2017年总结 - ahnlab, inc.download.ahnlab.com/global/brochure/security_trends_2018... ·...
TRANSCRIPT
2017年总结
CONTENTS
2018年预测
2017年值得关注的安全威胁变化Top 5
2018年网络安全威胁趋势Top 5
4
5
6
7
8
01
02
03
04
05
勒索软件范例的变化:规模、感染路径、更新换代
胆大到利用正常的路径-“供应链”进行攻击
攻击目标是“赚钱”的对象,还是“钱财”本身?
漏洞发开工具包放慢步伐?漏洞攻击的多样化
移动威胁的复杂和加速:短信诈骗和假冒应用(APP)
2017年总结
2017年值得关注的安全威胁变化Top 5
4
2017年总结 2017年值得关注的安全威胁变化Top 5
勒索软件范例的变化:规模、感染路径、更新换代
01
2017年全球的安全问题之首绝对是勒索软件。今年勒索软件的攻击特点可以概括为
▲广泛的破坏规模、▲感染路径的变化、▲暂停活动并出现新种。
首先,就破坏规模而言,出现了“史无前例”的勒索软件。从已在全世界150多个国家
感染30万台以上系统的WannCry(又名WannaCryptor)到已扩散到欧洲15个国家的
BadRabbit(又名磁盘编码器),勒索软件已不限于地区、企业和机构,它正在造成巨
大的破坏。
在韩国已臭名昭著的勒索软件有针对政府部门传播的VenusLocker。VenusLocker使用
相对流利的韩文写的垃圾邮件传播。此外,感染韩国有名的主机托管公司的Linux服务
器的Erebus,造成3000多个网站瘫痪而引起了社会震惊。
感染路径方面,比起2016年也有相当大的变化。虽然利用Web应用程序漏洞的攻击
减少,但通过电子邮件的感染却爆发性地增加。Locky勒索软件就是一个典型的例
子。Locky勒索软件将包含恶意宏的文档文件或各种格式的脚本附加到电子邮件中,同
时利用社会工程学技术诱导用户运行这些附件或脚本。
在2017年,出现了使用前所未有的传播方式的勒索软件,如WannCry(又名Wan-
naCryptor)和Petya。它们利用Windows系统本身的漏洞,而不是传统的Web应用程
序漏洞或垃圾邮件。这是一种前所未有的传播方式,而且这些勒索软件不是仅仅为了
钱,而是为了破坏系统。破坏系统为目的的勒索软件的出现,可以看作是另一种模式
的转变。
其他变化还有,今年以来引起全球感染最多的Cerber勒索软件自9月下旬以来突然销
声匿迹。然而,出现了另一个勒索软件-Magniber(又名MyRansom),似乎填补了
Cerber勒索软件的空白。此勒索软件的特点是只能在韩文版Windows上运行。
5
2017年总结 2017年值得关注的安全威胁变化Top 5
胆大到利用正常的路径-“供应链”进行攻击
02
2017年,利用供应链的,所谓“供应链攻击(Supply Chian Attack)”不断出现。供
应链攻击是一种破解企业或组织使用的解决方案,并感染恶意代码的攻击。主要是攻
击者入侵正常程序的更新服务器,并注入恶意代码。致使在正常的程序更新过程中感
染恶意代码或者攻击程序提供商,并在他们的源代码或程序的构建和发布等制作阶段
插入恶意代码。
通常企业或组织警惕从外部流入的文件,但是相对松散地管理内部使用的程序相关的
文件。这一点给攻击者一个很好的攻击机会。除了通过软件制造商的攻击之外,通过
维护公司等供应商的攻击也在广义上可以包含在供应链攻击。
上述的Petya勒索软件也是通过乌克兰的税务会计软件传播。在韩国,供应链攻击的
典型事例有使用有名的网络管理程序和系统优化程序“Ccleaner”的攻击。这些事
例全部都是在程序制作阶段注入到程序中。此外,针对Mac操作系统的恶意代码注入
到HandBrake或Eltima Player等视频转换程序中,并通过这些程序的官方网站进行发
布。
6
2017年总结 2017年值得关注的安全威胁变化Top 5
攻击目标是“赚钱”的对象,还是“钱财”本身?
