面上流行的追蹤器，其中4款使用BLE藍(lán)牙技術(shù)與用戶的智能手機(jī)進(jìn)行通信，僅有1款被正確配置，其他3款可以接收并執(zhí)行任何人的命令。同時(shí)，追蹤器也可以被禁用，或者對(duì)用戶隱藏，攻擊者所需要做的僅僅是靠近追蹤器。其中，只有一個(gè)經(jīng)過測(cè)試的Android應(yīng)用程序會(huì)驗(yàn)證其服務(wù)器的證書，而不僅僅依賴于系統(tǒng)安全。因此，這些安全性薄弱的產(chǎn)品容易受到中間人(MitM)攻擊，攻擊者可以誘導(dǎo)受害者安裝他們的證書，從而攔截傳輸?shù)臄?shù)據(jù)。

我們的一些研究人員還研究了人類可穿戴設(shè)備，特別是智能手表和健身追蹤器。我們發(fā)現(xiàn)，通過在智能手機(jī)上安裝間諜應(yīng)用程序，可以將內(nèi)置運(yùn)動(dòng)傳感器(加速度計(jì)和陀螺儀)的數(shù)據(jù)發(fā)送到遠(yuǎn)程服務(wù)器，并使用這些數(shù)據(jù)拼湊出佩戴者的行為，例如走路、坐著、打字等。我們從基于Android的智能手機(jī)開始，編寫了一個(gè)簡單的應(yīng)用程序來處理和傳遞數(shù)據(jù)，然后研究我們可以從這些數(shù)據(jù)中獲取什么。結(jié)果表明，不僅可以確定佩戴者是坐著還是走路，并且還能弄清楚佩戴者是散步還是乘坐地鐵，因?yàn)檫@兩種狀態(tài)對(duì)應(yīng)的加速度計(jì)模式略有不同。當(dāng)佩戴者打字時(shí)，也很容易判斷出來。但是，如果想要發(fā)現(xiàn)他們輸入的內(nèi)容，這非常困難，并且需要重復(fù)輸入文本。我們的研究人員能以96%的準(zhǔn)確度恢復(fù)出計(jì)算機(jī)密碼，能以87%的準(zhǔn)確度恢復(fù)出ATM密碼。但是，由于缺乏關(guān)于受害者何時(shí)輸入此類信息的可預(yù)測(cè)性，獲取其他信息(例如：信用卡號(hào)或CVC碼)將更加困難。

近年來，汽車共享服務(wù)有所增長。這些服務(wù)為大城市中的出行人群提供了便利。但是，也隨之產(chǎn)生了安全問題，就是使用這些服務(wù)的用戶個(gè)人信息是否安全?7月，我們測(cè)試了13個(gè)應(yīng)用程序，其結(jié)果并不樂觀。顯然，應(yīng)用程序開發(fā)人員在最初設(shè)計(jì)和創(chuàng)建基礎(chǔ)架構(gòu)時(shí)，都沒有充分考慮到當(dāng)前移動(dòng)平臺(tái)的威脅。最簡單的，目前只有1個(gè)服務(wù)會(huì)向客戶發(fā)送有關(guān)嘗試從其他設(shè)備登錄帳戶的通知。從安全角度來看，我們分析的大多數(shù)應(yīng)用程序的安全性都非常差，需要進(jìn)行改進(jìn)。而且，許多應(yīng)用程序不僅看起來非常相似，實(shí)際上就是使用了相同的代碼。讀者可以在??這里??閱讀我們的報(bào)告，其中包括為汽車共享服務(wù)客戶提供的安全建議，以及為汽車共享應(yīng)用程序開發(fā)人員提供的建議。

智能設(shè)備的使用數(shù)量不斷增加。有預(yù)測(cè)表明，到2020年，智能設(shè)備的數(shù)量將會(huì)超過世界人口的數(shù)倍。然而，一些廠商仍然沒有優(yōu)先考慮設(shè)備的安全性，沒有提醒用戶在初始設(shè)置階段就更改默認(rèn)密碼，沒有關(guān)于新固件版本發(fā)布的提醒。對(duì)于普通用戶來說，更新過程可能非常復(fù)雜。這樣就使得物聯(lián)網(wǎng)設(shè)備成為網(wǎng)絡(luò)犯罪分子的首要目標(biāo)。這些設(shè)備比PC更容易感染，在家庭基礎(chǔ)設(shè)施中往往發(fā)揮重要作用：負(fù)責(zé)管理互聯(lián)網(wǎng)流量、管理視頻監(jiān)控、控制空調(diào)等家用設(shè)備。智能設(shè)備的惡意軟件不僅在數(shù)量上有所增加，在質(zhì)量上也有所提升。越來越多的漏洞被網(wǎng)絡(luò)犯罪分子利用，同時(shí)還利用受感染的設(shè)備來發(fā)動(dòng)DDoS攻擊、竊取個(gè)人數(shù)據(jù)和挖掘加密貨幣。9月，我們發(fā)布了一份關(guān)于??物聯(lián)網(wǎng)威脅的報(bào)告??，從今年開始我們已經(jīng)在季度和年末的統(tǒng)計(jì)報(bào)告中包含有關(guān)物聯(lián)網(wǎng)攻擊的數(shù)據(jù)。

