賽門鐵克(Symantec)近期發(fā)布了2018年度互聯(lián)網(wǎng)安全威脅報(bào)告(ISTR24)，總結(jié)性的披露其在2018年觀測(cè)到全球范圍的主要網(wǎng)絡(luò)安全威脅，并對(duì)2019年的威脅趨勢(shì)進(jìn)行了預(yù)測(cè)。

ISTR報(bào)告是基于賽門鐵克全球民用威脅情報(bào)網(wǎng)絡(luò)，提供過(guò)去一年的全球威脅活動(dòng)和態(tài)勢(shì)洞見。據(jù)了解，該威脅情報(bào)網(wǎng)絡(luò)包括1.23億個(gè)監(jiān)測(cè)終端，覆蓋全球超過(guò)157個(gè)國(guó)家和地區(qū)，平均每天攔截1.42億次網(wǎng)絡(luò)攻擊。

本文將介紹賽門鐵克在ISTR24中強(qiáng)調(diào)的八大威脅態(tài)勢(shì)。

1. 表單劫持

以支付卡信息為目標(biāo)的網(wǎng)頁(yè)表單內(nèi)容劫持(formjacking)，是此次ISTR24報(bào)告中最突出強(qiáng)調(diào)的一種攻擊活動(dòng)。

報(bào)告給出了一組關(guān)于表單劫持的數(shù)據(jù)：2018年全球平均每月有4818家不同的Web站點(diǎn)受到表單劫持惡意代碼的攻擊，賽門鐵克全年共攔截表單劫持攻擊嘗試超過(guò)370萬(wàn)次;一條信用卡信息在黑市可賣到45美元，十條信用卡信息每月就可被用來(lái)獲利達(dá)220萬(wàn)美元。

時(shí)間線上，賽門鐵克觀測(cè)到2018年兩個(gè)攻擊峰值分別在5月和11月。這與全球購(gòu)物營(yíng)銷活動(dòng)的時(shí)間趨勢(shì)基本上是一致的。通過(guò)在電商、航空等有零售業(yè)務(wù)的網(wǎng)站植入惡意代碼，表單劫持攻擊可以獲得用戶在網(wǎng)站提交的重要支付信息，并通過(guò)黑市將其販賣牟利。用戶感覺(jué)到損失時(shí)(比如盜刷)已經(jīng)是較為滯后了。

據(jù)賽門鐵克統(tǒng)計(jì)，廣泛的表單劫持攻擊目標(biāo)明確，而且中小型零售商居多。對(duì)于攻擊者而言，表單劫持無(wú)疑是非常奏效的。攻擊活動(dòng)會(huì)在某個(gè)月份的激增，特別是在各國(guó)家和地區(qū)的購(gòu)物季，快速增長(zhǎng)的合法業(yè)務(wù)流量已經(jīng)讓企業(yè)應(yīng)接不暇，在安全預(yù)算和團(tuán)隊(duì)人員極其有限的情況下，安全工作難免會(huì)出現(xiàn)紕漏，措手不急。

報(bào)告警告，已經(jīng)遭受過(guò)挖礦劫持的企業(yè)要特別注意，隨著數(shù)字加密貨幣的貶值，對(duì)于網(wǎng)絡(luò)罪犯而言，信用卡信息相比數(shù)字加密貨幣將顯得更誘人。同時(shí)，因?yàn)榫W(wǎng)站外包開發(fā)/運(yùn)維的普遍存在，需要用戶提交支付和隱私信息的企業(yè)，為了避免類似攻擊帶來(lái)的名利雙重?fù)p失，要更加關(guān)注供應(yīng)鏈風(fēng)險(xiǎn)。

2. 挖礦劫持

挖礦劫持(cyptojacking)的目的，是利用被攻擊者的資源進(jìn)行挖礦(挖掘加密貨幣)活動(dòng)。隨著一些數(shù)字加密貨幣價(jià)值的大幅跳水(特別是門羅比——Monero，在2018年幣值幾乎掉了90%)，2019年對(duì)挖礦劫持活動(dòng)的整體趨勢(shì)賽門鐵克也是“看跌”。但是，不會(huì)消失。

