5月初,賽門鐵克基於其全球安全情報網絡(GIN)在2016年對157個國家/地區收集到的威脅數據,發佈了最新的年度安全分析報告——《互聯網安全威脅報告》(ISTR)。
今年的ISTR報告主要從針對性攻擊、惡意郵件及利用工具、針對金融行業的網絡犯罪、勒索軟件、物聯網安全以及雲端威脅等領域對年度全球網絡攻擊/犯罪和安全威脅態勢進行分析。現小編將報告的核心觀點整理如下。
一、針對性攻擊兩大趨勢:破壞性和顛覆性
通過對全球2016年發生的諸如烏克蘭停電重大“針對性攻擊”事件的監測與分析,賽門鐵克認為,2016年發生的針對性攻擊主要可以分為兩大類:
針對電力等能源行業關鍵IT基礎設施的“破壞性”攻擊
通過黑客入侵導致數據洩露以影響政治格局的“顛覆性”攻擊
其中,破壞性攻擊的典型代表,便是針對沙特等波斯灣地區國家的能源基礎設施發動攻擊,以魚叉式網絡釣魚為跳板,最終實現硬盤數據擦除的從而達到破壞目的的Shamoon;而顛覆性攻擊的典型,則是今年美國大選前後,由俄羅斯黑客對美國民主黨委員會(DNC)進行滲透,並將其內部數據公之於眾以擾亂美國大選格局的黑客組織 Fancy Bear和Cozy Bear。
2016年針對性攻擊事件時間線
二、電子郵件成為首選攻擊載體
1. 釣魚&BEC攻擊
攜有惡意附件的電郵,(魚叉式)釣魚甚至是更有針對性的釣鯨攻擊,是所有企業近幾年最頭痛的安全問題之一。據賽門鐵克的統計,近三年惡意郵件佔郵件總數比例的不斷走高,從2015年的1/220到2016年1/131幾乎增長了一倍。其中,2016年釣魚郵件的佔比為1/2596。
對於日益增長針對企業高管的BEC攻擊,賽門鐵克估計過去三年全球受害者超過22,000名,僅FBI記錄在案的損失就高達30億美金。而其中,近一半電郵地址是來自尼日利亞的IP。
在BEC攻擊的關鍵詞方面,出現頻率最高的是“Request”,佔比高達1/4,“Payment”和“Urgent”次之,分別為15%和10%。
BEC攻擊關鍵詞
而在典型的惡意欺騙郵件方面,賽門鐵克給出關鍵詞的前三位則是“Invoice”、“Document”和“Scan”,佔比依次為26%、13%、12%。也就是說,平均每兩封惡意欺詐郵件就會有一封出現這三個詞彙中的一個。
惡意欺詐郵件關鍵詞
2. Office宏、wsf、PowerShell等惡意腳本附件
同時,賽門鐵克還發現,多數用戶對電郵中的“Office附件”,尤其是對某些惡意宏(Macros)的啟用毫無戒心。
據統計, 附在Word文檔的惡意宏——W97M.Downloader及其變種是2016年最流行的下載器,並可通過電郵傳遞諸如Dridex木馬等惡意軟件。
同時,Windows系統下的腳本文件(wsf),也被作為JS下載器,在2016年的6月到7月,以及11月到12月,攜有惡意wsf附件的郵件規模出現快速的增長。
特別,在對Office宏和wsf文檔的惡意利用方面,通過這種方式感染Lockey的事件在2016年年末形成了一次小規模的爆發,擴散速度一度達到了每小時4000名新感染者。
除此之外,擁有強大腳本語言支持和shell框架的PowerShell已經成為了惡意軟件感染鏈中的重要一環。
因為PowerShell本身是Windows計算機默認安裝的,而又不會有企業要求員工去刻意禁用它,這使得惡意的PowerShell活動變得非常非常普遍。腳本文件更容易隱藏攻擊者的惡意意圖。同時,PowerShell還允許惡意載荷繞過一般惡意軟件的硬盤寫入過程而直接從內存中執行。這些無疑使得攻擊者更難以被追蹤。
