赛门铁克年度分析《互联网安全威胁报告》精华版

作者:星期五, 六月 2, 20170
分享:

5月初,赛门铁克基于其全球安全情报网络(GIN)在2016年对157个国家/地区收集到的威胁数据,发布了最新的年度安全分析报告——《互联网安全威胁报告》(ISTR)。

今年的ISTR报告主要从针对性攻击、恶意邮件及利用工具、针对金融行业的网络犯罪、勒索软件、物联网安全以及云端威胁等领域对年度全球网络攻击/犯罪和安全威胁态势进行分析。现小编将报告的核心观点整理如下。

一、针对性攻击两大趋势:破坏性和颠覆性

通过对全球2016年发生的诸如乌克兰停电重大“针对性攻击”事件的监测与分析,赛门铁克认为,2016年发生的针对性攻击主要可以分为两大类:

  • 针对电力等能源行业关键IT基础设施的“破坏性”攻击
  • 通过黑客入侵导致数据泄露以影响政治格局的“颠覆性”攻击

其中,破坏性攻击的典型代表,便是针对沙特等波斯湾地区国家的能源基础设施发动攻击,以鱼叉式网络钓鱼为跳板,最终实现硬盘数据擦除的从而达到破坏目的的Shamoon;而颠覆性攻击的典型,则是今年美国大选前后,由俄罗斯黑客对美国民主党委员会(DNC)进行渗透,并将其内部数据公之于众以扰乱美国大选格局的黑客组织 Fancy Bear和Cozy Bear。

2016年针对性攻击事件时间线

二、电子邮件成为首选攻击载体

1. 钓鱼&BEC攻击

携有恶意附件的电邮,(鱼叉式)钓鱼甚至是更有针对性的钓鲸攻击,是所有企业近几年最头痛的安全问题之一。据赛门铁克的统计,近三年恶意邮件占邮件总数比例的不断走高,从2015年的1/220到2016年1/131几乎增长了一倍。其中,2016年钓鱼邮件的占比为1/2596。

对于日益增长针对企业高管的BEC攻击,赛门铁克估计过去三年全球受害者超过22,000名,仅FBI记录在案的损失就高达30亿美金。而其中,近一半电邮地址是来自尼日利亚的IP。

BEC攻击的关键词方面,出现频率最高的是“Request”,占比高达1/4,“Payment”和“Urgent”次之,分别为15%和10%。

BEC攻击关键词

而在典型的恶意欺骗邮件方面,赛门铁克给出关键词的前三位则是“Invoice”、“Document”和“Scan”,占比依次为26%、13%、12%。也就是说,平均每两封恶意欺诈邮件就会有一封出现这三个词汇中的一个。

恶意欺诈邮件关键词

2. Office宏、wsf、PowerShell等恶意脚本附件

同时,赛门铁克还发现,多数用户对电邮中的“Office附件”,尤其是对某些恶意宏(Macros)的启用毫无戒心。

据统计, 附在Word文档的恶意宏——W97M.Downloader及其变种是2016年最流行的下载器,并可通过电邮传递诸如Dridex木马等恶意软件。

同时,Windows系统下的脚本文件(wsf),也被作为JS下载器,在2016年的6月到7月,以及11月到12月,携有恶意wsf附件的邮件规模出现快速的增长。

特别,在对Office宏和wsf文档的恶意利用方面,通过这种方式感染Lockey的事件在2016年年末形成了一次小规模的爆发,扩散速度一度达到了每小时4000名新感染者。

除此之外,拥有强大脚本语言支持和shell框架的PowerShell已经成为了恶意软件感染链中的重要一环。

因为PowerShell本身是Windows计算机默认安装的,而又不会有企业要求员工去刻意禁用它,这使得恶意的PowerShell活动变得非常非常普遍。脚本文件更容易隐藏攻击者的恶意意图。同时,PowerShell还允许恶意载荷绕过一般恶意软件的硬盘写入过程而直接从内存中执行。这些无疑使得攻击者更难以被追踪。