2018年挖礦劫持活動(dòng)主要是基于瀏覽器的。無(wú)論終端的補(bǔ)丁管理是否到位，基于瀏覽器的挖礦腳本幾乎可以無(wú)視這些照常運(yùn)行。同時(shí)，可以看到，除了個(gè)人設(shè)備外，針對(duì)企業(yè)網(wǎng)絡(luò)中設(shè)備的挖礦劫持開始變多，比如利用永恒之藍(lán)漏洞的WannaMine(CVE-2017-0144)挖礦劫持腳本。

整體趨勢(shì)上，賽門鐵克觀測(cè)到2018年的挖礦劫持活動(dòng)相較2017年有明顯增長(zhǎng)，6900萬(wàn)的事件總量是2017年的4倍。盡管如此，從1月到12月，挖礦劫持活動(dòng)數(shù)量在2018年還是驟降了52%。

盡管數(shù)字加密貨幣的價(jià)值是網(wǎng)絡(luò)罪犯進(jìn)行挖礦的核心動(dòng)力，但是仍有相當(dāng)一部分網(wǎng)絡(luò)罪犯認(rèn)為挖礦的投入是值得的。同時(shí)，不得不擔(dān)心的是，一些從事挖礦犯罪的團(tuán)伙會(huì)投身于其它形式的高價(jià)值犯罪，比如上面介紹的表單劫持。

報(bào)告認(rèn)為，挖礦劫持活動(dòng)不會(huì)消失。一些攻擊者仍在等待新的盈利點(diǎn)(比如一種數(shù)字加密貨幣價(jià)值的“瘋漲”)。同時(shí)，挖礦劫持的低門檻和自身的匿名性，仍會(huì)吸引著那批忠實(shí)擁躉。

3. 勒索軟件

近幾年，勒索軟件一直是企業(yè)機(jī)構(gòu)要面對(duì)的重大安全挑戰(zhàn)。這個(gè)趨勢(shì)還會(huì)持續(xù)。

2018年全年，感染勒索軟件的終端數(shù)量，從賽門鐵克的觀測(cè)數(shù)據(jù)來(lái)看，相較2017年下降了20%。雖然總數(shù)下降了，但企業(yè)感染勒索軟件的風(fēng)險(xiǎn)卻在加劇。2017年，勒索軟件的目標(biāo)已經(jīng)可以明顯的看出在從個(gè)人向企業(yè)轉(zhuǎn)移。這一進(jìn)程在2018年繼續(xù)加速。據(jù)統(tǒng)計(jì)，2018年81%的勒索軟件感染都發(fā)生企業(yè)網(wǎng)路中。這一數(shù)據(jù)比2017年增加了12%。

賽門鐵克認(rèn)為，勒索軟件目標(biāo)向企業(yè)轉(zhuǎn)移背后的主要原因有4個(gè)方面，一是大量老舊Windows系統(tǒng)仍在使用，二是對(duì)關(guān)鍵文件備份普遍不及時(shí)或缺失，三是被勒索軟件感染后可要求更大的贖金額度，四是是否支付贖金本質(zhì)上是一個(gè)商業(yè)決策。

2018年，勒索軟件的核心傳播方式是電子郵件。作為企業(yè)機(jī)構(gòu)的主要交流工具，基于郵件的勒索攻擊可以說(shuō)正是大部分企業(yè)的軟肋。但是，安全廠商對(duì)勒索軟件的阻斷也是越來(lái)越行之有效。所以，隨著勒索軟件總數(shù)的下降，賽門鐵克相信，已經(jīng)有部分之前主要從事勒索攻擊的團(tuán)伙，已經(jīng)轉(zhuǎn)向了諸如銀行木馬、信息竊取等其他目的的惡意軟件，而不是再等待贖金。

