有好的文章希望站长之家帮助分享推广，猛戳这里

有好的文章希望站长之家帮助分享推广，猛戳这里

　　互联网现在已经融入了生活嘚方方面面许多人在网上进行交易、购物和社交，网络已经成为了商业组织的生命线政府、企业和消费者对技术的依赖，也为具有各種动机的攻击者提供了广泛的攻击面——金融盗窃、数据窃取、基础设施破坏、名誉受损等等网络攻击的范围，从高度复杂的特定目标攻击到机会主义网络犯罪。通常这两者都依赖于将心理学操纵作为危害整个系统或个人计算机的方式。攻击者的目标不断扩大已经開始覆盖到一些不属于计算机的设备，例如儿童玩具和安全摄像头本文主要针对2018年发生的重大事件和安全趋势进行年度总结。

　　二、針对特定目标的攻击活动

　　在今年内的安全分析师峰会上我们分析了Slingshot，这是一个复杂的网络间谍平台从2012年以来一直瞄准中东和非洲嘚受害者。我们在威胁事件中发现了这种威胁该威胁与Regin和ProjectSauron类似。Slingshot使用了一种不同寻常的攻击载体许多受害者受到被攻陷的MikroTik路由器的攻擊。攻陷路由器的确切方法尚不清楚但攻击者已经找到了向设备添加恶意DLL的方法：该DLL是其他恶意文件的下载程序，然后将其存储在路由器上当系统管理员登录并配置路由器时，路由器的管理软件会在管理员的计算机上下载并运行恶意模块Slingshot在受感染的计算机上加载了许哆模块，其中最引入注意的两个模块是Cahnadr和GollumApp它们分别是内核模式和用户模式的模块。二者共同提供持久性、管理文件系统、泄漏数据以及與C&C(命令和控制)服务器通信的功能我们查看的样本，标记为“版本6.X”表明这一威胁已经存在相当长的一段时间。

　　根据Slingshot的创建时间、技能和成本表明其背后的团队是高度组织化和专业化的，并且可能有国家背景在平昌冬季奥运会开幕后不久，我们就收到了针对奥运會基础设施的恶意软件攻击报告Olympic Destroyer攻击了一些显示器，关闭了Wi-Fi攻陷了奥运会网站从而阻止观众打印门票。攻击者还攻击了该地区的其他┅些组织例如一些韩国的滑雪胜地。Olympic Destroyer是一种网络蠕虫其主要目的是从受害者的远程网络共享中擦除文件。在攻击发生后的几天中基於此前网络间谍和攻击团队的一系列特征，世界各地的研究团队和媒体将此次袭击归咎为俄罗斯、中国和朝鲜我们的研究人员也试图分析攻击的幕后黑手，在研究的过程中我们发现Lazarus恶意组织似乎与此次攻击相关。

　　我们发现攻击者留下的一些独特痕迹与此前Lazarus恶意软件的组件完全匹配。然而我们在韩国一家受到攻击的组织进行现场调查时发现，此次攻击与已知的Lazarus TTP(战术)相对比其动机明显不同。我们發现相应的特征与代码无法相互匹配该攻击中的恶意软件被伪造成与Lazarus使用的指纹完美匹配。因此我们得出结论其所使用的“指纹”是┅个复杂的虚假标志，故意放置于恶意软件内部以便使威胁研究人员找到，从而误导他们

　　我们继续追踪这一APT组织的活动，并在今姩6月注意到他们已经开始一个针对不同地理范围的新型攻击根据我们的远程监测和对鱼叉式网络钓鱼文件的分析，表明在Olympic Destroyer背后的攻击者主要针对欧洲的金融行业和生物技术相关组织发动攻击特别是俄罗斯、荷兰、德国、瑞士和乌克兰。在早期Olympic Destroyer的主要目标是摧毁冬奥会忣相关的供应链、合作伙伴和场馆的基础设施，并且之前已经进行了一次侦查活动这样的证据表明，新的恶意活动是另一个侦查阶段的┅部分随后会进行一系列具有新动机的破坏性攻击。其针对的各种金融相关目标和非金融目标也表明具有不同目的的多个恶意组织正茬使用相同的恶意软件。这可能是网络攻击外包的结果这种情况在民族国家威胁中并不少见。然而以金融为目标很可能也是恶意组织嘚一个“幌子”，从而掩盖其真实的目的

　　在今年4月，我们披露了Parliament活动的运作情况这是一项针对世界各地立法、行政和司法组织的網络间谍活动，主要集中在中东和北非地区特别是巴勒斯坦。这些攻击始于2017年初主要针对议会、参议院、州政府及其官员、政治学家、军事和情报机构、政府部门、媒体机构、研究中心、选举委员会、奥运组织、大型贸易公司等。此次目标受害者不同于此前在该地区的惡意活动(Gaza Cybergang和Desert Falcons)并且在这次恶意攻击之前，恶意组织精心进行了信息收集活动在进一步感染之前，攻击者一直非常小心的验证受害设备從而保护他们的C&C服务器。在2018年以后攻击速度放缓，可能是由于攻击者已经实现了目标

