赛门铁克(Symantec)近期发布了2018年度互联网安全威胁报告(ISTR24),总结性的披露其在2018年观测到全球范围的主要网络安全威胁和攻击方式,并对2019年的威胁趋势进行了预测。
ISTR报告是基于赛门铁克全球最大的民用威胁情报网络,提供过去一年的全球威胁活动和态势洞见。据了解,该威胁情报网络包括1.23亿个监测终端,覆盖全球超过157个国家和地区,平均每天拦截1.42亿次网络攻击。
本文将介绍赛门铁克在ISTR24中强调的八大威胁态势。
1. 表单劫持
以支付卡信息为目标的网页表单内容劫持(formjacking),是此次ISTR24报告中最突出强调的一种攻击活动。
报告给出了一组关于表单劫持的数据:2018年全球平均每月有4818家不同的Web站点受到表单劫持恶意代码的攻击,赛门铁克全年共拦截表单劫持攻击尝试超过370万次;一条信用卡信息在黑市可卖到45美元,十条信用卡信息每月就可被用来获利达220万美元。
时间线上,赛门铁克观测到2018年两个攻击峰值分别在5月和11月。这与全球购物营销活动的时间趋势基本上是一致的。通过在电商、航空等有零售业务的网站植入恶意代码,表单劫持攻击可以获得用户在网站提交的重要支付信息,并通过黑市将其贩卖牟利。用户感觉到损失时(比如盗刷)已经是较为滞后了。
据赛门铁克统计,广泛的表单劫持攻击目标明确,而且中小型零售商居多。对于攻击者而言,表单劫持无疑是非常奏效的。攻击活动会在某个月份的激增,特别是在各国家和地区的购物季,快速增长的合法业务流量已经让企业应接不暇,在安全预算和团队人员极其有限的情况下,安全工作难免会出现纰漏,措手不急。
报告警告,已经遭受过挖矿劫持的企业要特别注意,随着数字加密货币的贬值,对于网络罪犯而言,信用卡信息相比数字加密货币将显得更诱人。同时,因为网站外包开发/运维的普遍存在,需要用户提交支付和隐私信息的企业,为了避免类似攻击带来的名利双重损失,要更加关注供应链风险。
2. 挖矿劫持
挖矿劫持(cyptojacking)的目的,是利用被攻击者的资源进行挖矿(挖掘加密货币)活动。随着一些数字加密货币价值的大幅跳水(特别是门罗比——Monero,在2018年币值几乎掉了90%),2019年对挖矿劫持活动的整体趋势赛门铁克也是“看跌”。但是,不会消失。
2018年挖矿劫持活动主要是基于浏览器的。无论终端的补丁管理是否到位,基于浏览器的挖矿脚本几乎可以无视这些照常运行。同时,可以看到,除了个人设备外,针对企业网络中设备的挖矿劫持开始变多,比如利用永恒之蓝漏洞的WannaMine(CVE-2017-0144)挖矿劫持脚本。
整体趋势上,赛门铁克观测到2018年的挖矿劫持活动相较2017年有明显增长,6900万的事件总量是2017年的4倍。尽管如此,从1月到12月,挖矿劫持活动数量在2018年还是骤降了52%。
尽管数字加密货币的价值是网络罪犯进行挖矿的核心动力,但是仍有相当一部分网络罪犯认为挖矿的投入是值得的。同时,不得不担心的是,一些从事挖矿犯罪的团伙会投身于其它形式的高价值犯罪,比如上面介绍的表单劫持。
报告认为,挖矿劫持活动不会消失。一些攻击者仍在等待新的盈利点(比如一种数字加密货币价值的“疯涨”)。同时,挖矿劫持的低门槛和自身的匿名性,仍会吸引着那批忠实拥趸。
3. 勒索软件
近几年,勒索软件一直是企业机构要面对的重大安全挑战。这个趋势还会持续。
2018年全年,感染勒索软件的终端数量,从赛门铁克的观测数据来看,相较2017年下降了20%。虽然总数下降了,但企业感染勒索软件的风险却在加剧。2017年,勒索软件的目标已经可以明显的看出在从个人向企业转移。这一进程在2018年继续加速。据统计,2018年81%的勒索软件感染都发生企业网路中。这一数据比2017年增加了12%。