一個典型的攻擊流程是:
員工收到包含“Invoice”或“Bill”字樣的電郵->郵件中包含如office宏、JS等腳本->誘導收到該郵件的員工執行宏文件或執行PowerShell來下載或執行最終惡意載荷->PC中招(可能是勒索病毒、木馬等惡意軟件)
三、銀行劫案:針對金融行業的惡意木馬&SWIFT攻擊
在針對在線銀行的網絡犯罪方面,雖然後起之秀——勒索軟件將會佔據越來越多的優勢,但2016年最令人擔心的還是針對銀行的木馬病毒和SWIFT攻擊。
首先在木馬病毒方面,賽門鐵克觀測到的前五大針對金融的木馬威脅是:Ramnit、Bebloh、Zbot、Snifula和Cridex。其中,通過電郵在英國大肆傳播的Ramnit,受感染機器數量已經超過46萬臺。
前十大金融木馬
而針對孟加拉中央銀行SWIFT系統實施的銀行劫案,則更令眾人關注。
2016年初,攻擊者利用入侵孟加拉央行系統偷來的SWIFT憑證,以及專為篡改銀行系統的轉賬確認信息開發,用於掩蓋攻擊者欺詐行為的惡意軟件,並選擇在週末發起攻擊,最終成功將8100萬美金從孟加拉轉至菲律賓。
據賽門鐵克分析,此次攻擊者使用的方法是建立在對SWIFT系統的深入瞭解的基礎上的,並且是第一次與民族國家有關的黑客組織(注:賽門鐵克認為在這起攻擊中所使用的惡意軟件Trojan.Banswift與黑客組織Lazarus 有關,而Lazarus的背後支持者FBI聲稱正是朝鮮政府。)參與到大規模針對金融行業的網絡犯罪。
針對SWIFT銀行劫案還在越南、厄瓜多爾等地接連發生,賽門鐵克認為Lazarus會在2017年針對金融機構發起更多的攻擊。
除了Lazarus,賽門鐵克還發現了另外瞄準銀行SWIFT系統用戶的攻擊,利用的是名為Trojan.Odinaff的惡意軟件。相較於Lazarus,Odinaff的攻擊顯得更為複雜。除了利用眾多的輕量級的後門外,還針對不同領域開發了不同定製化的工具。
Odinaff木馬經常部署在惡意宏中,同時為了保持低調神祕,攻擊的過程被十分小心謹慎的安排,只在必要時才會下載和安裝新的工具。
四、數據洩露與黑市
對於金融行業來講,除了上面談到的惡意木馬和針對SWIFT系統的攻擊外,近兩年如摩根大通等金融巨頭髮生的大規模客戶數據外洩事件,也已經成為對企業聲譽造成重要影響的安全隱患。
據賽門鐵克統計,2016年全年發生數據洩露事件1200餘起,被盜憑證超過11.2億條。而去年9月發現的,從2014年開始陸續發生的雅虎5億用戶數據,以及之後曝出的在2013年8月發生的10億賬戶洩露事件,這些都使得雅虎成為2016年數據洩露最大的“贏家”,甚至正在對其正在進行收購的威瑞森也因此將收購價下調了3.5億美金。
賽門鐵克看來,在被洩數據類型方面,無論是2015還是2016年,個人識別信息(PII)都是穩居榜首,雖然2016年所佔比例有所下滑。而個人財務信息(PFI)和除了包括以上兩類以及個人健康信息(PHI)以外的其它信息,所佔比例均有所上升。
被洩數據類型
在導致企業發生數據洩露事件的原因方面,數據遭竊、數據使用不當、其它原因和釣魚/欺詐/社會工程佔到9成。
前十大數據洩露原因
在受數據洩露影響最嚴重(注:即發生更多的數據洩露事件)的行業,服務業和金融/保險/地產已經佔據了數據洩露總數的66%;細分行業受影響最嚴重的前三名依次是:商業服務、健康服務和存託機構。而受憑證洩露影響最嚴重的細分行業,僅商業服務一項就佔據了近77.5%的憑證洩露數量,前三名之後依次是電影和出版/發行業。
受數據洩露影響最嚴重的前十大細分行業
