CheckPoint網安報告：攻擊「上雲」成新趨勢 加密貨幣是主要目標

當談到全球網路環境時，威脅不斷演變，企業、組織和安全社區不斷受到挑戰。

從利用區塊鏈交易系統，到在蓬勃發展的移動領域開發新的攻擊方法，再到將以前的攻擊工具應用於雲環境，2018年網路威脅領域中當前的技術發展及其日益增多的實踐都有明確的案例可循。

今年到目前為止，不同類型的惡意軟體及其作者已經被證明具有比以前想像的更強的能力、更複雜的能力和更高的敏捷度。

正如我們在對GandCrab Ransomware病毒的分析中所看到的，惡意軟體現在正在快速地適應安全供應商提供的安全解決方案。

目前最大的趨勢之一是加密貨幣礦工和加密貨幣相關的威脅。

事實上，加密貨幣挖礦技術已經席捲了整個世界，成為今年威脅者所使用的主要攻擊媒介，甚至超過了勒索軟體。

到目前為止，加密貨幣礦工已經大大提高了他們的能力，並升級了他們的目標陣列:伺服器、移動設備、工業系統和雲基礎設施——沒有人被遺忘。

2018年上半年也出現了一些新的有趣的趨勢。

例如，雲基礎設施已經成為威脅者最吸引人的目標之一：隨著大量的敏感數據以及可用的計算資源駐留在雲環境中，很容易吸引攻擊者的注意力。

今年早些時候，特斯拉(Tesla)的雲伺服器感染了Monero miner病毒，而聯邦快遞客戶的敏感數據泄露，這只是2018年人們見到的兩個例子。

為了向組織提供最佳級別的保護，安全專家必須適應不斷變化的環境和最新的威脅和攻擊方法。

Check Point全球威脅洞察趨勢報告是基於從2018年1月至6月的從ThreatCloud世界網路威脅地圖中提取的威脅情報數據，提供了加密貨幣挖礦器、勒索軟體、銀行和移動威脅等頂級類別的惡意軟體的全面視角。

全球趨勢

加密貨幣挖礦的進化

很難不注意到加密貨幣挖礦相關攻擊的激增。

在2018年上半年，加密貨幣挖礦佔據了最主要的網路攻擊和野生的惡意軟體類別的主要地位。

超過了勒索軟體，在全球範圍內加密貨幣挖礦器影響了超過42%的組織，而在2017年底這一比例為20.5%。

過去六個月，據估計，加密貨幣挖礦相關的攻擊為它們的用戶帶來了超過25億美元的「收入」，而且還在繼續增加。

自他們被創造出來以來，加密貨幣挖礦技術已經取得了長足的進步。

從簡單的網站協議演變而來，今年有人觀察到加密貨幣挖礦器通過Facebook Messenger、YouTube廣告和谷歌Play傳播，同時進入了數以萬計的網站、個人電腦和詹金斯(Jenkins)等功能強大的伺服器。

