必看:赛门铁克年度安全威胁报告中的八种威胁情况,以及2019年威胁趋势预测。ISTR报告基于赛门铁克的全球民用威胁情报网络,提供过去一年的全球威胁活动和态势洞察。据了解,威胁情报网包括1.23亿个监控终端,覆盖全球超过157个国家和地区,平均每天拦截1.42亿次网络攻击。本文将介绍赛门铁克在ISTR24上强调的八种威胁态势。1.Form-jacking以支付卡信息为目标的Web表单内容劫持(formjacking)是本次ISTR24报告中最为突出的攻击活动。报告给出了一组关于表单劫持的数据:2018年,全球平均每月有4818个不同网站受到表单劫持恶意代码的攻击,赛门铁克全年拦截了超过370万次表单劫持攻击企图;一张信用卡信息在黑市上可以卖到45美元,十张信用卡信息一个月可以赚取220万美元的利润。在时间线上,赛门铁克观察到2018年5月和11月的两个攻击高峰,这与全球购物营销活动的时间趋势基本吻合。表单劫持攻击可以通过在电商、航空公司等零售业务网站植入恶意代码,获取用户在网站提交的重要支付信息,并在黑市上出售获利。当用户感觉到损失(比如被盗刷)的时候,就已经落后了。据赛门铁克统计,广泛形式的劫持攻击目标明确,且以中小零售商居多。对于攻击者来说,formjacking无疑是非常有效的。攻击会在某个月份激增,尤其是在各个国家和地区的购物季。合法业务流量的快速增长已经让企业不堪重负。在安保预算和团队人员极其有限的情况下,安保工作难免出现失误,措手不及。报告警告说,已经遭受加密劫持的公司应该特别小心。随着加密货币贬值,信用卡详细信息将比加密货币对网络犯罪分子更具吸引力。同时,由于网站外包开发/运维的盛行,要求用户提交支付和隐私信息的企业更应关注供应链风险,避免因网站开发/运维外包造成的名利双失。类似的攻击。2.挖矿劫持cyptojacking的目的是利用受害者的资源进行挖矿(挖矿加密货币)活动。赛门铁克也“看空”了2019年挖矿劫持活动的整体趋势,一些数字加密货币的价值暴跌(尤其是门罗币,它在2018年损失了近90%的价值)。然而,它不会消失。2018年的加密劫持活动主要基于浏览器。不管终端的补丁管理是否到位,基于浏览器的挖矿脚本几乎可以忽略这些,照常运行。同时可以看到,除了个人设备外,针对企业网络设备的挖矿劫持也开始增多,比如利用EternalBlue漏洞的WannaMine(CVE-2017-0144)挖矿劫持脚本。从整体趋势来看,赛门铁克观察到2018年挖矿劫持活动较2017年大幅增加,事件总数为6900万起,是2017年的四倍。不过,2018年1月至2018年挖矿劫持事件数量暴跌52%十二月。虽然数字加密货币的价值是网络犯罪分子挖矿的核心动机,但仍有相当一部分网络犯罪分子认为投资挖矿是值得的。同时,我们也不得不担心一些从事挖矿犯罪的团伙会投身于其他形式的高价值犯罪,例如上述形式的劫持。报道称,挖矿劫持活动不会消失。一些攻击者仍在等待新的利润点(例如数字加密货币价值的“暴涨”)。同时,挖矿劫持的低门槛和自身的匿名性,依然会吸引那些忠实的粉丝。3.勒索软件近年来,勒索软件一直是组织面临的主要安全挑战。这种趋势将继续下去。根据赛门铁克的观察数据,2018年感染勒索病毒的终端数量较2017年下降了20%。虽然总数有所下降,但企业感染勒索软件的风险却有所增加。2017年,勒索病毒的攻击目标明显从个人转向企业。这一进程在2018年继续加速。据统计,2018年81%的勒索软件感染发生在企业网络中。这个数字比2017年增长了12%。