赛门铁克认为,勒索软件目标向企业转移背后的主要原因有4个方面,一是大量老旧Windows系统仍在使用,二是对关键文件备份普遍不及时或缺失,三是被勒索软件感染后可要求更大的赎金额度,四是是否支付赎金本质上是一个商业决策。
2018年,勒索软件的核心传播方式是电子邮件。作为企业机构的主要交流工具,基于邮件的勒索攻击可以说正是大部分企业的软肋。但是,安全厂商对勒索软件的阻断也是越来越行之有效。所以,随着勒索软件总数的下降,赛门铁克相信,已经有部分之前主要从事勒索攻击的团伙,已经转向了诸如银行木马、信息窃取等其他目的的恶意软件,而不是再等待赎金。
但是,企业安全工作者仍有一个坏消息,那就是2019年定向勒索攻击团伙会更活跃。
2018年,赛门铁克看到了众多破坏性极强、目标明确的勒索攻击,袭击了众多企业机构。其中,大量勒索事件的幕后黑手,报告认为是来自SamSam团伙。2018全年,赛门铁克看到了67起SamSam攻击。2019年,SamSam的势力将会更加庞大,同时其它定向勒索团伙也会活跃起来。
可以预见,勒索软件仍会是令企业头疼不已的难题。
4. 无文件和供应链攻击
基于PowerShell脚本实现的无文件攻击(living off the land,赛门铁克又将其称为“就地取材式”攻击),作为一种非常有效的新型攻击手段,在2018年有明确的增长(赛门铁克终端恶意PowerShell脚本的阻断在2018年增长了10倍),并在网络犯罪和定向攻击中都有广泛应用。
对于攻击者而言,无文件攻击的诱惑在于保持低调——通过用户可信的渠道和合法的工具来实现恶意目的。
2018年,电子邮件传播恶意负载的主流方式无疑是Microsoft Office文档附件中的恶意宏。同时,零日漏洞的利用相较于2017年在减少。不使用任何恶意代码的攻击方式(仅利用一般的可用工具),如定向攻击团伙Gallmaker,也已经出现。
报告提及,赛门铁克平均每月可拦截11.5万个恶意PowerShell脚本。但这仅是PowerShell脚本总量的1%。所以,如何在不影响企业业务的前提下,有效的甄别并阻断攻击,减少漏报和误报,这就要求更高级的安全检测和分析能力。
供应链攻击依旧是重要的威胁场景。
供应链攻击在2018年上涨了78%。利用企业第三方服务和软件来实现恶意目标。例如劫持软件更新、在合法软件中注入恶意代码等,都是主要手段。不知情的开发者是供应链攻击中的关键一环。开发环境的登录凭证泄漏,被污染的第三方库,都能切实帮助到供应链攻击者。
上文提及的表单劫持攻击的快速增长,也让零售、电商等行业充分认识可到供应链的脆弱性所带来的。许多表单劫持攻击,就是通过诸如聊天机器人、用户评论等第三方模块实现的。
5. 定向攻击
隐蔽性是类似APT这种定向攻击的的特点。但是,值得注意的是,攻击团伙的目的也已经开始多样化。除了情报收集外,一个趋势是,越来越多的攻击者倾向于发动具有更强破坏性的定向攻击。
数据显示,2018年,使用破坏性恶意软件的攻击团伙数量上涨了25%。从2009年开始到今日,由赛门铁克监测到并首次曝光的定向攻击团伙总数已经增至32个。
攻击方式上,无文件攻击近几年因其隐蔽性而显著增长,例如携带恶意Office宏的钓鱼邮件。攻击目标方面,企业目标数量也有明显提升。从赛门铁克跟踪到的20个活跃定向攻击团伙过去三年的平均企业目标数量来看,已经从2015到2017年的42个增长到了55个。