一个典型的攻击流程是:

员工收到包含“Invoice”或“Bill”字样的电邮->邮件中包含如office宏、JS等脚本->诱导收到该邮件的员工执行宏文件或执行PowerShell来下载或执行最终恶意载荷->PC中招(可能是勒索病毒、木马等恶意软件)

三、银行劫案:针对金融行业的恶意木马&SWIFT攻击

在针对在线银行的网络犯罪方面,虽然后起之秀——勒索软件将会占据越来越多的优势,但2016年最令人担心的还是针对银行的木马病毒和SWIFT攻击。

首先在木马病毒方面,赛门铁克观测到的前五大针对金融的木马威胁是:Ramnit、Bebloh、Zbot、Snifula和Cridex。其中,通过电邮在英国大肆传播的Ramnit,受感染机器数量已经超过46万台。

前十大金融木马

而针对孟加拉中央银行SWIFT系统实施的银行劫案,则更令众人关注。

2016年初,攻击者利用入侵孟加拉央行系统偷来的SWIFT凭证,以及专为篡改银行系统的转账确认信息开发,用于掩盖攻击者欺诈行为的恶意软件,并选择在周末发起攻击,最终成功将8100万美金从孟加拉转至菲律宾。

据赛门铁克分析,此次攻击者使用的方法是建立在对SWIFT系统的深入了解的基础上的,并且是第一次与民族国家有关的黑客组织(注:赛门铁克认为在这起攻击中所使用的恶意软件Trojan.Banswift与黑客组织Lazarus 有关,而Lazarus的背后支持者FBI声称正是朝鲜政府。)参与到大规模针对金融行业的网络犯罪。

针对SWIFT银行劫案还在越南、厄瓜多尔等地接连发生,赛门铁克认为Lazarus会在2017年针对金融机构发起更多的攻击。

除了Lazarus,赛门铁克还发现了另外瞄准银行SWIFT系统用户的攻击,利用的是名为Trojan.Odinaff的恶意软件。相较于Lazarus,Odinaff的攻击显得更为复杂。除了利用众多的轻量级的后门外,还针对不同领域开发了不同定制化的工具。

Odinaff木马经常部署在恶意宏中,同时为了保持低调神秘,攻击的过程被十分小心谨慎的安排,只在必要时才会下载和安装新的工具。

四、数据泄露与黑市

对于金融行业来讲,除了上面谈到的恶意木马和针对SWIFT系统的攻击外,近两年如摩根大通等金融巨头发生的大规模客户数据外泄事件,也已经成为对企业声誉造成重要影响的安全隐患。

据赛门铁克统计,2016年全年发生数据泄露事件1200余起,被盗凭证超过11.2亿条。而去年9月发现的,从2014年开始陆续发生的雅虎5亿用户数据,以及之后曝出的在2013年8月发生的10亿账户泄露事件,这些都使得雅虎成为2016年数据泄露最大的“赢家”,甚至正在对其正在进行收购的威瑞森也因此将收购价下调了3.5亿美金。

赛门铁克看来,在被泄数据类型方面,无论是2015还是2016年,个人识别信息(PII)都是稳居榜首,虽然2016年所占比例有所下滑。而个人财务信息(PFI)和除了包括以上两类以及个人健康信息(PHI)以外的其它信息,所占比例均有所上升。

被泄数据类型

导致企业发生数据泄露事件的原因方面,数据遭窃、数据使用不当、其它原因和钓鱼/欺诈/社会工程占到9成。

前十大数据泄露原因

受数据泄露影响最严重(注:即发生更多的数据泄露事件)的行业,服务业和金融/保险/地产已经占据了数据泄露总数的66%;细分行业受影响最严重的前三名依次是:商业服务、健康服务和存托机构。而受凭证泄露影响最严重的细分行业,仅商业服务一项就占据了近77.5%的凭证泄露数量,前三名之后依次是电影和出版/发行业。