在2018年，加密貨幣挖礦技術升級並大大提高了它們的能力，變得更加複雜，甚至具有破壞性。

出於對增加計算資源利用率的明確興趣，並精心設計成更有利可圖的，加密貨幣挖礦器現在的目標是任何可能被認為妨礙他們的東西。

因此，我們目睹了針對SQL資料庫、工業系統、俄羅斯核電站甚至雲基礎設施的加密貨幣挖礦器。

加密貨幣挖礦器最近也高度進化，以利用高知名度的漏洞和逃避沙箱和安全產品，以擴大他們的感染率。

移動領域也沒有逃脫被加密貨幣挖礦器攻擊的可能。

去年4月，名為「隱藏礦工」(HiddenMiner)的Android 加密貨幣挖礦器鎖定了許多設備，一直在挖掘Monero，直到耗盡設備的資源。

移動運營商甚至成功地突破了蘋果的保護牆，侵入了應用程序商店，一個惡意軟體試圖竊取受害者的加密貨幣錢包登錄憑證。

自2018年初以來，各種新的攻擊方法已經浮出水面，增加了更多的燃料，這充分利用了加密貨幣交易系統的潛力。

此外，這些方法還包括虛擬錢包和憑證盜竊、加密貨幣交易操作，以及引誘受害者投資的偽造的ICO詐騙。

此外，其他惡意軟體家族已經開始將挖掘能力整合到他們的武庫中：勒索軟體以及著名的銀行木馬，包括Panda和TrickBot，現在不僅針對銀行賬戶，還針對加密貨幣錢包和交易系統賬戶，增加了加密貨幣憑證盜竊的功能。

隨著威脅者越來越意識到加密貨幣業務的盈利能力，甚至超過了其他的類別，幾乎沒有哪一天不會出現某種加密貨幣威脅登上頭條新聞的情形。

上雲的新威脅

雲環境改變了公司管理、存儲和共享數據、應用程序和工作負載的方式。

除了廣泛的好處之外，雲基礎設施還為渴望擁有大量可用計算資源和敏感數據的攻擊者提供了一個新的、肥沃的、有吸引力的環境。

實際上，2018年我們看到了各種針對雲存儲服務的複雜技術和工具。

僅去年一年，全球有51%的組織遭遇過基於雲的攻擊，包括聯邦快遞(FedEx)、英特爾(Intel)和本田(Honda)。

一些基於雲的攻擊，主要是那些涉及數據過濾和信息披露的攻擊，這些攻擊是由於糟糕的安全應用。

一些憑證被遺留在公共源代碼存儲庫中，或使用弱密碼，這只是威脅者如何訪問和控制雲中託管的未受保護資源的一些例子。

另一個正在崛起的威脅正在席捲雲環境，那就是臭名昭著的加密貨幣挖礦器，他們將目標對準雲基礎設施，以利用雲所提供的巨大計算能力，並為威脅者帶來巨額利潤。

在2018年上半年，我們目睹了針對雲的核心組件的兩個挖礦器——Docker和Kubernetes系統。

舉例來說，特斯拉的內部雲伺服器幾個月前就感染了Monero Cryptominer。

用於管理、交互和從服務中提取信息的應用程序編程介面(api)也是威脅參與者的目標。

雲API是通過Internet訪問的，這一事實為威脅者打開了一個窗口，使他們能夠利用並獲得對雲應用程序的大量訪問。

隨著時間的推移，雲的威脅似乎將繼續演變：攻擊者將繼續為他們的目標雲平台開發越來越多的工具，從而突破公共雲服務的限制。

的確，隨著新的雲計算技術爆炸性地出現，毫無疑問下一次攻擊已經在路上了。

多平台攻擊:電腦端和移動端

在2018年初，一種新的被命名為「黑暗特徵」(Dark Caracal)的高級持續性威脅(APT)被揭露，可能是在經過五年的暗中活動之後。

儘管APT團體在過去幾年中開展了廣泛的間諜活動，但這個團體呈現出一種獨特的運作方式，標誌著2018年最顯著的趨勢之一。

它開始從移動設備收集敏感數據，但最近轉向了一種更有效的技術，使用一種感染Windows、Linux和Mac OS的惡意軟體。

無論它們是否基於一個惡意軟體，多平台攻擊都可能對其受害者造成嚴重損害，無論是所有台式機、移動設備和消費設備同時受到攻擊的私人住宅，還是同時受到攻擊的企業。

直到2017年年底，多平台惡意軟體還只在少數幾個場合出現，但正如預測的那樣，消費者連接設備數量的增加和非Windows操作系統的市場份額的增加導致了跨平台惡意軟體的增加。

這些攻擊發起者實施各種技術，以控制受攻擊的不同感染平台。

在2018年上半年，我們目睹了Android銀行木馬「漫遊者螳螂」(Roaming Mantis)比以往任何時候都要遠離我們，它的目標是iOS用戶和個人電腦的資源，以便挖礦，使其作者能夠大大提高他們的感染率。