03
在2017年,包括比特币(Bitcoin, BTC)、以太坊(Ethereum)、门罗币(Mon-
ero)等虚拟货币(Virtual Currency)或加密货币(Crypto Currency)市场大幅
上涨。2017年1月初每比特币价值100万韩元的比特币,截至11月底已超过900万韩
元。像比特币和以太访之类的主要的虚拟货币,基本上可以通过计算机系统的“挖掘
(mining)”来获得。然而,随着虚拟货币的价值急速上涨,发现了多数利用他人计
算机偷偷挖掘虚拟货币的“挖掘(miner)恶意软件”。而且传播方式也很多样,例
如伪装成Windows更新文件或者以压缩文件形式与普通文件一起分发。此外,还发现
不仅在Windows系统,还可以在Linux服务器系统上运行的挖掘恶意软件。
随着虚拟货币市场的规模越来越大,也有直接攻击国内外虚拟货币交易所的攻击事件
发生。针对虚拟货币交易所的攻击可以概括为▲夺取虚拟货币 ▲攫取交易所会员帐户
信息 ▲针对交易所网站的DDoS攻击。
7
2017年总结 2017年值得关注的安全威胁变化Top 5
漏洞发开工具包放慢步伐?漏洞攻击的多样化
04
到2016年,大多数的安全威胁都是通过网络攻击开始的,而其中心存在着各种漏洞开
发工具包(Exploit Kit,以下EK)。但是,到2017年,EK的活动越来越缩小,呈现出
基于Web的攻击相对减弱的情况。另外,今年的攻击趋势呈现了利用各种新的类型的
漏洞,而不是特定的漏洞。
在韩国,频繁发生与政治和社会问题相衔接的漏洞攻击。今年发现的许多Micro-
soft Office文档漏洞(CVE-2017-0199, CVE-2017-8759, CVE-2017-8570, CVE-
2017-11826)均利用到朝鲜核问题和平昌冬奥会等的针对性攻击和分发勒索软
件。Microsoft Office新的漏洞中的CVE-2017-0199漏洞与针对俄罗斯政府的FINSPY
恶意软件传播事件及代表2017年的勒索软件WannaCry的传播路径有密切相关。
此外,名为“EternalBlue”的漏洞(CVE-2017-0144)开始与WannaCry一起流行起
来。它是Windows操作系统的SMB(共享文件夹)漏洞,流入到系统的勒索软件利用
此漏洞进一步感染其他内部系统,这种传播方式引起了人们的极大的关注。这个漏洞
已经包含在黑客组织“Shadow Brokers”公开的许多漏洞利用工具中。自公开以来,
除了WannaCry以外,它还被利用在Petya勒索软件及许多恶意代码的传播。这使联想
到2016年意大利公司黑客团队的数据泄漏事件引发的零日漏洞曝光事件。
8
2017年总结 2017年值得关注的安全威胁变化Top 5
移动威胁的复杂和加速:短信诈骗和假冒应用(APP)
05
移动威胁一直在持续增长,到2017年变得更加复杂和加速。过去,恶意软件传播主要
是通过垃圾短信中插入的链接下载恶意应用的方式,但在2017年,出现了一种与语音
网络钓鱼相联系的方式。利用贷款等社会工程学技术,给攻击目标打电话,诱使他们
安装恶意应用。以这种方式安装的恶意应用泄漏保存在智能手机中的重要个人信息,
并执行恶意行为,诸如拦截短信收发。此外,还出现了发送短信给智能手机电话簿中
的用户后,如果有响应,则再发送请求付款的短信的短信欺诈受害事例。
另外,在Google官方应用商店GooglePlay中伪装成一款有名应用程序的假冒应用仍
在持续出现。这些假冒应用伪装成有名官方应用程序的图标,通过向应用程序名附加
特殊字符或更改标签来欺骗用户诱使安装应用程序。只要用户在安装应用之前仔细查
看开发者信息,充分可以防止被假冒应用受到损害。
10
11
12
13
14
01
02
03
04
05
网络犯罪服务:定制生产基于平台的安全威胁
针对性攻击的新的趋势-“供应链攻击”的增加
利用文档文件的攻击的高级化和无文件攻击
攻击目标平台•设备的多样化
移动恶意代码传播渠道的多样化
2018年预测
2018年网络安全威胁趋势Top 5
10
2018年预测 2018年网络安全威胁趋势Top 5
网络犯罪即服务:基于平台定制生产安全威胁
01
如果说勒索软件的威胁在2016年全面展开,那么2017年可以说是勒索软件发生巨大
变化的一年。自2017年年初以来,勒索软件已经在全球范围内造成了巨大的损害,并
且以前所未有的速度出现了众多的变种。勒索软件即服务(Ransomware-as-a-Ser-
vice, 以下RaaS)是推动这一巨大变革的最大动力。RaaS已在网络黑市稳定落地,无
需专门的IT知识也比较容易地展开勒索软件攻击,几乎每天都出现新•变种勒索软件。
随着RaaS已成为一个成功的商业模式,网络犯罪即服务(Crime-as-a-Service, 以下
CaaS)也逐渐变成现实。CaaS最大的特点是网络犯罪组织像公司一样具有开发、销
售、分销和营销的细分的流程,可以说这是一个将网络犯罪带入普及的平台也不为