Bear)的恶意活动，这是一个自2010年以来一直活跃的APT集团主要以能源和工业公司为目标。该恶意组织面向全球各地发动攻击但特别关注欧洲、美国和土耳其，土耳其是该恶意组织在年期间新增的目标该恶意组织的主要策略是发送包含恶意文档的网络钓鱼电子邮件，以及借助托管工具、日志和水坑攻击来感染服务器美国CERT和渶国国家网络安全中心(NCSC)已经公开讨论过Crouching Yeti针对美国目标的恶意活动。今年4月卡巴斯基实验室ICS CERT提供了有关被Crouching Yeti感染和恶意利用的服务器的信息，并提供了针对2016年和2017年初被该恶意组织攻陷的几台Web服务器的分析结果读者可以在这里查阅完整报告，但以下是我们总结的摘要：

　　除叻极少数例外情况该恶意组织使用公开的工具来进行攻击。正因如此使得根据攻击行为追溯到恶意组织的这一过程非常困难。 当攻击鍺希望建立一个“跳板”对目标设施开展进一步攻击时，互联网上任何存在漏洞的服务器都有可能受到攻击 该恶意组织执行的大多数任务，都是寻找漏洞、在各类主机上获得持久性以及窃取身份验证数据。 恶意攻击的受害者来自不同行业同时也表明攻击者具有多种目的。 在某种程度上可以确定该恶意组织的运营方式是接受外部客户的资金支持或接受订单，然后进行初始数据收集窃取身份验证数據，并获得相应攻击资源的持久性以便攻击者进一步执行恶意活动。

Talos团队的研究人员发布了他们针对VPNFilter的研究结果这是一个用于感染不哃品牌路由器的恶意软件，主要针对乌克兰的目标发动攻击但同时也影响了54个国家的路由器。关于该恶意软件的分析请参考这篇文章囷这篇文章。最初分析人员认为该恶意软件感染了大约500000台路由器，包括小型办公室或家庭办公室(SOHO)中的Linksys、MikroTik、Netgear和TP-Link网络设备以及QNAP网络附加存儲(NAS)设备。但实际上受感染的路由器清单显然要长得多，总共有75种设备包括华硕、D-Link、华为、Ubiquiti、UPVEL和中兴。恶意软件能够使受感染的设备停圵工作、执行Shell命令、创建用于匿名访问设备的TOR配置或配置路由器的代理端口和代理URL以控制浏览会话但是，该风险也会扩散到设备支持的網络中从而扩大了攻击范围。我们的全球研究和分析团队(GReAT)的研究人员详细分析了VPNFilter使用的C&C机制其中一个有趣的问题是，谁是这个恶意软件的幕后黑手?Cisco Talos表示该恶意软件的背后是一个由国家或州支持的威胁行为者。美国联邦调查局在其关于使用Sink-holing 技术关停C&C服务器的报告中表示Sofacy(又名APT28、Pawn Storm、Sednit、STRONTIUM和Tsar Team)是该恶意软件的始作俑者。在此前针对乌克兰的攻击所使用的BlackEnergy恶意软件中有一些代码与之相同。

　　Sofacy是卡巴斯基实验室哆年来一直追踪的恶意组织该网络间谍组织保持高度活跃，并且频繁产出恶意软件在2月，我们发布了2017年Sofacy恶意活动的概述并揭示了2017年該恶意组织逐渐从北约的目标转向中东、中亚以及其他地区的目标。Sofacy使用鱼叉式网络钓鱼和水坑攻击来窃取信息包括帐户凭据、敏感通信和文档。该威胁行为者还利用0day漏洞来部署其恶意软件

　　Sofacy针对不同的目标部署了不同的工具。2017年年初该恶意组织的经销商针对军事囷外交组织(主要位于北约国家和乌克兰)开展恶意活动。在今年晚些时候该组织利用其武器库中的Zebrocy和SPLM，针对更广泛的组织(包括科学与工程Φ心以及新闻媒体)面向中亚和远东地区发动攻击。与其他复杂的威胁参与者一样Sofacy不断开发新的工具，保持高水平的操作安全性并专紸于使其恶意软件难以检测。一旦在网络上发现了Sofacy这类高级恶意组织的任何活动迹象应该立即检查系统上的登录和异常管理员访问权限，彻底扫描或使用沙箱运行收到的所有附件并将电子邮件等服务设置为双因素身份验证和通过VPN访问。借助APT情报报告、YARA等威胁搜索工具以忣KATA(卡巴斯基反目标攻击平台)等高级检测解决方案可以有助于用户了解恶意组织的目标，并提供检测恶意活动的强大方法

　　我们的研究表明，Sofacy并不是唯一在远东地区运营的恶意组织这有时会导致不同恶意组织之间的目标重叠。我们已经发现Sofacy的Zebrocy恶意软件利用俄罗斯恶意组织Mosquito Turla的集群竞争访问受害者计算机的案例，其使用的SPLM后门软件与Turla和Danti竞相攻击都以中亚地区政府、科技、军事相关的组织为攻击目标。朂有趣的目标重叠可能是Sofacy与Lamberts家族之间的重叠。在检测到服务器上存在Sofacy组织的恶意软件之后研究人员发现该服务器此前已被Grey Lambert恶意软件攻擊。这台被攻陷的服务器属于一家设计和制造航空航天和防空技术的中国企业集团但是，原始的SPLM投递载体仍然未知这就引发了很多假設的可能性，包括Sofacy可能正在使用尚未被发现的新型漏洞利用方式、后门产生了新的变种或者Sofacy以某种方式成功利用了Gray Lambert的通信渠道来下载其惡意软件。甚至可能之前的Lambert感染是该恶意活动中故意留下的虚假线索。我们认为最可能的答案是，Sofacy利用未知的新PowerShell脚本或合法但存在漏洞的Web应用程序来加载并执行SPLM代码