隨著強大的智能手機和Office 365等新技術的引入，潛在的受害者不再使用單個的端點，而是使用幾個完全連接的設備和服務。

這就引入了一個全新的環境，在這個環境中，受害者暴露在更多的攻擊媒介中，威脅者可以利用這些媒介來尋找個人或組織數據的最薄弱環節。

整個供應鏈中的移動惡意軟體

在移動設備上感染惡意軟體已經不是什麼新鮮事了。

從惡意URL下載或偽裝成一個無辜的移動應用程序，有很多方法可以攻擊設備。

然而，在今年上半年，我們目睹了一個有趣的趨勢——預裝惡意軟體。

在一些情況下，惡意軟體並不是從應用程序商店中提取出來的，也不是從惡意的URL中下載的，而是已經安裝在設備內部。

今年3月，檢查點研究人員公布了一款名為「RottenSys」的大範圍移動殭屍網路，感染了近500萬台Android設備。

RottenSys偽裝成一個合法的「系統Wi-Fi服務」(System Wi-Fi service)應用，預裝在華為(Huawei)、小米、Vivo和三星(Samsung)等領先品牌生產的數百萬款全新智能手機上。

在另一個案例中，42款低成本智能手機被發現預裝了Triada Banking Trojan。

威脅者在供應鏈上滲透的能力令人擔憂，並將在未來繼續困擾我們。

此外，隨著人們對移動設備的依賴程度越來越高，應用市場上充斥著各種各樣的應用程序，這些應用程序旨在優化設備的電池性能，讓用戶在使用智能手機時能享受到更多的快樂時光。

今年，似乎威脅者已經發現了這個市場的潛在機會，因為我們發現大量這些所謂的無辜應用實際上是偽裝的惡意軟體。

其中，銀行木馬、廣告軟體甚至像AndroRAT這樣的遠程控制工具會偽裝成一個名為「垃圾清理」的實用程序，能夠竊取移動網路信息、存儲容量、日曆事件和預成型的shell命令執行。

我們知道，我們所有的個人和商業生活都是通過一些極其容易被黑客攻擊的設備來管理的，這兩種預先安裝的惡意軟體現象和惡意移動應用的不斷增多反映出，有動機的威脅者是如何利用這個舞台的。

圖1:2018年中最常見的惡意軟體類型。

圖2:2018年中的惡意軟體類型隨時間變化。

全球惡意軟體統計

圖1:全球最普遍的惡意軟體:公司網路中遇到每種惡意軟體類型的百分比。

對於下面的每個地區，我們給出兩個圖。

第一個詳細描述了該區域最流行的惡意軟體，然後是第二個圖表，詳細描述了該區域中最常見的惡意軟體家族。

全球惡意軟體分析

廣受歡迎的基於網路的Monero加密貨幣礦商CoinHive在全球和地區排名的頂峰上保持了自己的地位，全球25%的組織受到了它的影響。

與Cryptoloot和Jesscoin一起，cryptominers(加密貨幣挖礦器)小組沒有顯示出任何削弱其統治地位的跡象，影響了整個全球約40%的地區。

自從去年9月CoinHive首次發布JavaScript代碼以來，它就一直在任何時候集成在成千上萬的網站上，利用訪問者的計算資源，作為威脅者利用的在線廣告的一個有利可圖的替代品。

今年，Coinhive被廣泛應用於YouTube廣告中，被隱藏在谷歌的DoubleClick平台和Facebook Messenger上，還被嵌入了數千個網站。

RIG開發工具包是世界上最著名的開發工具包之一，目前正在實施的有幾種不同的活動。

RIG感染鏈從返回到包含JavaScript的著陸頁面開始，該頁面檢查脆弱的插件並利用瀏覽器。

Rig提供了Flash、Java、Silverlight和Internet Explorer的漏洞，它是第一個將今年在IE中發現的新的零日漏洞包括在內的漏洞，標為CVE-2018-8174。