受憑證洩露影響最嚴重的前十大細分行業
企業重要數據尤其是信用卡和用戶個人信息遭洩露之後,攻擊者想要盈利,必然需要地下黑市的支持。
從2015年開始,信用卡數據便是黑市論壇中賣的最好的待售數據。據瞭解,信用卡數據的價格主要取決於其所屬國家/地區、公司、等級、以及所能提供的額外信息。如果包含信用卡持有者的個人識別碼(PIN)的話,價格將會高出10倍。
賽門鐵克的研究員表示,黑客對諸如Netflix和Spotify等流媒體網站賬戶表現出越來越高的興趣,每個賬戶的價格從之前的10美分漲到了現在的10美元。而DDoS服務則依舊保持高價位,最高可達1000美金。
同時,涉及如勒索工具等惡意軟件的價格最高則可達1800美元,並經常以犯罪軟件即服務(CaaS)的形式交易。除此以外,電子匯款服務也日漸興起,手續費可高達總金額的10%,而這也說明目前對於網絡罪犯來說,想要將盜取錢財套現還是非常困難的一步。
部分地下黑市價位
五、針對企業和個人的勒索軟件發展迅猛
勒索軟件威脅無論對於企業還是個人,都已經變得不容小覷。
更多的勒索軟件家族的出現,加密中招PC或服務器中文件所帶來的對正常業務流程的破壞性,以及結合比特幣支付的隱匿性和蠕蟲病毒的快速廣泛傳播,這些都使得勒索攻擊成為最讓人擔憂的網絡犯罪之一。
據賽門鐵克統計,2016年檢測到勒索攻擊有463,000次,比2015年上漲了36%,平均每天會有1271起。在新勒索軟件家族方面,相較於2015年,2016年的新發現的勒索軟件家族為數量為101,是2014年新勒索軟件家族數量的三倍以上;但是同期,勒索軟件新型變種的數量卻下降了29%,僅為241,000。這也反映出了攻擊者為了儘可能逃避反病毒軟件的檢測而更多的選擇勒索病毒的新家族而不是新變種這一趨勢。
在勒索贖金方面,相較於2015年也有比較大的漲幅。平均勒索贖金從2015年的294美元,上漲到了2016年的1077美元。除此以外,勒索軟件還會增加贖金上漲條件,比如超過X天沒有支付的話,贖金便會翻倍。同時,有證據顯示,勒索攻擊者會開始根據其加密的數據類型而定製化地設定贖金金額。例如HDDCryptor在成功攻擊舊金山市政交通機構並導致城市輕軌服務中斷後要求支付高達7萬美元的贖金。
在攻擊目標方面,據賽門鐵克統計,消費者群體仍是勒索軟件的主要攻擊目標。2016年消費者和企業受勒索攻擊數量比例分佈與2015年差別不明顯,仍約為2:1。個人消費者相較於企業對勒索攻擊的防範意識和認知更為淺薄,且大多因為惡意郵件而中招。而針對企業目標,攻擊者則更看重的是其內部網絡中的高價值數據。通過對多臺主機的感染和核心數據加密,贖金甚至已成為企業在勒索事件中最微不足道的損失。
在感染途徑上,賽門鐵克發現,除了常見的附有下載器或惡意鏈接的電子郵件外,通過在第三方web服務器掛載惡意代碼或惡意廣告等實現的對惡意服務器的重定向,並通過漏洞利用實現對未及時進行安全更新PC的感染,也是發起勒索攻擊的“主力軍”。
除此以外,勒索軟件還會通過諸如:二次感染、對某些服務登錄憑證的暴力破解、自我複製、軟件漏洞、第三方應用市場等途徑發起攻擊。
2016年前三大勒索威脅
勒索攻擊的高回報、低攻擊成本等特性,讓包括勒索病毒變種開發者在內的勒索軟件即服務(RaaS)在2016年變得日漸成熟。而這無疑會使得勒索攻擊的規模在2017年會快速擴大。同時,包括對安卓、蘋果等多平臺的操作系統支持的針對性攻擊,也勢必會成為勒索軟件將來的發展方向。