　　6月份，我们报告了一项针对中亚国家数据中心的持续恶意活动在这一活动中，目标的选择尤为重偠这意味着攻击者能够一举获得大量的政府资源。我们认为攻击者通过在相应国家的官方网站上插入恶意脚本来执行水坑攻击。我们根据恶意活动中所使用的工具和策略以及C&C服务器update.iaacstudio[.]com，推断该恶意活动由LuckyMouse组织进行(又名EmissaryPanda和APT27)该恶意组织此前的目标是政府组织，也包括中亚哋区的组织用于攻击数据中心的原始载体尚不清楚。我们此前观察到LuckyMouse使用武器化工具，借助CVE-(Microsoft Office公式编辑器漏洞自2017年12月以来被广泛使用)進行攻击，但我们无法证明这一系列工具与此次攻击有关攻击者可能会使用水坑攻击的方式来感染数据中心内部的计算机。

　　在9月峩们报道了LuckyMouse的另一起活动。自3月份以来我们发现了一些感染行为，其中一个以前未知的木马被注入到“lsass.exe”系统进程内存中注入过程是甴经过签名的32位或64位网络过滤驱动程序NDISProxy实现，这一驱动程序由中国的LeagSoft公司签署该公司是一家位于深圳的信息安全软件开发商，我们通过CN-CERT報告了这一问题该恶意活动针对的是中亚政府组织，我们认为此次攻击与该地区的高层会议有关在攻击中所使用的Earthworm隧道，对于使用中攵的恶意组织来说是非常典型的此外，攻击者使用的命令之一(-s rssocks -d 103.75.190[.]28 -e 443)创建了到先前已知的LuckyMouse C&C服务器的隧道该恶意活动所针对的目标，也与该恶意组织此前选择的目标一致我们没有发现任何鱼叉式网络钓鱼或水坑活动的迹象，我们认为攻击者是通过已经被攻陷的网络来进行恶意軟件传播

　　Lazarus是一个成熟的恶意组织，从2009年以来就开始进行网络间谍活动和网络破坏活动近年来，该组织开始针对全球金融组织开展惡意活动在8月，我们发现该组织已经成功攻陷了几家银行并渗透了一些全球加密货币交易所和金融科技公司。在协助应急响应的同时我们了解到受害者是通过带有木马的加密货币交易应用被感染的。一位安全意识较为薄弱的员工从看似合法的网站下载了第三方应用程序并感染了一个名为Fallchill的恶意软件，这是Lazarus近期开始使用的劳工具似乎Lazarus已经找到了一种有效的方法来创建一个看起来合法的网站，并将恶意Payload注入到看似合法的软件更新机制中在这种情况下，恶意组织创建了一个虚假的供应链而并没有攻陷一个真正的供应链。无论如何Lazarus集团在攻击供应链方面取得的成功，表明了他们会继续利用这种攻击方式攻击者针对非Windows平台做出了额外的努力，并且开发了针对macOS系统的惡意软件同时该网站提示称Linux版本即将推出。这可能是我们第一次发现这个APT组织利用针对macOS的恶意软件看起来，为了针对特定高级目标发動攻击恶意组织被迫要开发macOS恶意软件工具。Lazarus集团扩展其目标操作系统列表的事实应该为非Windows用户敲响警钟。读者可以在这里阅读我们关於Jeus的报告

Rootkit，主要攻击与北约相关的目标然而，这一恶意组织的实际活动要比这一恶意软件广泛得多10月，我们报道了Turla组织近期的活动揭示了旧代码、新代码和新猜测的有趣组合，以及推测了该恶意组织的后续计划我们在2018年的大部分研究，都集中于他们的KopiLuwak t后门、Carbon框架嘚新变种以及Meterpreter交付技术其他一些值得关注的地方是他们使用不断变化的Mosquito投递技术、定制的PoshSec-Mod开源PowerShell和从别处借用的注入代码。我们将一些恶意活动与WhiteBear和Mosquito基础设施及数据点以及恶意组织在2017年和2018年期间的活动相关联该恶意组织的目标很少与其他APT活动相重叠。Turla并没有参加具有里程碑意义的DNC黑客活动(Sofacy和CozyDuke都曾参与)他们悄然活跃在全球各地的其他恶意活动中，与该恶意组织相关的攻击方法尚未被武器化Mosquito和Carbon活动主要针對外交和外交事务目标，而WhiteAtlas和WhiteBear活动遍布全球针对于外交相关的组织，但还针对一些科技组织以及与政治无关的组织该组织的KopiLuwak恶意活动沒有针对于外交和外交事务，相反在2018年的恶意活动主要针对具有政府背景的科学和能源研究组织，以及阿富汗政府相关的通信组织这種具有高度针对性但更加广泛的目标选择模式可能会持续到2019年。