赛门铁克认为,将勒索软件目标转移到企业背后有四个主要原因。首先,大量旧的Windows系统仍在使用。二是关键文件备份普遍不及时或丢失。三、被勒索病毒感染后,可以索要更大数额的赎金。第四,是否支付赎金本质上是一个商业决定。2018年,勒索软件传播的核心方式是邮件。作为企业组织的主要通讯工具,基于邮件的勒索攻击可以说是大多数企业的软肋。但是,安全供应商在阻止勒索软件方面越来越有效。因此,随着勒索软件总数的下降,赛门铁克认为,一些原本主要从事勒索软件攻击的团伙,已经不再等待勒索,而是转向银行木马、信息窃取等其他目的的恶意软件。然而,对于企业安全工作者来说,仍然有一个坏消息,那就是有针对性的勒索软件组织在2019年将更加活跃。在2018年,赛门铁克见证了众多具有高破坏性、针对性强的勒索软件攻击袭击了众多组织。其中,大量敲诈勒索事件的幕后黑手被爆出来自SamSam团伙。在2018年全年,赛门铁克发现了67起SamSam攻击。2019年SamSam的影响力会更大,其他有针对性的敲诈勒索团伙也将活跃起来。可以预见,勒索病毒仍将是企业头疼的问题。4、无文件和供应链攻击基于PowerShell脚本的无文件攻击(离地生存,赛门铁克也称其为“实地”攻击)是一种非常有效的新型攻击方式。2018年有明显的增长(2018年在赛门铁克端点上阻止恶意PowerShell脚本增加了10倍),并在网络犯罪和针对性攻击中得到广泛使用。对于攻击者而言,无文件攻击的魅力在于保持低调——使用受信任的渠道和合法工具进行恶意攻击。2018年,MicrosoftOffice文档附件中的恶意宏无疑是电子邮件传播恶意负载的主要方式。同时,零日漏洞利用相比2017年有所减少,不使用任何恶意代码(只利用通用工具)的攻击也出现了,比如针对性攻击组织Gallmaker。据报道,赛门铁克平均每月拦截115,000个恶意PowerShell脚本。但这仅占PowerShell脚本总量的1%。因此,如何在不影响企业业务的情况下,有效识别和阻断攻击,减少漏报和误报,需要更先进的安全检测和分析能力。供应链攻击仍然是一个重要的威胁场景。供应链攻击在2018年增长了78%。利用企业第三方服务和软件实现恶意目标。例如,劫持软件更新和向合法软件注入恶意代码是主要手段。不知情的开发人员是供应链攻击中的关键环节。开发环境中登录凭据的泄漏和受污染的第三方库实际上可以帮助供应链攻击者。上述表单劫持攻击的快速增长,也让零售、电商等行业充分意识到了供应链的脆弱性。很多表单劫持攻击是通过聊天机器人、用户评论等第三方模块实现的。5.针对性攻击的隐蔽性是APT等针对性攻击的一个特点。不过,值得注意的是,攻击团体的目的也开始多样化。除了情报收集,一个趋势是越来越多的攻击者倾向于发起更具破坏性的针对性攻击。数据显示,2018年使用破坏性恶意软件的攻击组织数量增加了25%。从2009年至今,赛门铁克检测并曝光的针对性攻击组织总数已增至32个。在攻击手段方面,无文件攻击由于其隐蔽性,近年来增长明显,例如带有恶意Office宏的钓鱼邮件。在攻击目标方面,企业目标数量也大幅增加。赛门铁克在过去三年跟踪的20个活跃的定向攻击组织的平均目标数量从2015年的42个增长到2017年的55个。此外,必须提到的是,2018年美国政府因涉嫌参与国家支持的间谍活动显着增加,从2016年的5起和2017年的4起增加到2018年的49起。报告认为,通过起诉,这些在国际旅行能力受到严格限制的个人或间谍团体将减少他们的出于间谍目的对其他国家的目标进行有针对性的网络攻击的能力。