但是，企業(yè)安全工作者仍有一個(gè)壞消息，那就是2019年定向勒索攻擊團(tuán)伙會(huì)更活躍。

2018年，賽門鐵克看到了眾多破壞性極強(qiáng)、目標(biāo)明確的勒索攻擊，襲擊了眾多企業(yè)機(jī)構(gòu)。其中，大量勒索事件的幕后黑手，報(bào)告認(rèn)為是來(lái)自SamSam團(tuán)伙。2018全年，賽門鐵克看到了67起SamSam攻擊。2019年，SamSam的勢(shì)力將會(huì)更加龐大，同時(shí)其它定向勒索團(tuán)伙也會(huì)活躍起來(lái)。

可以預(yù)見，勒索軟件仍會(huì)是令企業(yè)頭疼不已的難題。

4. 無(wú)文件和供應(yīng)鏈攻擊

基于PowerShell腳本實(shí)現(xiàn)的無(wú)文件攻擊(living off the land，賽門鐵克又將其稱為“就地取材式”攻擊)，作為一種非常有效的新型攻擊手段，在2018年有明確的增長(zhǎng)(賽門鐵克終端惡意PowerShell腳本的阻斷在2018年增長(zhǎng)了10倍)，并在網(wǎng)絡(luò)犯罪和定向攻擊中都有廣泛應(yīng)用。

對(duì)于攻擊者而言，無(wú)文件攻擊的誘惑在于保持低調(diào)——通過(guò)用戶可信的渠道和合法的工具來(lái)實(shí)現(xiàn)惡意目的。

2018年，電子郵件傳播惡意負(fù)載的主流方式無(wú)疑是Microsoft Office文檔附件中的惡意宏。同時(shí)，零日漏洞的利用相較于2017年在減少。不使用任何惡意代碼的攻擊方式(僅利用一般的可用工具)，如定向攻擊團(tuán)伙Gallmaker，也已經(jīng)出現(xiàn)。

報(bào)告提及，賽門鐵克平均每月可攔截11.5萬(wàn)個(gè)惡意PowerShell腳本。但這僅是PowerShell腳本總量的1%。所以，如何在不影響企業(yè)業(yè)務(wù)的前提下，有效的甄別并阻斷攻擊，減少漏報(bào)和誤報(bào)，這就要求更高級(jí)的安全檢測(cè)和分析能力。

供應(yīng)鏈攻擊依舊是重要的威脅場(chǎng)景。

供應(yīng)鏈攻擊在2018年上漲了78%。利用企業(yè)第三方服務(wù)和軟件來(lái)實(shí)現(xiàn)惡意目標(biāo)。例如劫持軟件更新、在合法軟件中注入惡意代碼等，都是主要手段。不知情的開發(fā)者是供應(yīng)鏈攻擊中的關(guān)鍵一環(huán)。開發(fā)環(huán)境的登錄憑證泄漏，被污染的第三方庫(kù)，都能切實(shí)幫助到供應(yīng)鏈攻擊者。

上文提及的表單劫持攻擊的快速增長(zhǎng)，也讓零售、電商等行業(yè)充分認(rèn)識(shí)可到供應(yīng)鏈的脆弱性所帶來(lái)的。許多表單劫持攻擊，就是通過(guò)諸如聊天機(jī)器人、用戶評(píng)論等第三方模塊實(shí)現(xiàn)的。

5. 定向攻擊

隱蔽性是類似APT這種定向攻擊的的特點(diǎn)。但是，值得注意的是，攻擊團(tuán)伙的目的也已經(jīng)開始多樣化。除了情報(bào)收集外，一個(gè)趨勢(shì)是，越來(lái)越多的攻擊者傾向于發(fā)動(dòng)具有更強(qiáng)破壞性的定向攻擊。