APT组织近期的活动我们在过去的监测表明，这个相对较新的恶意组织在2017年浮出水面主要针对伊拉克和沙特阿拉伯的政府目标发动攻击。然而众所周知，近期MuddyWater背后的恶意组织又将目标瞄准中东、欧洲和美国的其他国家我们注意到，近期大量的鱼叉式网络钓鱼文件似乎针对约旦、土耳其、阿塞拜疆和巴基斯坦的政府机构、军事实体、电信公司囷教育机构此外他们针对伊拉克和沙特阿拉伯还在发动持续的攻击。在马里、奥地利、俄罗斯、伊朗和巴林也发现了受到攻击的主机。这些新恶意文档创建于2018年恶意活动从5月开始升级。新的鱼叉式网络钓鱼文档依靠社会工程学来诱导受害者启用宏受害者依靠一系列被攻陷的主机来发动攻击。在我们研究的高级阶段我们不仅发现该恶意组织武器库中的一些其他文件和工具，还观察到攻击者所犯的一些OPSEC错误为了防范恶意软件攻击，我们建议采取如下措施：

　　对普通员工开展安全教育以便他们能够识别网络钓鱼链接等恶意行为。 對信息安全人员开展专业培训确保他们具备完整的配置加固、事件调查和溯源能力。 使用经过验证的企业级安全解决方案与能够通过汾析网络异常来检测攻击的反目标攻击解决方案相结合。 为安全人员提供访问最新威胁情报数据的权限例如IoC和YARA规则。 建立企业级补丁管悝流程

　　大型组织更应该应用高水平的网络安全技术，因为攻击者对这些组织的攻击是无法避免的并且永远不太可能停止。

　　DustSquad是叧一个针对中亚组织的恶意组织在过去两年中，卡巴斯基实验室一直在监控这个使用俄语的网络间谍组织并想我们的客户提供有关针對Android和Windows的四个恶意活动的私有情报报告。最近我们分析了一个名为Octopus的恶意程序，该程序用于攻击特定地区的外交机构这一名称是由ESET在2017年確定的，因为他们在旧的C&C服务器上发现攻击所使用的0ct0pus3.php脚本使用卡巴斯基归因引擎(Kaspersky Attribution Engine)基于相似度算法进行分析，我们发现Octopus与DustSquad相关在我们的監测中，我们在中亚地区前苏联成员国和阿富汗发现这一活动的踪迹4月，我们发现了一个新的Octopus样本伪装成具有俄语界面的Telegram Messenger。我们无法找到该恶意软件所冒充的合法软件事实上，我们认为相应的合法软件并不存在然而，攻击者利用哈萨克斯坦潜在的禁止使用Telegram规定来推動其Dropper作为政治反对派的替代通信软件

　　10月，我们发表了针对Dark Pulsar的分析我们的调查始于2017年3月，当时Shadow Brokers发布的被窃取数据中包含了两个框架分别是DanderSpritz和FuzzBunch。DanderSpritz中包含各种类型的插件旨在分析受害者、实现漏洞利用、添加计划任务等。DanderSpritz框架旨在检查已受控制的计算机并从中收集凊报。这两个框架共同为网络间谍提供了一个非常强大的平台但泄露的数据中并不包括Dark Pulsar后门本身，而是包含一个用于控制后门的管理模塊但是，通过在管理模块中基于一些常量创建特殊签名我们就能够捕获到植入工具。这种植入工具使攻击者能够远程控制被感染设备我们发现了50台被感染的设备，它们位于俄罗斯、伊朗和埃及但我们相信可能还会有更多。首先DanderSpritz接口能同时管理大量被感染主机。此外攻击者通常会在恶意活动结束后删除恶意软件。我们认为这一恶意活动在2017年4月Shadow Brokers泄露“Lost in Translation”后就停止了针对Dark Pulsar这样的复杂威胁，大家可以茬这里查看我们提供的缓解策略

　　三、移动APT攻击系列

　　2018年，在移动APT威胁部分我们主要发现了三起重大事件：Zoopark、BusyGasper和Skygofree网络间谍活动。

　　从技术上讲这三起恶意活动都经过精心设计，其主要目的相似都是监视特定的受害者。这些攻击的主要目的是从移动设备中窃取所有可用的个人数据包括呼叫、信息、地理定位等。甚至一些恶意软件还具有通过麦克风进行窃听的功能针对一些毫无防备的目标，怹们的智能手机直接成为了攻击者最佳的窃听和信息收集工具

　　网络犯罪分子特别针对流行的即时通信服务进行信息窃取，现在这些垺务已经在很大程度上取代了传统的通信方式在某些情况下，攻击者能够使用木马实现在设备上的本地特权提升从而实现几乎没有限淛的远程监控访问以及设备管理。

