卡巴斯基發布2018年威脅預測，威脅情報共享成網路安全新趨勢

前言

宅客頻道編者按：作為卡巴斯基實驗室的網路安全分析團隊，「GReAT」每年都會根據對全球的網路攻擊狀況進行研究，發表針對下一年的威脅預測。近日，他們發布了對 2018 年的威脅預測，雷鋒網選取了部分內容進行編譯整理。

想看原版的讀者請移步文末查看參考來源。

會出現更多的供應鏈攻擊

如果從防守方來看，企業或者個人為了保護自己的網路安全，往往使用了強大的網路安全防護體系，用於抵禦黑客的 APT （高級持續性威脅）攻擊。

要知道，對付這些手握豐富武器庫（零日漏洞、無文本攻擊工具等）的黑客，並不是一件容易的事情。

卡巴斯基發現，在一些 APT攻擊中，由於攻擊目標使用了強大的網路安全防護體系，並對員工進行了良好的安全教育，使得黑客的攻擊屢屢失敗。

但是，這些黑客並未輕易放棄，一直在尋找方法繼續入侵。他們重新評估形勢後發現，「供應鏈攻擊」比直接進攻更有效。

什麼是供應鏈攻擊？

簡單來說，就是披著合法軟體外衣的攻擊行為，如影響百萬電腦的暗雲Ⅲ惡意軟體，隱藏在正規刷機軟體中的異鬼II，以及被爆盜用國內某終端管理軟體數字簽名的 Kuzzle 惡意軟體……很多我們充分信任的軟體都淪陷過，因為第三方軟體可能是一個更容易的目標，他們可以利用它來攻擊受到更好保護的原始目標企業。

在2017年，有這樣一些案例：

Shadowpad

CCleaner

ExPetr / NotPetya

這些攻擊很難識別。例如，在 Shadowpad 的案例中，攻擊者成功地利用Netsarang軟體攜帶惡意軟體程序包，在世界各地傳播，尤其是銀行、大型企業和其他垂直行業。

在很多情況下，它們都是命令和控制（C&C）流量，畢竟用戶很難察覺到乾淨的程序包和攜帶惡意代碼的程序包的差異。

在CCleaner案例中，估計有超過200萬台電腦被感染，這使它成為2017年最大的供應鏈攻擊之一。

研究人員分析了惡意的CCleaner代碼後，將它與其他一些已知的後門程序聯繫起來，這些後門程序被APT組織「Axiom umbrella」（APT17，也叫Aurora）使用過。這證明了APT組織願意為了實現其目標拉長戰線。

「GReAT」認為，目前的「供應鏈攻擊」數量可能比我們了解到的要高得多，只是這些還沒有被暴露出來。

會出現更多高端的移動惡意軟體

2016 年 8 月，CitizenLab 和 Lookout 公司公布了一份名為「Pegasus」的移動間諜平台的分析報告。

Pegasus 是一款所謂的「合法攔截」軟體套件，被一家名為「NSO Group」的以色列公司出售給政府和其他實體企業。

Pegasus 能結合多個零日漏洞，遠程繞過 iOS 等系統的安全防禦。它被認為是目前為止最危險的間諜軟體之一，可以通過簡訊息進行控制，並具有自毀功能。此外，它還能抓取大量通信數據、WhatsApp 通話和消息記錄、以及來自 Gmail、Facebook、Skype 和 Twitter 等有價值的數據。除此之外，它還能控制設備的攝像頭和麥克風，並記錄鍵盤，捕獲截圖。

總之，如果你的手機被這款惡意軟體所控制，絕對可以上演一部現實版《楚門的世界》。

除Pegasus 外，許多其他APT組織也開發了專屬的移動惡意軟體。由於iOS是一個特殊的操作系統，用戶很難檢查他們的手機是否被感染。

總之，由於遙測技術的缺陷，一些移動惡意軟體難以被發現和根除，現還未被發現的移動惡意軟體的總數，可能比已經公布的要多。

會出現更多類似 BeEF 的 web 框架分析工具

隨著網路安全意識的不斷提高，各大互聯網公司都擁有了強大的安全團隊，這致使零日漏洞的發現越來越難，價格也在近兩年水漲船高。

例如，世界著名漏洞軍火商 Zerodium 最近表示願意出價150萬美元購買一套完整的 iPhone（iOS）持續性攻擊的遠程越獄漏洞，即在沒有任何用戶交互的情況下，遠程感染目標設備。現在，你估計會對黑客陳良有不一樣的認識了吧，黑客陳良首次揭秘如何越獄 iPhone X ：喬布斯的蘋果終有缺口。