在2018年上半年，RIG登上了新聞頭條，推動了包括Bunitu、cryptominers和流行的SmokeLoader在內的各種負載。

頂級加密貨幣挖礦惡意軟體

在本節中，圖表顯示了受每個加密貨幣挖礦惡意軟體影響的組織的百分比。這些圖表提供了對頂級加密惡意軟體的全局視圖和區域洞察。

加密貨幣挖礦器全局分析

開源CPU挖掘軟體XMRig首次亮相是在2017年5月，在所有地區排名第三。

作為威脅者使用的最流行的、唯一的挖掘代碼，在2018年上半年，XMRig的挖掘代碼被廣泛使用，其中之一是RubyMiner。

去年1月被Check Point研究獨家發現，Rubyminer進入了全球排名和區域排名。

RubyMiner並沒有像其他級別的伺服器一樣，將目標鎖定在沒有補丁的Windows和Linux伺服器上，而是試圖利用全球30%的公司網路來調動伺服器進入控制者的挖掘池。

頂級勒索軟體

本節中的圖表表示受每個勒索事件影響的組織的百分比。

這些圖表展示了一種全球視角，也展示了對頂級勒索軟體的區域洞察力。

勒索軟體全局分析

在2016年2月首次出現的Locky Ransomware，一直保持著第一的地位，成為了全球和地區劃分中都在2018年最流行的勒索軟體之一。

令人驚訝的是，聲名狼藉的「WannaCry」仍然保持著2017年的高排名，儘管它像野火一樣蔓延到數十萬台設備已經有一年多了。

似乎即使在一年後，仍然有一些機器感染了病毒，這些機器不停地在互聯網上搜索易受攻擊的Windows機器。

頂級銀行惡意軟體

在報告的這一部分，圖表顯示了受每個銀行惡意軟體影響的組織的百分比。

這些圖表提供了對頂級銀行惡意軟體的全球視角和地區性洞察。

全球銀行惡意軟體分析

最著名的銀行業木馬——Ramnit和Zeus——自2017年下半年以來一直高居榜首。

兩者都是持續不斷發展的銀行木馬，能夠識別受害者何時訪問銀行網站，然後利用鍵盤記錄或web注入獲取登錄憑證或更敏感的信息，如密碼。

此外，Dorkbot，一種可以追溯到2012年的惡意軟體，也重新回到了榜單前列，在APAC(亞太地區)頂級銀行惡意軟體中扮演主角，在美國排名第二，在EMEA(歐洲、中東和非洲)和全球排名第二。

Dorkbot的設計初衷是讓控制者能夠遠程執行代碼，同時也有竊取敏感銀行信息的動機。去年4月，Dorkbot使用了一種名為「早起鳥」(Early bird)的新代碼注入技術，從而避免了被反惡意軟體安全產品檢測到。

頂級移動端惡意軟體

在本節中，圖表顯示了受每個移動惡意軟體影響的組織的百分比。

全球移動惡意軟體分析

Triada是一款非常強大的Android銀行木馬，於2016年被發現，被認為是最先進的移動端威脅之一。

去年3月，人們發現Triada被預裝在42款低成本智能手機上，感染了數十萬受害者，並竊取了他們的信用卡數據。

此外，一個新的移動惡意軟體家族已經進入了排行榜——TheTruthSpy，能夠監控WhatsApp消息、Facebook聊天和互聯網瀏覽歷史。

TheTruthSpy於2018年5月問世，目前已在全球排名第三，在EMEA和APAC排名第二。

重大網路入侵(2018上半年)