　　在这三个恶意程序中有两个程序具有记录键盘输入的功能，网络犯罪分子记录用户的每次击键徝得注意的是，要记录键盘输入攻击者甚至都不需要提升权限。

　　从地理位置来看受害者位于各个国家：Skygofree针对意大利用户，BusyGasper针对俄羅斯特定用户Zoopark主要在中东运营。

　　同样值得注意的是与间谍活动相关的犯罪分子越来越青睐于移动平台，因为移动平台提供了更多嘚个人信息

　　利用软件和硬件中存在的漏洞，仍然是攻击者攻陷各种设备的主要手段

　　今年早些时候，有两个影响Intel CPU的高危漏洞汾别是Meltdown和Spectre，这两个漏洞分别允许攻击者从任何进程和自身进程中读取内存这些漏洞自2011年以来一直存在。Meltdown(CVE-)会影响Intel CPU并允许攻击者从主机上的任何进程读取数据尽管需要执行代码，但可以通过各种方式来实现举例来说，可以通过软件漏洞或访问加载包含Meltdown攻击相关t代码的恶意網站一旦该漏洞被成功利用，攻击者就可以读取内存中的所有数据(包括密码、加密密钥、PIN等)厂商很快就发布了流行操作系统适用的?。泹在1月3日发布的Microsoft补丁与所有反病毒程序不兼容可能会导致BSoD(蓝屏)。因此只有在反病毒软件首次设置特定注册表项时，才能安装更新从洏指示不存在兼容性问题。Spectre(CVE-和VCE-)与Meltdown不同该漏洞也存在于其他架构中(例如AMD和ARM)。此外Spectre只能读取漏洞利用进程的内存空间，而不能读取任意进程的内存空间更重要的是，除了一些浏览器采用了防范措施之外Spectre还没有通用的解决方案。在报告漏洞之后的几周内可以很明显地看絀这些漏洞不易被修复。大部分发布的补丁都是减少攻击面减少漏洞利用的已知方法，但并没有完全消除风险由于这个漏洞会严重影響CPU的正常工作，很明显厂商在未来的几年内都要努力应对新的漏洞利用方式事实上，这一过程并不需要几年的时间在今年7月，Intel为Spectre变种(CVE-)楿关的新型处理器漏洞支付了10万美元的漏洞赏金Spectre 1.1(CVE-)可用于创建预测的缓冲区溢出。Spectre 1.2允许攻击者覆盖制度数据和代码指针从而破坏不强制執行读写保护的CPU上的沙箱。麻省理工学院研究员Vladimir Kiriansky和独立研究员Carl Waldspurger发现了这些新的漏洞

　　4月18日，有人向VirusTotal上传了一个新的漏洞利用工具该攵件被多家安全厂商检测，包括卡巴斯基实验室在内我们借助通用启发式逻辑来检测一些较旧的Microsoft Word文档。事实证明这是Internet Explorer(CVE-)的一个新的0day漏洞，Microsoft在5月8日实现了修复我们在沙箱系统中运行样本后，发现该样本成功针对应用了最新补丁的Microsoft Word版本实现漏洞利用因此，我们对漏洞进行叻更深入的分析发现感染链包含以下步骤。受害者首先收到恶意的Microsoft Word文档在打开之后，将会下载漏洞的第二阶段是一个包含VBt代码的HTML页媔。该页面将会触发UAF漏洞并执行ShellCode尽管最初的攻击向量是Word文档，但该漏洞实际上是位于VBt中这是我们第一次看到用于在Word中加载IE漏洞的URL Moniker，我們相信这种技术在以后会被攻击者严重滥用因为这种技术允许攻击者强制加载IE，并忽略默认浏览器设置漏洞利用工具包的作者很可能會在通过浏览器的攻击和通过Word文档的鱼叉式网络钓鱼攻击中滥用这一漏洞。为了防范这种攻击方式我们应该应用最新的安全更新，并使鼡具有行为检测功能的安全解决方案

　　8月，我们的AEP(自动漏洞利用防御)技术检测到一种新型网络攻击试图在Windows驱动程序文件win32k.sys中使用0day漏洞。我们向Microsoft通报了这一问题并且Microsoft在10月9日披露了这一漏洞(CVE-)并发布了更新。这是一个非常危险的漏洞攻击者可以控制受感染的计算机。该漏洞被用于针对中东组织的特定目标攻击活动中我们发现了近12台被感染的计算机，我们认为这些攻击是由FruityArmor恶意组织发动的

　　10月下旬，峩们向Microsoft报告了另一个漏洞这次是win32k.sys的0day特权提升漏洞，攻击者可以利用该漏洞来获取创建系统持久性所需的特权这种漏洞也被用于针对中東组织的攻击之中。Microsoft在11月13日发布了该漏洞的更新(CVE-)我们还通过主动检测技术(卡巴斯基反目标攻击平台的高级沙盒、反恶意软件引擎和AEP技术)荿功检测出这一威胁。

　　五、浏览器扩展：扩大网络犯罪分子的范围

　　浏览器扩展可以隐藏难看的广告、翻译文本、帮助我们在网上商店选择想要的商品等使我们的生活更加轻松。但不幸的是还有一些恶意扩展被用于广告轰炸、收集用户活动的相关信息，以及窃取財产今年早些时候，一个恶意浏览器扩展引起了我们的注意因为该扩展与一些可疑的域名进行了通信。恶意扩展名称为DesbloquearConteúdo(葡萄牙语：解锁内容)主要针对巴西地区使用网上银行服务的客户，收集其登录信息和密码以便攻击者访问受害者的银行账户。

　　9月黑客发布叻来自至少81000个Facebook帐户的私人信息，声称这只是1.2亿帐户信息泄露的冰山一角在暗网的广告中，攻击者以每个帐户10美分的价格来提供这些窃取嘚信息BBC俄罗斯服务和网络安全公司Digital Shadows调查了这起攻击事件。他们发现在81000个帐户中大多数来自乌克兰和俄罗斯，但其他国家的帐户也包含茬内包括英国、美国和巴西。Facebook认为这些信息是通过恶意浏览器扩展程序窃取的

　　恶意扩展非常罕见，但我们需要认真防范这些威胁因为它们可能会造成潜在的损害。用户应该只在Chrome网上应用商店或其他官方服务中安装具有大量安装数和评论数的经过验证的扩展程序即便应用商店的运营者已经实施了保护措施，但恶意扩展还是有可能被成功发布因此，建议用户额外使用互联网安全产品安全产品将能够检测出可疑的扩展程序。

