亞信安全發(fā)布《亞信安全2019年度威脅回顧及預(yù)測》報(bào)告

在疫情肆虐的今天，遠(yuǎn)程辦公已經(jīng)成為普遍的工作方式。當(dāng)你落座家中，與各地同事溝通協(xié)作無間時(shí)，有沒有想過，當(dāng)你點(diǎn)開郵件里面的“視頻會(huì)議參加鏈接”，或者打開一封來自相關(guān)部門的煞有架勢的郵件時(shí)，很可能會(huì)發(fā)現(xiàn)，電腦運(yùn)行速度莫名其妙地變得緩慢，或者出現(xiàn)了要求繳納贖金的“通知”……，這可能表示勒索病毒或是挖礦病毒已經(jīng)侵入你的電腦設(shè)備。

隨著我們開啟又一個(gè)十年新紀(jì)元，網(wǎng)絡(luò)安全也隨之過渡到新的時(shí)代。不斷演變的攻擊方式，和更多變的威脅態(tài)勢，需要我們有能力“御”其變，更能主動(dòng)“預(yù)”其變。

近期亞信安全正式發(fā)布了《亞信安全2019年度安全威脅回顧及預(yù)測》，總結(jié)了2019年的安全態(tài)勢，更對2020的安全趨勢進(jìn)行了預(yù)測與分析。報(bào)告顯示，勒索病毒和挖礦病毒的肆虐將從2019年持續(xù)到2020年，此外有組織的APT入侵仍在加劇，而新興的“無文件”攻擊防御也越發(fā)嚴(yán)峻。

勒索病毒：更少、但更強(qiáng)

GANDCRAB（俠盜）、Maze（迷宮）、Paradise（天堂）……這些略顯文藝范兒的名字很容易讓大家心生親近之感，但實(shí)際上，他們的真實(shí)身份卻是2019 年十大勒索病毒的成員。從總體來看，這些勒索病毒的數(shù)量在2019年的大部分時(shí)間呈現(xiàn)出持續(xù)下降的態(tài)勢，攔截?cái)?shù)量從3月份14927的峰值降到12月份的9298。但需要注意的是，這些勒索病毒使用的技術(shù)卻在不斷更新，老病毒不斷變種、新病毒層出不窮，給企業(yè)防護(hù)帶來了巨大壓力。

【2019年度勒索病毒檢測數(shù)量圖】

以 GandCrab 勒索病毒為例，該勒索病毒的傳播感染方式多種多樣，使用的技術(shù)也不斷升級，其采用高強(qiáng)度加密算法，導(dǎo)致加密后的文件很難解密。該勒索病毒加密后的文件擴(kuò)展名為隨機(jī)字符，其不僅加密本機(jī)文件，還會(huì)加密局域網(wǎng)共享目錄中的文件，加密完成后會(huì)修改被感染機(jī)器桌面壁紙，進(jìn)一步提示用戶勒索信息。作為GandCrab在2019年7月退出后的延續(xù)，Sodinokibi勒索病毒也同樣值得關(guān)注，其不僅利用了社會(huì)工程學(xué)的傳播方式，使用的外殼保護(hù)技術(shù)也在不斷更新和變換。

【GANDCRAB 勒索病毒加密后的提示信息】

亞信安全對勒索病毒全球分布情況進(jìn)行的統(tǒng)計(jì)還顯示，印度、巴西、土耳其、中國等發(fā)展中國家和地區(qū)的勒索病毒檢測數(shù)量位居前列，其中印度居首位，占全球勒索病毒感染率的22％。網(wǎng)絡(luò)安全防范的意識相對薄弱，電腦更新?lián)Q代滯后，投入到網(wǎng)絡(luò)安全的人力財(cái)力也有限等是發(fā)展中國家易感勒索病毒的原因。而在行業(yè)方面，黑客更傾向于政府、醫(yī)療、制造業(yè)和技術(shù)等網(wǎng)絡(luò)安全相對薄弱的企事業(yè)單位。