过。2018年,这种企业型网络犯罪组织的增加加快了CaaS的活跃和全面发展,预计
不仅是新的和变种的勒索软件在增加,针对安全脆弱的虚拟货币(加密货币)交易所
的攻击也可能会增加。
11
2018年预测 2018年网络安全威胁趋势Top 5
针对性攻击的新的趋势-“供应链攻击”的增加
02
供应链攻击(Supply Chain Attack)在过去一年多次获得成功,预计在2018年也将继
续。
供应链攻击是将恶意代码引入企业或组织使用的产品或服务的供应链中的一种方式。
大多数企业或组织对外部(如电子邮件或网站)引入的文件作出敏感响应,但是他们
对于已在使用的程序和相关文件往往加以信赖,攻击者瞄准了这一点。对于攻击者来
说,利用攻击对象信赖的对象进行攻击可能比直接攻击具有各种安全系统的企业或组
织更容易。另外,通过以此可以入侵到企业或组织的内部,并掌握系统,因此可以获
得更大的效果。
因此,程序制造商和服务提供商为防止被恶意软件感染而积极努力比以往任务时候都
更为重要。企业和组织要做好验证和管理内部使用的程序和服务。
12
2018年预测 2018年网络安全威胁趋势Top 5
利用文档文件的攻击的高级化和无文件攻击
03
近年来,利用诸如“.exe”之类的可执行文件(PE)形式的恶意代码和Word和Excel
等MS Office文档之类的非PE文件形式的恶意代码持续增加。这意味着攻击者为了逃
避防病毒软件等安全解决方案而持续在努力。预计今年利用不可执行文件的攻击将变
得更加复杂。
到目前为止的传播方式主要是注入恶意Visual Basic宏代码的方式,而最近,通过在
XML内执行代码、DDE功能或在文档中插入对象来执行恶意代码的方式将增加。最
后,预计无文件(file-less)方式的恶意代码行为将增加,恶意代码被注入进程内存而
不是存在于当前系统。
13
2018年预测 2018年网络安全威胁趋势Top 5
攻击目标平台•设备的多样化04
对最新的安全威胁趋势较敏感的安全官员不再说Linux是一个安全的操作系统。当然,
与Windows相比,它仍然是一个恶意代码威胁相对较低的操作系统,但这也是迄今为
止的情况。最近在Linux系统上运行的恶意代码的数量和类型越来越增加。
去年,韩国的一家网络托管公司和大型IDC公司的Linux服务器被勒索软件感染,造成
大规模损害。而最近在Linux系统中出现了挖掘虚拟货币的恶意代码。2017年1月至11
月底,AhnLab安全响应中心在韩国发现的Linux恶意代码数量达到了327个。
如Linux一样,MacOS曾一度被认为是安全的系统,但是针对MacOS的恶意代码也在
持续增加。到2018年,针对Windows、Linux、MacOS和Android操作系统的恶意代
码将持续增加。这意味着使用Linux或Android操作系统的智能设备和物联网(IoT)
设备也将面临安全威胁。
随着机器人吸尘器、IP摄像头、智能冰箱等物联网设备的普及,针对它们的恶意代码
随时都有可能出现。去年,AhnLab安全响应中心发现的Linux恶意代码之一的Mirai恶
意代码是典型的物联网设备的恶意代码。
大多数的物联网设备(如可穿戴设备)相对而言安全较脆弱,管理也不善。当前需要
寻找针对移动设备、联网可穿戴设备以及家用物联网设备的安全威胁响应解决方案。
14
2018年预测 2018年网络安全威胁趋势Top 5
移动恶意代码传播渠道的多样化
05
在2018年,预计移动恶意代码的传播渠道将变得更加多样化。企业和组织正在努力减
少不断增加的移动恶意代码造成的损害。这一努力使智能手机用户对安全的认识得到
了很大提高。
攻击者也加快脚步研发针对移动环境的各种攻击手段。尤其,最近不断出现绕过操作
系统提供商的安全检测后将恶意应用注册在主要官方市场的手法。
2018年,预计这一趋势将继续,并扩大移动恶意代码的传播路径。除了利用短信欺
诈、恶意邮件、冒称有名应用等传统的方式传播恶意代码之外,还可能直接将包含恶
意代码的应用注册到Android官网应用市场。
发行
起稿
编辑
AhnLab, Inc.
AhnLab 安全应急响应中心(ASEC) ASEC响应组
AhnLab 内容企划部门
北京市朝阳区望京阜通东大街1号望京SOHO塔2 B座 220502室 | 上海市闵行区万源路2158号
18幢泓毅大厦1201室
电话 : +86 10 8260 0932(北京) / +86 21 6095 6780(上海) | [email protected]
© 2018 AhnLab, Inc. All rights reserved.
AhnLab.com
未经 AhnLab 事先书面同意,禁止转发、复制、复印或保存到搜索系统。
AhnLab 和 AhnLab 标志是 AhnLab 的注册商标。除此之外,
本文中提及的其他产品和公司名是各公司的商标或注册商标。本文所含的信息如有更改恕不另行通知。