6.云安全挑战云安全无疑是一个复杂的话题。从错误的云主机配置到云基础设施中的芯片级漏洞,云安全挑战的维度可能超乎想象。2018年,由于配置不当,亚马逊S3云存储泄露了超过7000万条数据。此类问题在一些容器部署系统、无服务器应用程序和公共API服务中很常见。攻击者可以用来自动识别Internet上大量配置错误的云资源的犯罪工具。企业如果不能准确执行云服务商提供的安全配置建议,无异于赤裸裸地暴露在攻击者面前。此外,攻击者可以利用英特尔的Meltdown和Spectre等芯片级漏洞访问那些受保护的内存。这个问题在云环境中尤其严重。通过虚拟化技术,一台物理主机可以对应多个云实例,但内存池是共享的。也就是说,一旦单个物理主机被攻击者攻破(利用此类漏洞),多个云实例(可能来自不同公司)中的数据就有泄露的风险。这不是一个孤立的事件,而只是另一个云安全挑战的开始。7.物联网威胁物联网设备,尤其是路由器和智能相机,已经成为网络犯罪分子和目标攻击团伙的“必备??品”。Mirai这种由受控联网摄像头组成的僵尸网络发起的DDos攻击,想必所有安全从业者都记忆犹新。然而,Mirai的活动并没有就此结束。2018年,Mirai仍然是一个重大的物联网威胁。经过不断的发展和演化,Mirai及其变种可以利用多达16个漏洞来增加物联网设备被攻破的概率。它的目标甚至已经扩展到Linux服务器。任何具有计算资源的设备都是潜在目标。路由器也是受感染的重灾区。作为下一次攻击的跳板,尤其是在正在广泛普及的智能家居、智慧城市场景中,没有比路由器更理想的攻击目标了。报告称,2018年针对路由器的恶意软件VPNFliter的出现代表了物联网威胁的演变。VPNFliter驻留能力强,设备重启后也难以清除;VPNFliter具有一系列攻击能力,包括中间人攻击、凭证窃取、SCADA系统通信拦截;VPNFliter可以在攻击者的控制下被清除。删除设备数据,甚至使物理设备无法使用。不得不说,这在一定程度上偏离了以往安全行业对受控物联网设备用于发起DDoS或挖矿的认识。甚至,报告认为,由于VPNFliter恶意软件本身的成熟度极高,有理由怀疑其来自有针对性的攻击组织,甚至是更高级别的攻击组织。这些都是我们必须面对日益严重的物联网威胁的现状。8、大选扰乱美国大选结果是否是俄罗斯恶意干预一直在激烈讨论。已经出现了使用社交平台影响选民结果的新策略。例如,使用第三方账户避免来自特定国家或地区的货币或访问ip,更多地关注事件和活动而不是高度政治化的广告可以避免来自社交平台的反制。当然,作为美国两大社交平台的Facebook和Twitter也采取了积极的行动,包括大家熟悉的封禁账号、打击虚假信息及其传播渠道等。此外,实体店更安全的投票机层面上,来自美国网络司令部对黑客组织的直接打击,也是重要的手段。除了以上8点威胁情况的分析,ISTR24还给出了赛门铁克在2018年从一些可公开访问的黑市论坛、暗网等渠道收集的一些信息、软件和服务泄露统计数据。虽然报告中明确表示这些数据无法核实,一些封闭的、较为私密的论坛可能报价较低,但从这些数据中可以看出网络攻击的犯罪成本和犯罪得逞可能带来的盈利。我们可以看到其背后庞大的经济体系。报告下载:https://www.symantec.com/security-center/threat-report【本文为专栏作者“李少鹏”原创文章,转载请通过安全牛获取授权(微信♂id:gooann-sectv)】点此查看作者更多好文