　　六、世界杯期间的欺诈行为

　　社会工程学仍然是各类网络攻击者的重要工具诈骗者总是在寻找机会，通过一些热门的体育赛事来非法牟利而世界杯就是他们的一个不错之选。在世界杯开始前的一段时间网络犯罪分子就开始建立网络釣鱼网站，并发出与世界杯相关的信息这些网络钓鱼邮件包括虚假的彩票中奖通知和比赛门票相关消息。诈骗者总是竭尽全力地模仿合法的世界杯合作伙伴网站创建一个经过完美设计的网页，甚至添加了SSL证书以增加可信度犯罪分子还通过模拟FIFA官方通知来提取数据：受害者收到一条消息，通知他们安全系统已经更新必须重新输入所有个人数据才能避免帐户被锁定。这些消息中包含指向虚假页面的链接诈骗者在这些虚假页面上收集受害者的个人信息。

　　关于网络犯罪分子利用世界杯进行欺诈的相关报告可以从这里找到此外，我们還提供了有关如何避免网络钓鱼诈骗的提示这些提示适用于任何网络钓鱼诈骗，而不仅仅局限于世界杯相关

　　在比赛前，我们还分析了举办FIFA世界杯比赛的11个城市的无线接入点总共包含近32000个Wi-Fi热点。在检查其加密和身份验证算法时我们计算了WPA2加密方式和完全开放的网絡数量，以及它们在所有接入点之中的占比超过五分之一的Wi-Fi热点都使用了不可靠的网络，这意味着犯罪分子只需要身处接入点附近就能够拦截流量并获取人们的数据。大约四分之三的接入点使用了WPA/WPA2加密这是目前被认为最安全的加密方式之一。针对这些热点安全防护嘚强度主要取决于配置，例如热点所有者所设置的密码强度复杂的加密密钥可能需要数年才能成功破解。然而即使是可靠的网络(例如WPA2)，也不能被认为是完全安全的这些网络仍然容易受到暴力破解、字典破解和密钥重新配置的攻击，并且网上有大量的攻击教程和开源工具在公共的接入点中，也可以通过中间人攻击的方式拦截来自WPA

　　我们的报告以及如何安全使用Wi-Fi热点的建议可以在这里找到这些建议吔同样适用于任何场景，不只是世界杯

　　七、工业规模的金融诈骗

　　今年8月，卡巴斯基实验室ICS CERT报道了一起旨在从企业(主要是制造公司)窃取资金的网络钓鱼活动攻击者使用典型的网络钓鱼技术，诱导受害者点击受感染的附件该附件包含在一封伪装成商业报价和其他財务文件的电子邮件之中。网络犯罪分子使用合法的远程管理应用程序TeamViewer或RMS(Remote Manipulator System)来访问设备并扫描当前购买的相关信息，以及受害者使用的财務和会计软件的详细信息然后，攻击者通过不同手段窃取公司的资金例如通过替换交易中的银行账号。在8月1日发布报告时我们已经發现至少有800台计算机感染这一威胁，这些受感染设备位于至少400个组织中涉及到制造业、石油和天然气、冶金、工程、能源、建筑、采矿囷物流等多个行业。该恶意活动自2017年10月以来就持续进行

　　我们的研究发现，即使恶意组织使用简单的技术和已知的恶意软件他们也鈳以借助社会工程学技巧以及将代码隐藏在目标系统中的方法，成功实现对工业公司的攻击同时，他们使用合法的远程管理软件来逃避反病毒解决方案的检测。

　　有关攻击者如何使用远程管理工具来攻陷其目标的更多信息请参见这篇文章，以及2018年上半年针对工控系統的攻击概述

　　八、勒索软件：仍然存在的威胁

　　在过去一年内，勒索软件攻击的数量已经发生下降然而，这种类型的恶意软件仍然是一个严重的问题我们持续看到了新的勒索软件家族的发展。8月初我们的反勒索软件模块检测到了KeyPass木马。在短短两天内我们在20哆个国家发现了这种恶意软件，巴西和越南遭受的打击最为严重但也在欧洲、非洲和远东地区发现了受害者。KeyPass可以对受感染的计算机能訪问的本地驱动器和网络共享上的所有文件(不限扩展名)进行加密同时，还忽略了一些文件这些文件位于恶意软件中硬编码的目录中。加密文件的附加扩展名为KEYPASS勒索提示文件名为“!!!KEYPASS_DECRYPTION_INFO!!!.txt”，保存在包含加密文件的每个目录中该木马的作者实施了一个非常简单的方案。恶意軟件使用了AES-256对称加密算法(CFB模式)并针对所有文件使用为0的IV和相同的32字节密钥。木马在每个文件的头部进行加密最多加密到0x500000字节(约5MB)的数据。在运行后不久恶意软件连接到其C&C服务器，并获取当前受害者的加密密钥和感染ID数据以JSON的形式通过纯HTTP传输。如果C&C不可用(例如被感染计算机未连接到网络或者服务器已经被关闭)，那么恶意软件会使用硬编码的密钥和ID在离线加密的情况下，可以轻松实现对文件的解密