此外,不得不提,2018年美国政府对被指控参与国家支持的间谍活动的起诉大幅增加,从2016年的5起和2017年的4起,猛增到2018年的49起。报告认为,通过起诉,这些被严格限制国际旅行能力的个人或间谍组织,对其它国家目标开展以间谍活动为目的的定向网络攻击的能力会被有所削弱。
6. 云安全挑战
云安全无疑是个复杂的话题。从错误的云主机配置,到云基础设施的芯片级漏洞,云安全挑战的跨越维度可能广泛到超乎想象。
2018年,因为配置不当,超过7000万条数据从亚马逊的S3云存储中泄漏。一些容器部署系统、无服务器应用和公开的API服务,也都普遍存在此类问题。攻击者用以自动识别被不当配置的云端资源的作案工具在互联网上比比皆是。企业如果不能准确执行云服务商所提供的安全配置建议,就等同于将其赤裸地暴露在攻击者面前。
此外,芯片级的漏洞,如英特尔的熔断和幽灵,攻击者可以利用这些访问那些受保护的内存。云环境下这个问题尤其严重。通过虚拟化技术,单个物理主机可以对应多个云实例,但内存池却是共享的。也就是说,单个物理主机一旦被攻击者(利用此类漏洞)攻陷,那么多个云实例中的数据(可能来自不同企业)就都有泄漏的风险。
这不是孤立事件,而只是另一个云安全挑战的开始。
7. 物联网威胁
物联网设备,特别是路由器和智能摄像头,已经成为网络犯罪和定向攻击团伙的“必争之地”。
由受控联网摄像头组成的僵尸网络Mirai所发动的DDos攻击,恐怕所有安全从业者还都记忆犹新。但是,Mirai的活动并没有结束。2018年,Mirai仍是重要物联网威胁。经过不断的发展进化,Mirai及其变种已经可以使用多达16种漏洞,以提高物联网设备的被攻陷概率。它的目标,甚至已经扩展到Linux服务器。任何拥有计算资源的设备都会是潜在目标。
路由器也是感染的重灾区。作为下一步攻击的跳板,特别是在正广泛普及的智慧家庭与智慧城市场景下,对于攻击者而言没有比路由器更理想的目标。
报告认为,2018年针对路由器的恶意软件VPNFliter的出现,代表着物联网威胁的一次进化。
VPNFliter有很强的驻留能力,即使在设备重启后也难以清除;VPNFliter拥有一系列攻击能力,可以实现包括中间人攻击、凭证窃取、拦截SCADA系统通信等能力;VPNFliter还极具破坏性,可以在攻击者的控制下擦除设备数据,甚至导致物理设备无法使用。不得不说,这已经在一定程度脱离之前安全行业对受控物联网设备被用于发动DDoS或挖矿的认识。甚至,报告认为,因为VPNFliter恶意软件自身极高的成熟度,有理由怀疑它来自定向攻击团伙甚至更高层的攻击组织。
这些,就是我们目前必须要面对日益严峻的物联网威胁现状。
8. 选举扰乱
美国大选的结果,是否受到了俄罗斯的恶意干扰,一直处于激烈的讨论。利用社交平台的来影响选民的投票结果,已经有了新的战术。比如利用第三方账户避免来自某特定国家或地区的货币或访问ip,更加关注事件和活动而不是政治性极强的广告宣传可以避开社交平台的反制手段。
当然,Facebook和Twitter作为美国两个最大的社交平台也已经主动采取行动,包括我们熟悉的封号、打击虚假信息及其传播途径等。此外,物理层面更安全的投票机,来自美国网络司令部对黑客组织的直接打击,也是重要手段。
网络黑市经济学
除以上8点威胁态势分析外,ISTR24还给出了2018年赛门铁克从某些公开访问的黑市论坛、暗网站点等渠道,统计到的部分信息、软件和服务的公开报价。虽然报告明确表示这些数据无从核实,而且某些封闭、私密性更强的论坛可能有更低的报价,但是从这些数据中,对网络攻击的犯罪成本,以及犯罪成功后可能的盈利情况,其背后支撑的巨大经济体系,我们可见一斑。
报告下载:
https://www.symantec.com/security-center/threat-report
相关阅读