數(shù)據(jù)顯示，2018年，使用破壞性惡意軟件的攻擊團(tuán)伙數(shù)量上漲了25%。從2009年開始到今日，由賽門鐵克監(jiān)測(cè)到并曝光的定向攻擊團(tuán)伙總數(shù)已經(jīng)增至32個(gè)。

攻擊方式上，無(wú)文件攻擊近幾年因其隱蔽性而顯著增長(zhǎng)，例如攜帶惡意Office宏的釣魚郵件。攻擊目標(biāo)方面，企業(yè)目標(biāo)數(shù)量也有明顯提升。從賽門鐵克跟蹤到的20個(gè)活躍定向攻擊團(tuán)伙過(guò)去三年的平均企業(yè)目標(biāo)數(shù)量來(lái)看，已經(jīng)從2015到2017年的42個(gè)增長(zhǎng)到了55個(gè)。

此外，不得不提，2018年美國(guó)政府對(duì)被指控參與國(guó)家支持的間諜活動(dòng)的起訴大幅增加，從2016年的5起和2017年的4起，猛增到2018年的49起。報(bào)告認(rèn)為，通過(guò)起訴，這些被嚴(yán)格限制國(guó)際旅行能力的個(gè)人或間諜組織，對(duì)其它國(guó)家目標(biāo)開展以間諜活動(dòng)為目的的定向網(wǎng)絡(luò)攻擊的能力會(huì)被有所削弱。

6. 云安全挑戰(zhàn)

云安全無(wú)疑是個(gè)復(fù)雜的話題。從錯(cuò)誤的云主機(jī)配置，到云基礎(chǔ)設(shè)施的芯片級(jí)漏洞，云安全挑戰(zhàn)的跨越維度可能廣泛到超乎想象。

2018年，因?yàn)榕渲貌划?dāng)，超過(guò)7000萬(wàn)條數(shù)據(jù)從亞馬遜的S3云存儲(chǔ)中泄漏。一些容器部署系統(tǒng)、無(wú)服務(wù)器應(yīng)用和公開的API服務(wù)，也都普遍存在此類問(wèn)題。攻擊者用以自動(dòng)識(shí)別被不當(dāng)配置的云端資源的作案工具在互聯(lián)網(wǎng)上比比皆是。企業(yè)如果不能準(zhǔn)確執(zhí)行云服務(wù)商所提供的安全配置建議，就等同于將其赤裸地暴露在攻擊者面前。

此外，芯片級(jí)的漏洞，如英特爾的熔斷和幽靈，攻擊者可以利用這些訪問(wèn)那些受保護(hù)的內(nèi)存。云環(huán)境下這個(gè)問(wèn)題尤其嚴(yán)重。通過(guò)虛擬化技術(shù)，單個(gè)物理主機(jī)可以對(duì)應(yīng)多個(gè)云實(shí)例，但內(nèi)存池卻是共享的。也就是說(shuō)，單個(gè)物理主機(jī)一旦被攻擊者(利用此類漏洞)攻陷，那么多個(gè)云實(shí)例中的數(shù)據(jù)(可能來(lái)自不同企業(yè))就都有泄漏的風(fēng)險(xiǎn)。

這不是孤立事件，而只是另一個(gè)云安全挑戰(zhàn)的開始。

7. 物聯(lián)網(wǎng)威脅

物聯(lián)網(wǎng)設(shè)備，特別是路由器和智能攝像頭，已經(jīng)成為網(wǎng)絡(luò)犯罪和定向攻擊團(tuán)伙的“必爭(zhēng)之地”。

由受控聯(lián)網(wǎng)攝像頭組成的僵尸網(wǎng)絡(luò)Mirai所發(fā)動(dòng)的DDos攻擊，恐怕所有安全從業(yè)者還都記憶猶新。但是，Mirai的活動(dòng)并沒(méi)有結(jié)束。2018年，Mirai仍是重要物聯(lián)網(wǎng)威脅。經(jīng)過(guò)不斷的發(fā)展進(jìn)化，Mirai及其變種已經(jīng)可以使用多達(dá)16種漏洞，以提高物聯(lián)網(wǎng)設(shè)備的被攻陷概率。它的目標(biāo)，甚至已經(jīng)擴(kuò)展到Linux服務(wù)器。任何擁有計(jì)算資源的設(shè)備都會(huì)是潛在目標(biāo)。