這也意味著，攻擊者在攻擊前需要經歷一個更縝密的分析過程。

例如，偵察階段可以強調識別目標、操作系統、插件和其他第三方軟體使用的瀏覽器的準確版本。

憑藉這些信息，攻擊者可以針對目標特性調整他們的開發方式，交付一個不太敏感的將「1-day」或「N-day」的漏洞，而不是被譽為「皇冠上的寶石」的「0-day」漏洞。

類似於 Turla、Sofacy 和 Newsbeef 這樣的 APT 組織已把這類分析技術運用得相當熟練，其他的APT組織也以其自定義的分析框架而聞名，比如多產的 Scanbox 。

由於分析框架的普遍性和零日漏洞的高昂代價，我們可以估計在2018年使用「BeEF」之類的分析工具包將會增加，更多的黑客團隊可能採用公共框架，或者自己開發工具包。

會出現先進的 UEFI 和 BIOS 攻擊

UEFI (統一可擴展固件介面)是一種軟體介面，是現代pc機與操作系統之間的媒介。由英特爾在2005年開發，正在迅速取代傳統的BIOS標準。這是因為BIOS缺乏一些高級特性：例如，安裝並運行可執行文件、網路功能、加密、CPU獨立架構和驅動程序等能力。

而 UEFI 可以彌補BIOS缺乏的這些能力，這使得 UEFI 成為一個有吸引力的平台，攻擊者也在其中找到許多在 BIOS 平台上並不存在的新漏洞。

例如，運行自定義可執行模塊的能力使得它能夠創建惡意軟體，而由UEFI直接執行就能繞過任何反惡意軟體解決方案。

從 2015 年開始，商業級的UEFI惡意軟體就已經存在了。但是， 到目前為止仍然缺少針對這類惡意軟體的成熟的、可靠的檢測方法。

我們預計，在 2018 年，將會看到更多基於UEFI的惡意軟體。

破壞性的攻擊仍在繼續

從2016年11月開始，卡巴斯基實驗室觀察到一波針對中東地區多個目標的「雨刷攻擊」。

在新的襲擊中使用的惡意軟體是臭名昭著的 Shamoon 蠕蟲病毒的變種，該蠕蟲在2012年襲擊了 Saudi Aramco 和 Rasga s公司，2012年，這種病毒出現時，它的攻擊目標是能源企業或能源部門，它能將受感染 Windows機器中的數據永久刪除。

在襲擊當天，一群被稱為「正義之劍」的組織發布了一份巴氏(Pastebin)信息，並對Saudi Aramco發動攻擊，並稱此次襲擊是針對沙特王室的一項舉措。

在2016年11月，又發生了Shamoon 2.0攻擊事件，此次目標是沙烏地阿拉伯多個關鍵部門和經濟部門。就像之前的變種一樣，Shamoon 2.0「雨刮器」的目標是對組織內部系統和 設備進行大規模破壞。

在調查Shamoon 2.0的攻擊時，卡巴斯基實驗室還發現了一個以前不為人知的惡意軟體，似乎針對的也是沙烏地阿拉伯地區的組織。

我們已經把這種新「雨刷器」稱為「StoneDrill」，它很有可能與Newsbeef APT組織存在關聯。

除了Shamoon和Stonedrill,發生在2017年的極具破壞性的攻擊活動還有很多，如ExPetr/ NotPetya攻擊，最初被認為是勒索軟體，結果被證明是一個巧妙偽裝的「雨刷器」。

緊隨其後的另一波「贖金」攻擊，使得受害者幾乎沒有機會恢復他們的數據，這都是因為這些勒索軟體都被 「雨刷器」巧妙地掩飾了。

關於「雨刷器即勒索軟體」（wipers as ransomware）這一事實，在2016年出現的由CloudAtlas APT組織發起的針對俄羅斯的金融機構的攻擊活動中可以證實。