在防範勒索威脅方面,除了及時進行操作系統和軟件的安全更新外,良好的備份習慣,以及對含有Office附件和鏈接的可疑電郵保持高度警惕,都是減少勒索攻擊所帶來損失的關鍵。
六、影子IT&由物聯網設備組成的殭屍網絡所帶來的潛在威脅
諸如Office365、Dropbox、GitHub等越來越多的雲端應用和服務被企業所使用,同時存儲在雲端的數據量也不斷在增長。但是,缺乏從制度和流程上對企業員工使用這些雲端應用的控制這一現狀,使得企業利用雲端服務的風險一直在上升。
分析人員發現,企業CIO往往認為被企業內部員工使用的雲端應用只有30-40個,而真實數量往往是這個數字的20倍以上,平均可達到928個。
同時,賽門鐵克的雲端SOC還發現,企業中近1/4的影子數據(注:即IT部門不知或未授權卻存儲在雲端的業務數據)面臨著極高的洩露風險,而這其中的1/3是合規要求中明確要保護的敏感信息,包括個人識別信息(PII)、支付卡信息(PCI)、受保護的醫療信息(PHI)等。這些重要信息如果發生洩漏,企業將面臨嚴重的合規性懲罰。
限制員工對這些可提供高效工作環境的雲端應用的使用並不能夠完全消除這些風險。相反,執行雲端數據治理的最佳實踐,包括更安全的身份認證、用戶行為分析等技術對阻止敏感數據外洩更為關鍵。
除了影子數據的問題外,由脆弱的物聯網設備組成的殭屍網絡,也成為了攻擊者手中的利器。
物聯網安全在2015年開始就受到關注,而2016年由物聯網設備組成的殭屍網絡Mirai對DNS服務提供商Dyn發起DDoS攻擊導致美國部分地區發生大規模斷網事件的發生,則讓物聯網設備的安全性問題備受重視。
物聯網設備廠商對默認口令、端口開放等安全問題的輕視、大部分設備不支持自動化的固件更新或軟件補丁、以及用戶對其所有設備是否被惡意利用的不關心,是物聯網設備吸引攻擊者將其作為殭屍網絡併發起網絡攻擊的主要原因。
根據部署在全球各地的物聯網蜜罐,賽門鐵克發現,從2016年1月到12月對蜜罐發起攻擊的不同IP數量幾乎翻倍。從1月平均每小時4.6個到12月超過8.8個,且大部分攻擊IP都來自其它物理網設備。
除此以外,以攻擊發起設備的IP所屬地(不代表攻擊發起者的國籍)為指標,還可以看到,全球排名前五的針對物聯網設備發起攻擊的發起設備所屬地區依次是中國、美國、俄羅斯、德國和越南。
在口令方面,默認或硬編碼口令的使用情況非常普遍。大量用戶並沒有意識到這種默認登錄憑證會帶來多大的安全隱患,而廠商也沒有強制用戶更改成唯一登錄憑證,這使得口令成為了物聯網設備的重要脆弱點。
據賽門鐵克統計,排名前十的常用登錄口令依次是:admin、root、123456、12345、ubnt(注:Ubiquiti品牌的路由器的默認口令)、password、1234、admin123、test和abc。
還有一個可能的趨勢,就是物理網威脅和影子數據所帶來的潛在風險在網絡犯罪方面的結合。
隨著諸如智能攝像頭等物聯網設備的普及,以及智能生活的到來,物聯網設備可以蒐集到用戶更多更隱私的數據,雲端的不安全存儲會給用戶帶來更高的隱私數據洩露的風險。
七、安全建議
結合此次《互聯網安全威脅報告》的內容,賽門鐵克分別針對企業和個人消費者給出以下安全建議。
企業:
實時監控企業資源
定期進行惡意電郵防護的安全培訓
為可能發生的最壞情況做好準備
部署全面安全解決方案並實施多層防護
消費者:
即使更新操作系統和軟件
謹慎對待可疑的惡意電郵
定期進行文件備份
更改設備和服務的默認登錄憑證
報告下載:
https://www.symantec.com/about/newsroom/press-kits/istr-22
相關推薦