到目前為止，到2018年，網路入侵仍在影響所有行業的企業，使數十億人的敏感信息受到威脅。

此外，由於所有地區都遭受了多次襲擊，威脅者正瞄準所有地區。

下面是每個地區主要攻擊的概述。

美洲

?2月:超過1950萬加利福尼亞居民的選民登記信息通過一個沒有安全保障的MongoDB資料庫在網上被泄露，並被威脅者扣留索要贖金。

薩克拉門托當地報紙《薩克拉門托蜜蜂報》(The Sacramento Bee)向泄密方宣布，拒絕支付贖金，並刪除了資料庫。

?3月:領先的健身公司「Under Armour」遭遇了該公司應用MyFitnessPal的重大違約。

該公司宣布，此次黑客入侵曝光了1.5億用戶的數據，包括他們的用戶名、電子郵件地址和哈希密碼。

?3月:Expedia旗下的旅遊網站Orbitz宣布了一項數據泄露事件，導致在線購買的88萬張支付卡以及其他屬於客戶的個人信息被泄露。該事件發生在2016年10月至2017年12月之間。

?4月:Saks Fifth Avenue和Lord & Taylor的母公司Hudson"s Bay遭受了公司支付系統的嚴重破壞。

這起泄密事件是由FIN7 APT團隊所為，他們成功竊取了約500萬消費者的信用卡和借記卡信息，這些消費者都曾在這兩家零售商購物。

?5月:數據挖掘公司劍橋分析公司(Cambridge Analytica)被指利用Facebook獲取多達8700萬個人的個人信息，以在2016年總統大選中針對美國選民。

這種成功的利用是通過一個付費用戶進行性格測試並同意數據收集的應用實現的。

歐洲、中東和非洲

?1月:挪威最大的衛生機構South East RHF遭遇數據泄露，影響了全國一半以上的人口。網路罪犯竊取了大約290萬挪威人的個人信息和健康記錄。

?2月:德國政府宣布，它經歷了一次大規模的網路攻擊，其中幾家網路(包括一個孤立的網路)被攻破並被惡意軟體感染了大約一年。這次入侵是在去年12月才被發現的，包括內政部的伺服器和其他未指明的伺服器。

德國當局懷疑俄羅斯黑客組織APT28策划了這次襲擊。

?3月:一款名為「Remini」的應用程序遭遇嚴重安全漏洞，導致數百萬張以色列兒童的照片，以及10萬多名父母的個人信息容易被泄露到互聯網上。

該應用程序允許幼兒教師與家長聯繫，並與他們分享任何相關信息，包括課堂活動時間表、圖片視頻和個人信息。

?4月:芬蘭赫爾辛基的新商業中心遭遇重大數據泄露。

威脅者竊取了超過13萬名用戶的登錄用戶名和密碼，這些用戶名和密碼以明文形式存儲在該網站上。

?5月:一個包含近100萬南非人敏感個人數據的資料庫在網上被公開泄露。

該資料庫是在南非一家處理電子交通罰款支付的公司的公共web伺服器上發現的，其中包括姓名、身份證號碼、電子郵件地址和密碼。

亞太地區

?1月:印度國家生物識別系統Aadhaar遭遇重大數據泄露，威脅者獲得了超過10億印度居民的個人信息。

威脅者後來通過WhatsApp提供了一項付費服務，幫助受害者檢索他們的信息，包括姓名、地址、郵政編碼、照片、電話號碼和電子郵件地址。

?1月:中國智能手機製造商一加(OnePlus)遭遇信用卡數據泄露，影響了逾4萬名客戶。

一個惡意腳本被注入到它的支付頁面代碼中，並且能夠從瀏覽器窗口直接獲取完整的信用卡信息，包括信用卡號、過期日期和安全代碼。

?4月:Careem，阿拉伯聯合大公國版的Uber被黑客攻擊，1400萬司機和客戶的私人數據被竊取，包括姓名、電話號碼、電子郵件地址和乘車數據。

?6月:本田汽車印度公司(Honda Car India)將超過5萬名用戶的個人數據暴露在亞馬遜(Amazon)的兩個公共無擔保的S3 buckets中。

暴露的數據屬於遠程汽車管理應用Honda Connect的用戶，包括姓名、電話號碼、電子郵件、密碼、car VIN、car Connect id等。

全球頂級的漏洞

下面列出的頂級攻擊列表是基於Check Point的入侵預防系統(IPS)解決方案收集的數據，詳細介紹了Check Point研究人員在2018年上半年觀察到的一些最流行、最有趣的攻擊技術和利用。