在2018年，我們預計破壞性攻擊活動將繼續上升，或許還會在網路戰中佔據極大地位。

更多的加密系統會被顛覆

在2017年3月，美國國家安全局開發的 IoT 加密方案提議遭到了 Simo n和 Speck 異體ISO認證的質疑，這兩項提案都被撤回並推遲了。

2016年8月，Juniper Networks宣布在他們的NetScreen防火牆中發現了兩個神秘的後門。可能是Dual_EC隨機數生成器所使用的常量發生了細微的變化，使得攻擊者能夠從NetScreen設備解密VPN流量。

最初的Dual_EC演算法是由國家安全局設計的，並通過了NIST標準。

早在2013年，路透社(Reuters)的一份報告就顯示，美國國家安全局(NSA)向RSA支付了1000萬美元，把Dual_EC這個脆弱的演算法集成到它的加密套件中

即使在2007年就從理論上確定了植入後門程序的可能性，一些公司(包括Juniper)仍採用了不同的常數集，繼續使用該演算法，這在理論上是安全的。

但是這組不同的常量並不能改變什麼，一些APT攻擊者仍會攻擊Juniper，他們會將這些常量更改為一個可以控制和利用的內容來解密VPN流量。

這些嘗試並沒有被忽視。在2017年9月，一個國際密碼學專家小組迫使美國國家安全局放棄了兩種新的加密演算法，該組織希望將其標準化。

2017年10月，新聞報道了英飛凌技術股份公司（Infineon Technologies）在他們使用的硬體晶元加密庫中的一個缺陷。雖然這一漏洞似乎是無意的，但它確實讓我們對「智能卡、無線網路或加密Web流量等日常生活中使用的基礎加密技術的安全性」產生了質疑。

在2018年，我們預測將會發現更加嚴重的加密漏洞，並希望無論是加密演算法標準本身還是在具體的實踐中出現的漏洞都能被修補。

會出現電子商務領域的身份認證危機

在過去的幾年裡，發生了大規模的個人信息泄露事件，比如涉及半數美國人的Equifax 漏洞事件。

雖然許多人已經對這些數據泄露事件麻木，但需要明白的是，規模化的個人信息信息泄露，可能會危及電子商務的基礎。

欺詐和身份盜用問題是一個長期存在的問題，但當基本的身份識別信息泄露如此泛濫時，人們是否會認為相關企業根本就不可靠呢？

這時，商業和政府機構 (特別是在美國) 將面臨一種選擇，即縮減採用互聯網運營的舒適度，或是採用其他多因素安全解決方案。換句話說，可能以後為了保證安全，用戶體驗可能沒那麼便捷了。

也許像 ApplePay 這樣的有彈性的替代方案將會成為一種現實的方式來確保身份和交易，但同時，我們可能會看到，為了實現繁瑣的官僚程序的現代化和降低運營成本，互聯網的關鍵作用正在放緩。

會出現更多的路由器和數據機攻擊

另一個被廣泛忽視的領域是路由器和數據機。

其實，路由器已經成為各類破解秀中的常客了，因為不論是家裡還是單位，它都成為了一個必不可少的硬體，，然而這些硬體上面運行的專有軟體卻又常處於未打補丁或無人看管的狀態。

一些攻擊者正是利用這一點，獲取到網路持久和隱蔽性訪問權。

在某些情況下，攻擊者甚至可以模擬不同的互聯網用戶，將蹤跡轉移到完全不同的網路連接地址中。

預計到2018年，攻擊者對誤導和虛假標誌的興趣正在不斷增加，對這些設備進行更嚴格的審查將會有更多的發現。

社交媒體的政治化作用凸顯

從特朗普身上，大家應該都能感受到，社交媒體已經逐漸擔任了重要的政治化角色，不少美國人甚至認為，是facebook幫助特朗普贏得了美國大選。

卡巴斯基預計，社交媒體政治化將會呈現更明顯的濫用趨勢，大型殭屍網路將成為更廣泛的政治毒瘤，看來，大家對殭屍粉的厭惡是部分國界的。

總結

其實， 每一年的主題和趨勢都不是孤立，翻看前幾年的威脅預測可以看出，它們相互依賴，無論是個人、企業還是政府，所面臨的威脅都在不斷增長，能緩解這些威脅的，是高保真威脅情報，以及對於威脅情報的分享和應用。

雖然這些預測涵蓋了高級目標威脅的趨勢，但個別行業將面臨自己獨特的挑戰。2018年，卡巴斯基將把目光更多的放在醫療、汽車、金融服務、工控安全等部門。

報告下載

下載鏈接

推薦閱讀：