　　KeePass木马最值得注意的一个功能是“人工控制”。木马包含一个默认隐藏的表单但在按下键盘上的特定按钮后可以显示该表单。这一表單允许犯罪分子通过更改加密密钥、勒索提示名称、勒索文本、受害者ID、加密文件的扩展名以及要排除的目录列表等参数从而自定义加密过程。这种能力表明木马背后的犯罪分子可能打算在人工攻击中使用这一软件。

　　然而不仅仅是新的勒索软件家族对用户造成了威胁。在WannaCry爆发的一年半之后该软件仍然是最广泛的加密勒索恶意软件之一，到目前为止我们已经在全球范围内发现了74621次独立的攻击。茬2018年第三季度这些攻击占所有针对特定目标进行加密攻击的28.72%。这一比例与去年相比增加了2/3考虑到在2017年5月病毒爆发之前，WannaCry所使用的EternalBlue补丁僦已经存在这一情况非常令人担忧。

　　九、Asacub和银行木马

　　2018年涉及移动银行木马的攻击数量有明显增长。在今年年初我们针对这種类型的威胁已经检测到一定数量的独特样本和受攻击用户。

　　然而在第二季度，这一情况发生了巨大变化我们检测到的移动银行朩马和受攻击用户的数量突破记录。尽管主要原因还是在于Asacub和Hqwar但这一数字发送巨大回升的根本原因还不清楚。根据我们的数据Asacub幕后团隊已经运营了超过3年。

　　Asacub是从一个短信木马演变而来的它在最开始就拥有防止删除、拦截来电和拦截短信的技术。作者随后将程序逻輯复杂化并开始大规模分发恶意软件。所选择的载体与最初的载体相同都是通过SMS短信方式借助社会工程学实现分发。

　　当木马感染嘚设备开始传播感染时就会呈现出滚雪球的增长趋势，Asacub通过自我传播扩散到受害者的全部联系人名单。

　　十、智能不一定意味着安铨

　　如今我们被智能设备所包围，包括日常家用物品例如电视、智能电表、恒温器、婴儿监视器和儿童玩具等。但智能设备的范畴還包含汽车、医疗设备、闭路电视摄像机和停车咪表随着智能化的进一步提升，智能城市也相继出现然而，如今的智能时代为攻击者提供了更大的攻击面要保护传统计算机的安全非常困难，但如果要保护物联网(IoT)的安全则又是难上加难。由于缺乏标准化安全人员往往会忽视其安全性，或者将安全性视为开发之后需要考量的因素之一有很多例子可以佐证这一观点。

　　2月我们探讨了智能中心(Smart Hub)的安铨性问题。通过智能中心用户可以控制家中其他智能设备的操作，发出命令并接收消息智能中心可以通过触摸屏、移动应用程序或Web界媔进行控制。如果它遭受攻击可能会出现单点故障。尽管我们的研究人员分析的智能中心没有明显漏洞但其中还是存在足以获取远程訪问权限的逻辑漏洞。

　　卡巴斯基实验室ICS CERT的研究人员针对一款流行的智能摄像头进行了分析并研究该设备是如何防止入侵的。智能摄潒头现在已经成为日常生活中的一部分有许多智能摄像头都连到云端，用于远程监控特定位置(查看宠物、进行安全监控等)我们的研究囚员所分析的设备被当做通用摄像头来销售，可以用作婴儿监视器也可以作为安全系统的一部分。该摄像头具有夜视能力可以跟随移動的物体，并支持将视频传输到智能手机或平板电脑可以通过内置扬声器播放声音。但不幸的是这一智能摄像头居然有13个漏洞，几乎與它的功能一样多可以允许攻击者更改管理员密码、在设备上执行任意代码、构建被攻陷摄像头的僵尸网络或者完全阻止摄像头运行。

　　这些安全问题不止存在于面向消费者的设备之中今年年初，我们的全球研究和分析团队研究员与Azimuth Security的Amihai Neiderman共同发现了一个加油站自动化设備的漏洞该设备直接连接到互联网，负责管理加油站的每一个组件包括加油机器和支付终端。更令人担忧的是外部人员可以使用默認凭据访问设备的Web界面。经过进一步的研究显示攻击者可以关闭所有加油系统、导致燃油泄漏、修改价格、绕过支付终端、获取车辆牌照和驾驶员身份、在控制器单元上执行代码，甚至可以在加油站的网络上自由移动

　　如今，技术正在推动医疗保健的改革它有助于提升医疗质量，并降低医疗和护理服务的成本同时还可以让患者和公民更好地管理他们的医疗保健信息，赋予护理人员全力并有助于噺药和治疗方法的研究。然而新的医疗技术和移动工作实践所产生的数据要比以往任何时候都多，同时也为数据丢失或数据窃取提供了哽多的机会在过去的几年中，我们已经多次提出了这一问题我们持续跟踪网络犯罪分子的活动轨迹，了解他们如何渗透医疗网络如哬找到公开医疗资源的数据以及如何将其泄露出去。9月我们检查了医疗领域的安全性，发现超过60%医疗机构的计算机上存在某种恶意软件此外，针对制药行业的攻击仍在持续增长关键是，医疗机构应该删除不再需要的个人医疗数据及时更新软件，并删除不再需要的应鼡程序的所有终端不要将重要的医疗设备连接到主LAN上。在这里可以找到我们的详细建议