挖礦病毒：新一輪的狂歡

時(shí)間還得從2017年4月份說起，黑客團(tuán)體公布了“永恒之藍(lán)”工具，這導(dǎo)致了轟動(dòng)世界的WannaCry勒索病毒爆發(fā)事件。經(jīng)過對此病毒的嚴(yán)防死守，大家一度認(rèn)為，“永恒之藍(lán)”已經(jīng)消失在我們的視野中。但是事實(shí)并非如此，亞信安全報(bào)告顯示，直到2019年，“永恒之藍(lán)”漏洞都是大量流行的挖礦病毒的罪魁禍?zhǔn)祝喝纭膀?qū)動(dòng)人生”、WannaMine、FakeMsdMiner 等臭名昭著的挖礦病毒。

【W(wǎng)annaMine攻擊流程】

這些挖礦病毒有一個(gè)典型的特點(diǎn)，那就是其與數(shù)字貨幣的幣值高度相關(guān)。2019 年上半年比特幣重新恢復(fù)上漲之后，與之密切相關(guān)的挖礦病毒開始新一輪活躍。由于其隱蔽性高、成本低，備受網(wǎng)絡(luò)犯罪分子青睞，挖礦病毒成為近年來流行的病毒類型之一，有些挖礦病毒家族還出現(xiàn)了快速、持續(xù)更新版本的現(xiàn)象，這表明黑客團(tuán)體在戰(zhàn)術(shù)上已經(jīng)將挖礦病毒當(dāng)成“商業(yè)化”的武器。

亞信安全在報(bào)告中特別指出，挖礦病毒具備隱蔽性高、成本低、收入高等特點(diǎn)，導(dǎo)致越來越多的黑客團(tuán)伙關(guān)注和制作挖礦病毒。要防范挖礦病毒，建議用戶不要下載來歷不明的軟件，并采用更換高強(qiáng)度的密碼、阻止向 445 端口進(jìn)行連接、關(guān)閉不必要的文件共享、打全系統(tǒng)和應(yīng)用程序補(bǔ)丁程序、部署網(wǎng)絡(luò)安全防護(hù)系統(tǒng)等方式，來封堵流行的挖礦病毒。另外，歷經(jīng)10余年歷史的Windows7已于2020年1月14日停止了安全更新，這對于許多行業(yè)（如：醫(yī)療、金融）來說將帶來巨大影響，網(wǎng)絡(luò)安全軟件肩上的責(zé)任也將更重。

APT攻擊：“老對手”的新動(dòng)作

2019年6月，阿聯(lián)酋、沙特阿拉伯、印度、日本、阿根廷、菲律賓、韓國和摩洛哥等多個(gè)國家的企業(yè)遭受了有針對性的大規(guī)模APT 攻擊。此次攻擊無論是從內(nèi)容還是手法上都讓研究人員非常熟悉：其郵件主題大多具有誘惑性，欺騙用戶點(diǎn)擊，如“您的RAKBANK稅務(wù)發(fā)票”、“免稅額度”； 通過Amadey僵尸網(wǎng)絡(luò)發(fā)送垃圾郵件，傳送“EmailStealer”信息竊取程序等。

【垃圾郵件攻擊流程】

經(jīng)過分析，亞信安全確認(rèn)，這是“老對手”TA505 網(wǎng)絡(luò)間諜組織，該間諜組織自 2014 年以來就一直保持活躍狀態(tài)，在過去的幾年里，該組織已經(jīng)通過利用銀行木馬 Dridex 以及勒索病毒 Locky 和 Jaff 作為攻擊工具成功發(fā)起了多起大型的網(wǎng)絡(luò)攻擊活動(dòng)。該組織在技術(shù)上不斷變化更新，攻擊目標(biāo)也在不斷擴(kuò)大，給用戶造成了極大威脅。

