自互联网诞生以来,各种网络犯罪就以惊人的速度在全世界范围内广泛蔓延。特别是近年来,随着云计算、大数据、物联网、移动互联网等新一代信息技术的快速发展,网络攻击无论从其频率、复杂性还是针对的目标来看都在大幅度增加。
7月23日,启明星辰集团正式发布《2018-2019网络安全态势观察报告》,以观察者的视角尝试剖析2018年全年至2019年上半年网络安全形势及其变化。
报告的前言部分这样写道:
过去一年多,网络安全总体态势虽不像2017年那样“波澜壮阔”,但也绝对不是“一帆风顺”,各种各样的网络安全事件不断吸引着人们的眼球,同时引发网络安全从业者的一次次深思。
从2018年初曝光的各种芯片漏洞,到不死的“永恒之蓝”漏洞,再到被广泛应用的各类Web应用漏洞、IoT漏洞;从趋于定向化和敏捷化的勒索攻击,到各类挖矿攻击的全面铺开;从一次次数据泄露事件的曝光,到几乎每天曝光一次的APT攻击活动。不绝于耳的网络安全事件让我们深切感受到攻击者手段更加武器化,经济利益驱使下黑客的攻击方式更加理性化,网络攻击更加产业化,国与国之间的攻防对抗更加常态化,网络攻击面更加扩大化。
《报告》通过对过去一年多的网络安全事件进行研究、分析,得出九大网络安全发展态势:
1. 应用广泛的软硬件曝出多个重大漏洞,漏洞从曝光到被利用的时间越来越短;
2. 恶意软件即服务(MaaS)趋势明显,地下产业链日趋成熟;
3. Office公式编辑器漏洞与恶意宏利用横行,黑客青睐攻击面广且稳定的攻击方式;
4. 越来越多APT攻击被曝光,攻击隐匿进一步增强;
5. 勒索攻击趋于定向化,版本迭代进入“敏捷化”时代;
6. 挖矿攻击增长明显,逐渐成为黑客获利的最佳途径;
7. 针对IoT设备的攻击呈爆发式增长,IoT蠕虫较往年增长数倍;
8. 各类数据泄露事件频发,数据安全越来越受重视;
9. 工控环境、云环境成黑客新宠,各类针对性安全事件频发
一、应用广泛的软硬件曝出多个重大漏洞,漏洞从曝光到被利用的时间越来越短
过去一年多,影响最大的硬件漏洞当属CPU芯片的多个漏洞。这些漏洞涉及了过去十年间的绝大部分CPU型号,给互联网造成了一次史无前例的技术危机。
2018年年中,影响包括苹果、高通、英特尔和博通等大型厂商所生产的设备固件以及操作系统的高危蓝牙漏洞被曝光;2018年年中,BEC、SocialChain和EOS等接连曝出智能合约漏洞。
2018年全年,WebLogic、Struts2、ThinkPHP等影响面广的Web应用框架被曝多个严重漏洞,给各类网站安全带来严重威胁。
报告称,“我们预计未来,攻击者甚至可能只需一天、甚至几个小时的时间,就可以利用软硬件的最新漏洞发起攻击”。
二、恶意软件即服务(MaaS)趋势明显,地下产业链日趋成熟
近年来,暗网的传播创造了新的非法商业模式。除了黄赌毒等传统的非法商品外,地下黑市还出现了包括黑客服务和恶意软件开发在内的新型服务:恶意软件即服务(MaaS)。
网络犯罪分子可以通过地下黑客论坛浏览“商品”,同时使用匿名通讯工具进行在线交流,最后使用加密数字货币进行匿名交易,整个流程可以做到完全隐匿。即使是不具备任何技术经验的小白也可以使用购买来的工具轻易发动攻击。包括TrickBot、AZORult、GandCrab等在内的恶意软件都提供了成熟的服务,GandCrab勒索软件作者甚至为他们的产品提供技术支持和教程视频。
报告指出,“我们预计在不久的将来,地下产业链会曰趋成熟,一批为数不多但颇具实力的“Malware-as-a-Service"团体会应运而生。随着这些团队的曰益壮大,新漏洞将得以快速利用,各类新攻击手段也将会层出不穷”。
三、Office公式编辑器漏洞与恶意宏利用横行,黑客青睐攻击面广且稳定的攻击方式
自Office面世以来,Office文档一直是各类攻击中最常用的攻击载体。过去一年多,新披露的Office Oday漏洞有所减少,黑客攻击时使用的Oday漏洞多为利用Office触发的VBS漏洞以及Flash漏洞。与2017年攻击者更倾向于使用新漏洞不同的是,这些漏洞并没有在公开后得到广泛的利用。而是依然使用恶意宏和公式编辑器系列漏洞这类更稳定的攻击方式来完成攻击。
公式编辑器系列漏洞有着结构简单旦不需要与用户交互即可稳定触发的优点,因此在其它新漏洞被公开后依然保持了很高的使用率。2018年底出现了CVE-2018-0798新的利用方式,兼具了CVE-2017-11882和CVE-2018-0802的攻击面,通用性更强,预计后续还会被大规模利用。
恶意宏作为一种经典的攻击方式,利用方式极为丰富。2018年还出现了利用古老技术Excel 4.0宏进行的攻击,相比普通的VBA宏进一步提高了攻击的隐蔽性。
四、越来越多APT攻击被曝光,攻击隐匿性进一步增强
截止到2019年上半年,启明星辰监控到的已经披露的各类APT组织共计220余个。
过去一年多,国内外厂商披露的各类APT攻击报告400余份,平均每天都有一个APT攻击报道被披露。被披露最多的APT组织分别为:APT28、Lazarus、Group123、海莲花、Hades、MuddyWater、DarkHotel、白象、APT29、Turla。
在APT针对的领域中,政务行业(14.13%)占比最多,其次是国防军工(11.96%),科研(10.87%),金融(8.70%)和教育(7.61%)。
报告写道:纵观过去一年多,APT攻击的隐匿性逐渐增强,主要体现在以下几个方面:
1. 钓鱼手段更加精细化,针对性和迷惑性更强;
2. 关键攻击代码鲜少落地,给APT攻击的防护和取证带来不少挑战;
3. 利用各种手段尽可能隐藏网络踪迹;
4. 利用开源代码或工具隐藏组织特点,降低攻击成本
五、勒索攻击趋于定向化,版本迭代进入“敏捷化”时代