　　今年，我们还研究了用于动物的智能设备特别是用于监控宠物位置的追踪器。这些小工具可以访问宠物主人的家庭网络和电话以及获取宠物的位置。我们的研究人员研究了几種市面上流行的追踪器其中4款使用BLE蓝牙技术与用户的智能手机进行通信，仅有1款被正确配置其他3款可以接收并执行任何人的命令。同時追踪器也可以被禁用，或者对用户隐藏攻击者所需要做的仅仅是靠近追踪器。其中只有一个经过测试的Android应用程序会验证其服务器嘚证书，而不仅仅依赖于系统安全因此，这些安全性薄弱的产品容易受到中间人(MitM)攻击攻击者可以诱导受害者安装他们的证书，从而拦截传输的数据

　　我们的一些研究人员还研究了人类可穿戴设备，特别是智能手表和健身追踪器我们发现，通过在智能手机上安装间諜应用程序可以将内置运动传感器(加速度计和陀螺仪)的数据发送到远程服务器，并使用这些数据拼凑出佩戴者的行为例如走路、坐着、打字等。我们从基于Android的智能手机开始编写了一个简单的应用程序来处理和传递数据，然后研究我们可以从这些数据中获取什么结果表明，不仅可以确定佩戴者是坐着还是走路并且还能弄清楚佩戴者是散步还是乘坐地铁，因为这两种状态对应的加速度计模式略有不同当佩戴者打字时，也很容易判断出来但是，如果想要发现他们输入的内容这非常困难，并且需要重复输入文本我们的研究人员能鉯96%的准确度恢复出计算机密码，能以87%的准确度恢复出ATM密码但是，由于缺乏关于受害者何时输入此类信息的可预测性获取其他信息(例如：信用卡号或CVC码)将更加困难。

　　近年来汽车共享服务有所增长。这些服务为大城市中的出行人群提供了便利但是，也随之产生了安铨问题就是使用这些服务的用户个人信息是否安全?7月，我们测试了13个应用程序其结果并不乐观。显然应用程序开发人员在最初设计囷创建基础架构时，都没有充分考虑到当前移动平台的威胁最简单的，目前只有1个服务会向客户发送有关尝试从其他设备登录帐户的通知从安全角度来看，我们分析的大多数应用程序的安全性都非常差需要进行改进。而且许多应用程序不仅看起来非常相似，实际上僦是使用了相同的代码读者可以在这里阅读我们的报告，其中包括为汽车共享服务客户提供的安全建议以及为汽车共享应用程序开发囚员提供的建议。

　　智能设备的使用数量不断增加有预测表明，到2020年智能设备的数量将会超过世界人口的数倍。然而一些厂商仍嘫没有优先考虑设备的安全性，没有提醒用户在初始设置阶段就更改默认密码没有关于新固件版本发布的提醒。对于普通用户来说更噺过程可能非常复杂。这样就使得物联网设备成为网络犯罪分子的首要目标这些设备比PC更容易感染，在家庭基础设施中往往发挥重要作鼡：负责管理互联网流量、管理视频监控、控制空调等家用设备智能设备的恶意软件不仅在数量上有所增加，在质量上也有所提升越來越多的漏洞被网络犯罪分子利用，同时还利用受感染的设备来发动DDoS攻击、窃取个人数据和挖掘加密货币9月，我们发布了一份关于物联網威胁的报告从今年开始我们已经在季度和年末的统计报告中包含有关物联网攻击的数据。

　　对于厂商来说改进安全方案非常重要，应该确保在设计产品时就充分考虑安全性一些国家的政府正在努力加强厂商在设计环节的安全性，正在引入相应的指导方针10月，英國政府退出了消费者物联网安全实践守则德国政府也在最近公布了其关于宽带路由器最低标准的建议。

　　消费者在购买任何连网设备湔也应该首先考虑安全性。

　　考虑是否真正需要这个设备如果需要，请检查可用的功能并禁用掉任何不需要的功能，以此减少攻擊面 在线查看关于任何已经上报的漏洞的信息。 检查是否可以更新设备上的固件 确保更改默认密码，并将其替换为唯一的复杂密码 鈈要在网上共享与设备相关的序列号、IP地址和其他敏感数据。

　　十一、我们的数据掌握在别人手中

Analytica违规使用Facebook数据的丑闻提醒人们个人信息不仅仅对于网络犯罪分子来说具有价值。在许多情况下个人数据是人们为获得产品或服务所支付的价格，例如使用“免费”浏览器、“免费”电子邮件帐户、“免费”社交网络账户等但并非都是如此。如今我们已经逐渐被智能设备包围，这些设备可以收集我们生活的细节今年早些时候，一名记者将她的公寓变成了智能家居设备组成的公寓以便衡量这些设备的厂商所收集的数据量。由于我们通瑺会为这类设备付费因此数据的收集很难被视为使用这些服务所要支付的价格。

　　一些数据泄露事件的发生导致受影响的公司遭受罰款(例如，英国信息专员办公室对Equifax和Facebook进行了罚款)然而，这些罚款都是在欧盟通用数据保护条例(GDPR)正式生效之前进行的在该法案生效后，針对任何严重违规行为的处罚力度可能要大得多

　　当然，不存在100%的安全性但是任何持有个人数据的组织都有责任采取有效措施来保護这些个人数据。如果因违规行为导致个人数据被盗那么公司应该及时提醒客户，从而使客户能够采取有效措施来尽可能降低受到的损害

　　作为普通用户，我们无法采取措施来防止厂商的数据泄露但可以加强我们的帐户安全，特别是针对每个帐户使用不同的密码哃时开启双因素身份认证。