對(duì)于廠商來說，改進(jìn)安全方案非常重要，應(yīng)該確保在設(shè)計(jì)產(chǎn)品時(shí)就充分考慮安全性。一些國家的政府正在努力加強(qiáng)廠商在設(shè)計(jì)環(huán)節(jié)的安全性，正在引入相應(yīng)的指導(dǎo)方針。10月，英國政府退出了消費(fèi)者物聯(lián)網(wǎng)安全實(shí)踐守則。德國政府也在最近公布了其關(guān)于寬帶路由器最低標(biāo)準(zhǔn)的建議。

消費(fèi)者在購買任何連網(wǎng)設(shè)備前，也應(yīng)該首先考慮安全性。

• 考慮是否真正需要這個(gè)設(shè)備，如果需要，請(qǐng)檢查可用的功能，并禁用掉任何不需要的功能，以此減少攻擊面。
• 在線查看關(guān)于任何已經(jīng)上報(bào)的漏洞的信息。
• 檢查是否可以更新設(shè)備上的固件。
• 確保更改默認(rèn)密碼，并將其替換為唯一的復(fù)雜密碼。
• 不要在網(wǎng)上共享與設(shè)備相關(guān)的序列號(hào)、IP地址和其他敏感數(shù)據(jù)。

十一、我們的數(shù)據(jù)掌握在別人手中

個(gè)人數(shù)據(jù)是一種有價(jià)值的信息。在新聞中，各種數(shù)據(jù)泄露事件接連不斷發(fā)生，涉及到Under Armour、FIFA、Adidas、Ticketmaster、T-Mobile、Reddit、British Airways和Cathay Pacific。

Cambridge Analytica違規(guī)使用Facebook數(shù)據(jù)的丑聞提醒人們，個(gè)人信息不僅僅對(duì)于網(wǎng)絡(luò)犯罪分子來說具有價(jià)值。在許多情況下，個(gè)人數(shù)據(jù)是人們?yōu)楂@得產(chǎn)品或服務(wù)所支付的價(jià)格，例如使用“免費(fèi)”瀏覽器、“免費(fèi)”電子郵件帳戶、“免費(fèi)”社交網(wǎng)絡(luò)賬戶等。但并非都是如此。如今，我們已經(jīng)逐漸被智能設(shè)備包圍，這些設(shè)備可以收集我們生活的細(xì)節(jié)。今年早些時(shí)候，一名記者將她的公寓變成了智能家居設(shè)備組成的公寓，以便衡量這些設(shè)備的廠商所收集的數(shù)據(jù)量。由于我們通常會(huì)為這類設(shè)備付費(fèi)，因此數(shù)據(jù)的收集很難被視為使用這些服務(wù)所要支付的價(jià)格。

一些數(shù)據(jù)泄露事件的發(fā)生，導(dǎo)致受影響的公司遭受罰款(例如，英國信息專員辦公室對(duì)Equifax和Facebook進(jìn)行了罰款)。然而，這些罰款都是在歐盟通用數(shù)據(jù)保護(hù)條例(GDPR)正式生效之前進(jìn)行的，在該法案生效后，針對(duì)任何嚴(yán)重違規(guī)行為的處罰力度可能要大得多。

當(dāng)然，不存在100%的安全性。但是任何持有個(gè)人數(shù)據(jù)的組織都有責(zé)任采取有效措施來保護(hù)這些個(gè)人數(shù)據(jù)。如果因違規(guī)行為導(dǎo)致個(gè)人數(shù)據(jù)被盜，那么公司應(yīng)該及時(shí)提醒客戶，從而使客戶能夠采取有效措施來盡可能降低受到的損害。

作為普通用戶，我們無法采取措施來防止廠商的數(shù)據(jù)泄露，但可以加強(qiáng)我們的帳戶安全，特別是針對(duì)每個(gè)帳戶使用不同的密碼，同時(shí)開啟雙因素身份認(rèn)證。