路由器也是感染的重災(zāi)區(qū)。作為下一步攻擊的跳板，特別是在正廣泛普及的智慧家庭與智慧城市場(chǎng)景下，對(duì)于攻擊者而言沒(méi)有比路由器更理想的目標(biāo)。

報(bào)告認(rèn)為，2018年針對(duì)路由器的惡意軟件VPNFliter的出現(xiàn)，代表著物聯(lián)網(wǎng)威脅的一次進(jìn)化。

VPNFliter有很強(qiáng)的駐留能力，即使在設(shè)備重啟后也難以清除;VPNFliter擁有一系列攻擊能力，可以實(shí)現(xiàn)包括中間人攻擊、憑證竊取、攔截SCADA系統(tǒng)通信等能力;VPNFliter可以在攻擊者的控制下擦除設(shè)備數(shù)據(jù)，甚至導(dǎo)致物理設(shè)備無(wú)法使用。不得不說(shuō)，這已經(jīng)在一定程度脫離之前安全行業(yè)對(duì)受控物聯(lián)網(wǎng)設(shè)備被用于發(fā)動(dòng)DDoS或挖礦的認(rèn)識(shí)。甚至，報(bào)告認(rèn)為，因?yàn)閂PNFliter惡意軟件自身極高的成熟度，有理由懷疑它來(lái)自定向攻擊團(tuán)伙甚至更高層的攻擊組織。

這些，就是我們目前必須要面對(duì)日益嚴(yán)峻的物聯(lián)網(wǎng)威脅現(xiàn)狀。

8. 選舉擾亂

美國(guó)大選的結(jié)果，是否受到了俄羅斯的惡意干擾，一直處于激烈的討論。利用社交平臺(tái)的來(lái)影響選民的投票結(jié)果，已經(jīng)有了新的戰(zhàn)術(shù)。比如利用第三方賬戶避免來(lái)自某特定國(guó)家或地區(qū)的貨幣或訪問(wèn)ip，更加關(guān)注事件和活動(dòng)而不是政治性極強(qiáng)的廣告宣傳可以避開社交平臺(tái)的反制手段。

當(dāng)然，F(xiàn)acebook和Twitter作為美國(guó)兩個(gè)社交平臺(tái)也已經(jīng)主動(dòng)采取行動(dòng)，包括我們熟悉的封號(hào)、打擊虛假信息及其傳播途徑等。此外，物理層面更安全的投票機(jī)，來(lái)自美國(guó)網(wǎng)絡(luò)司令部對(duì)黑客組織的直接打擊，也是重要手段。

網(wǎng)絡(luò)黑市經(jīng)濟(jì)學(xué)

除以上8點(diǎn)威脅態(tài)勢(shì)分析外，ISTR24還給出了2018年賽門鐵克從某些公開訪問(wèn)的黑市論壇、暗網(wǎng)站點(diǎn)等渠道，統(tǒng)計(jì)到的部分信息、軟件和服務(wù)的公開報(bào)價(jià)。雖然報(bào)告明確表示這些數(shù)據(jù)無(wú)從核實(shí)，而且某些封閉、私密性更強(qiáng)的論壇可能有更低的報(bào)價(jià)，但是從這些數(shù)據(jù)中，對(duì)網(wǎng)絡(luò)攻擊的犯罪成本，以及犯罪成功后可能的盈利情況，其背后支撐的巨大經(jīng)濟(jì)體系，我們可見一斑。

報(bào)告下載：

https://www.symantec.com/security-center/threat-report

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文