受数据泄露影响最严重的前十大细分行业

受凭证泄露影响最严重的前十大细分行业

企业重要数据尤其是信用卡和用户个人信息遭泄露之后,攻击者想要盈利,必然需要地下黑市的支持。

从2015年开始,信用卡数据便是黑市论坛中卖的最好的待售数据。据了解,信用卡数据的价格主要取决于其所属国家/地区、公司、等级、以及所能提供的额外信息。如果包含信用卡持有者的个人识别码(PIN)的话,价格将会高出10倍。

赛门铁克的研究员表示,黑客对诸如Netflix和Spotify等流媒体网站账户表现出越来越高的兴趣,每个账户的价格从之前的10美分涨到了现在的10美元。而DDoS服务则依旧保持高价位,最高可达1000美金。

同时,涉及如勒索工具等恶意软件的价格最高则可达1800美元,并经常以犯罪软件即服务(CaaS)的形式交易。除此以外,电子汇款服务也日渐兴起,手续费可高达总金额的10%,而这也说明目前对于网络罪犯来说,想要将盗取钱财套现还是非常困难的一步。

部分地下黑市价位

五、针对企业和个人的勒索软件发展迅猛

勒索软件威胁无论对于企业还是个人,都已经变得不容小觑。

更多的勒索软件家族的出现,加密中招PC或服务器中文件所带来的对正常业务流程的破坏性,以及结合比特币支付的隐匿性和蠕虫病毒的快速广泛传播,这些都使得勒索攻击成为最让人担忧的网络犯罪之一。

据赛门铁克统计,2016年检测到勒索攻击有463,000次,比2015年上涨了36%,平均每天会有1271起。在新勒索软件家族方面,相较于2015年,2016年的新发现的勒索软件家族为数量为101,是2014年新勒索软件家族数量的三倍以上;但是同期,勒索软件新型变种的数量却下降了29%,仅为241,000。这也反映出了攻击者为了尽可能逃避反病毒软件的检测而更多的选择勒索病毒的新家族而不是新变种这一趋势。

勒索赎金方面,相较于2015年也有比较大的涨幅。平均勒索赎金从2015年的294美元,上涨到了2016年的1077美元。除此以外,勒索软件还会增加赎金上涨条件,比如超过X天没有支付的话,赎金便会翻倍。同时,有证据显示,勒索攻击者会开始根据其加密的数据类型而定制化地设定赎金金额。例如HDDCryptor在成功攻击旧金山市政交通机构并导致城市轻轨服务中断后要求支付高达7万美元的赎金。

攻击目标方面,据赛门铁克统计,消费者群体仍是勒索软件的主要攻击目标。2016年消费者和企业受勒索攻击数量比例分布与2015年差别不明显,仍约为2:1。个人消费者相较于企业对勒索攻击的防范意识和认知更为浅薄,且大多因为恶意邮件而中招。而针对企业目标,攻击者则更看重的是其内部网络中的高价值数据。通过对多台主机的感染和核心数据加密,赎金甚至已成为企业在勒索事件中最微不足道的损失。

感染途径上,赛门铁克发现,除了常见的附有下载器或恶意链接的电子邮件外,通过在第三方web服务器挂载恶意代码或恶意广告等实现的对恶意服务器的重定向,并通过漏洞利用实现对未及时进行安全更新PC的感染,也是发起勒索攻击的“主力军”。

除此以外,勒索软件还会通过诸如:二次感染、对某些服务登录凭证的暴力破解、自我复制、软件漏洞、第三方应用市场等途径发起攻击。

2016年前三大勒索威胁

勒索攻击的高回报、低攻击成本等特性,让包括勒索病毒变种开发者在内的勒索软件即服务(RaaS)在2016年变得日渐成熟。而这无疑会使得勒索攻击的规模在2017年会快速扩大。同时,包括对安卓、苹果等多平台的操作系统支持的针对性攻击,也势必会成为勒索软件将来的发展方向。