移動(dòng)安全：大量仿冒APP，移動(dòng)APT攻擊防不勝防

隨著移動(dòng)設(shè)備的數(shù)據(jù)價(jià)值越來越大，惡意程序、假冒程序、數(shù)據(jù)泄露、ATP攻擊等移動(dòng)端應(yīng)用安全威脅與日俱增，Android平臺的安全風(fēng)險(xiǎn)狀況依然嚴(yán)峻。其中，GooglePlay上發(fā)現(xiàn)了大量仿冒APP，還有偽裝成 Currency Converter 和 BatterySaverMobi程序用于傳播銀行木馬，這給“新型冠狀病毒感染肺炎疫情”期間采用遠(yuǎn)程辦公的用戶帶來極大的威脅。另外，移動(dòng)ATP攻擊也值得我們重視，比如3月韓國訪問量最大的網(wǎng)站遭遇“水坑”釣魚攻擊，該攻擊活動(dòng)通過注入偽造的登錄表單來竊取用戶憑據(jù)。

“無文件”攻擊：“無文件”僵尸網(wǎng)絡(luò)

“無文件”攻擊給許多采用傳統(tǒng)防御技術(shù)的用戶帶來挑戰(zhàn)，由于這類攻擊通過在內(nèi)存空間中直接完成惡意代碼的下載、解密和執(zhí)行，全程無文件落地，所以容易繞過傳統(tǒng)安全軟件的防御。3月，亞信安全偵測到KovCoreG攻擊活動(dòng)，經(jīng)過持續(xù)追蹤，發(fā)現(xiàn)該攻擊活動(dòng)使用了Novter新型“無文件”惡意軟件，并形成了隱蔽性較強(qiáng)“無文件”僵尸網(wǎng)絡(luò)。

2020年預(yù)測：企業(yè)威脅更加復(fù)雜化 傳統(tǒng)威脅與新型威脅持續(xù)混合

亞信安全預(yù)測，在2020年，勒索病毒、挖礦病毒攻擊仍是主流，隨著云時(shí)代興起，配置錯(cuò)誤等人為錯(cuò)誤會(huì)帶來新安全威脅。企業(yè)威脅將更加復(fù)雜化，傳統(tǒng)威脅與新的安全技術(shù)混合在一起，讓企業(yè)面臨更加嚴(yán)峻網(wǎng)絡(luò)安全威脅。

具體來說，這些預(yù)測包括：

• 互聯(lián)網(wǎng)安全：更多網(wǎng)絡(luò)犯罪分子將轉(zhuǎn)向地下區(qū)塊鏈平臺交易，將會(huì)出現(xiàn)更多攻擊網(wǎng)上銀行和移動(dòng)支付的惡意軟件。此外，AI 欺詐、“可蠕蟲”漏洞、反序列化漏洞等攻擊技術(shù)將更多的被網(wǎng)絡(luò)犯罪分子加以利用。

• 物聯(lián)網(wǎng)安全：在5G技術(shù)持續(xù)落地的背景下，物聯(lián)網(wǎng)安全威脅將持續(xù)拓展，網(wǎng)絡(luò)犯罪分子將更多地利用物聯(lián)網(wǎng)設(shè)備進(jìn)行間諜和勒索攻擊。此外，公用事業(yè)、基礎(chǔ)設(shè)施、家庭及遠(yuǎn)程辦公設(shè)備都將成為攻擊目標(biāo)。

• 云安全：由于大量企業(yè)在2020年預(yù)計(jì)將部署無服務(wù)器計(jì)算技術(shù)，無服務(wù)器應(yīng)用的相關(guān)威脅將凸顯，錯(cuò)誤配置和漏洞將成為無服務(wù)器應(yīng)用程序的威脅入口點(diǎn)。云存儲配置很可能將導(dǎo)致數(shù)據(jù)泄露事件發(fā)生，云平臺也會(huì)成為代碼注入攻擊犧牲品。

• 企業(yè)安全：在2020年，無文件、Linux和信息竊取惡意軟件將持續(xù)威脅企業(yè)安全，無文件技術(shù)將持續(xù)應(yīng)用在銀行木馬、挖礦和勒索病毒之中。具有信息竊取功能的惡意軟件變種將會(huì)增加，基于Linux 的惡意軟件還將經(jīng)歷持續(xù)的熱潮。在此背景下，部署涵蓋威脅情報(bào)安全分析、完整的防御體系的企業(yè)安全防護(hù)架構(gòu)將至關(guān)重要。