Drupalgeddon2和Drupalgeddon3 (CVE-2018-7600, CVE-2018-7602)

內容管理系統巨頭Drupal的嚴重缺陷暴露，對威脅環境產生了重大影響。

這些漏洞影響了超過100萬個Drupal網站，可能讓未經認證的攻擊者在Drupal安裝上執行遠程代碼執行，完全控制受影響的網站。

被釋放的概念的證明使未被修補的Drupal站點不斷受到攻擊。

這些攻擊包括在伺服器和網站上放置的各種加密貨幣挖礦器、發送遠程控制工具和信息竊取惡意軟體、進行技術支持騙局和創建大量殭屍網路。

RTF (CVE-2017-11882, CVE-2017-0199, CVE-2018-0802)

微軟Office Rich Text格式(RTF)的安全漏洞在2018年上半年被威脅者廣泛濫用。

這些安全漏洞允許攻擊者在目標機器上下載並執行包含PowerShell命令的惡意腳本，這取決於終端用戶是否決定打開惡意文檔。

今年，我們目睹了這些漏洞在惡意軟體攻擊中被廣泛使用，包括APT團體啟動的一些，以及各種惡意軟體類型的下載文件。

其中包括惡意軟體LockyBot、Remcos RAT、KevDroid安卓RAT ThreadKit、開發構建工具kit and Zyklon。

「Double kill」 (CVE-2018-8174)

Double Kill是Windows VBScript引擎的一個遠程代碼執行Internet Explorer (IE)零日漏洞，它會影響到IE的最新版本以及任何其他使用IE組件的應用程序。

當被利用時，該漏洞允許遠程攻擊者將惡意VBScript嵌入到Office文檔或網站，並運行從遠程伺服器載入的惡意負載。

在瀏覽器中發現零日漏洞已經有兩年了，而這一漏洞的發現在2018年引起了很多人的關注，受到了諸如APT-C-06組等威脅者的影響，也被聲名狼藉的RIG利用工具包用來交付Monero Cryptominer。

物聯網漏洞(CVE-2018-10561, CVE-2018-10562)

今年，在超過一百萬的Dasan GPON家庭路由器中發現了安全漏洞，這使得它們受到了廣泛的攻擊。

這些漏洞允許任何攻擊者通過將特定的字元串附加到任何URL並獲得對設備的控制來訪問路由器的設置。

殭屍網路的控制者廣泛利用這些漏洞招募他們的軍隊，其中包括Satori、Mirai和TheMoon殭屍網路。

有趣的是，根據Check Point全球攻擊感測器的數據，在2018年上半年，99%的攻擊都是在2017年或更早的時候發現的，超過40%的攻擊使用了至少有7年歷史的漏洞。

額外的觀察結果

隨著第五代網路威脅格局的穩固確立，2017年出現的威脅類型延續到2018年也就不足為奇了。

他們也沒有任何放緩的跡象。

如果說有什麼不同的話，那就是它們已經變得更加根深蒂固，並且正在深入到組織的IT基礎設施中。

無論是通過在移動供應鏈中嵌入預先安裝的惡意軟體，還是利用雲平台更高的計算資源挖掘有價值的加密貨幣，威脅者都在將當今的技術應用於自身的財務收益。

此外，大型數據泄露事件也沒有減少，給經歷這些事件的人帶來了名譽損失和巨大的財務成本。

因此，世界各地的組織必須為自己配備最高和最先進的保護技術，以保持這些趨勢的領先地位，防止自己成為下一個登上新聞頭條的受害者。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！