防范勒索威胁方面,除了及时进行操作系统和软件的安全更新外,良好的备份习惯,以及对含有Office附件和链接的可疑电邮保持高度警惕,都是减少勒索攻击所带来损失的关键。

六、影子IT&由物联网设备组成的僵尸网络所带来的潜在威胁

诸如Office365、Dropbox、GitHub等越来越多的云端应用和服务被企业所使用,同时存储在云端的数据量也不断在增长。但是,缺乏从制度和流程上对企业员工使用这些云端应用的控制这一现状,使得企业利用云端服务的风险一直在上升。

分析人员发现,企业CIO往往认为被企业内部员工使用的云端应用只有30-40个,而真实数量往往是这个数字的20倍以上,平均可达到928个。

同时,赛门铁克的云端SOC还发现,企业中近1/4影子数据注:即IT部门不知或未授权却存储在云端的业务数据)面临着极高的泄露风险,而这其中的1/3是合规要求中明确要保护的敏感信息,包括个人识别信息(PII)、支付卡信息(PCI)、受保护的医疗信息(PHI)等。这些重要信息如果发生泄漏,企业将面临严重的合规性惩罚。

限制员工对这些可提供高效工作环境的云端应用的使用并不能够完全消除这些风险。相反,执行云端数据治理的最佳实践,包括更安全的身份认证、用户行为分析等技术对阻止敏感数据外泄更为关键。

除了影子数据的问题外,由脆弱的物联网设备组成的僵尸网络,也成为了攻击者手中的利器。

物联网安全在2015年开始就受到关注,而2016年由物联网设备组成的僵尸网络Mirai对DNS服务提供商Dyn发起DDoS攻击导致美国部分地区发生大规模断网事件的发生,则让物联网设备的安全性问题备受重视。

物联网设备厂商对默认口令、端口开放等安全问题的轻视、大部分设备不支持自动化的固件更新或软件补丁、以及用户对其所有设备是否被恶意利用的不关心,是物联网设备吸引攻击者将其作为僵尸网络并发起网络攻击的主要原因。

根据部署在全球各地的物联网蜜罐,赛门铁克发现,从2016年1月到12月对蜜罐发起攻击的不同IP数量几乎翻倍。从1月平均每小时4.6个到12月超过8.8个,且大部分攻击IP都来自其它物理网设备。

除此以外,以攻击发起设备的IP所属地(不代表攻击发起者的国籍)为指标,还可以看到,全球排名前五的针对物联网设备发起攻击的发起设备所属地区依次是中国、美国、俄罗斯、德国和越南。

口令方面,默认或硬编码口令的使用情况非常普遍。大量用户并没有意识到这种默认登录凭证会带来多大的安全隐患,而厂商也没有强制用户更改成唯一登录凭证,这使得口令成为了物联网设备的重要脆弱点。

据赛门铁克统计,排名前十的常用登录口令依次是:admin、root、123456、12345、ubnt(注:Ubiquiti品牌的路由器的默认口令)、password、1234、admin123、test和abc。

还有一个可能的趋势,就是物联网威胁和影子数据所带来的潜在风险在网络犯罪方面的结合。

随着诸如智能摄像头等物联网设备的普及,以及智能生活的到来,物联网设备可以搜集到用户更多更隐私的数据,云端的不安全存储会给用户带来更高的隐私数据泄露的风险。

七、安全建议

结合此次《互联网安全威胁报告》的内容,赛门铁克分别针对企业和个人消费者给出以下安全建议。

企业:

  • 实时监控企业资源
  • 定期进行恶意电邮防护的安全培训
  • 为可能发生的最坏情况做好准备
  • 部署全面安全解决方案并实施多层防护

消费者:

  • 即使更新操作系统和软件
  • 谨慎对待可疑的恶意电邮
  • 定期进行文件备份
  • 更改设备和服务的默认登录凭证

报告下载:

https://www.symantec.com/about/newsroom/press-kits/istr-22

 

分享:

相关文章

写一条评论

 

 

0条评论