一、挖矿病毒风头盖过勒索攻击
回顾2018上半年,网络犯罪分子不断翻新攻击手段,除了零日漏洞的利用外,恶意挖矿、勒索软件大行其道,DDoS攻击更是突破TB级别,而且攻击渠道日益多变,工业网亦成为不法黑客的攻击重点,都为整个产业网络安全环境带来全新挑战。那么在此期间,波及广泛、影响巨大的安全威胁可以分为下面五类。
1. 挖矿病毒激增15%
在加密货币的疯狂带动下,利用各种平台进行挖矿的案例不断攀升。调查发现,2018上半年恶意挖矿病毒的利用量从13%上升到28%。攻击者会尝试结合各种大并发、高传播的漏洞利用向目标设备展开攻击,植入挖矿程序,来盗取其计算资源进而获取加密货币。
挖矿病毒激增15%
除了利用漏洞来植入挖矿病毒之外,借助网页脚本挖矿也是攻击者惯用的隐蔽手法。攻击者会先攻击网站平台的服务器,植入挖矿木马或在网站中植入网页脚本,一旦有用户访问该网站的网页,用户浏览器便会成为挖矿行为的落脚点。在这种方式下,病毒被安全工具检测出来的概率就会大大降低,但用户设备的算力则会被大量消耗,导致机器变卡、耗电增大等损失出现。目前,挖矿病毒的高发区在中东、拉丁美洲和非洲等地区。
2. 勒索软件大量变种衍生
近两年呈现爆发态势的勒索软件攻击,在2018上半年依旧在数量和复杂性上没有收敛。有安全机构统计,仅2018年第一季度就发现525503次勒索攻击,中国勒索病毒活跃程度在全球排到了第二位。GlobeImpost勒索软件家族再度活跃,出现了大量变种,病毒特征各不相同,加密后文件扩展名也有较大差异。此外,另外两种勒索软件变种如BlackRuby和SamSam也一度大面积爆发。
勒索软件变种不断衍生
在行业分布上,勒索攻击主要集中在网络安全相对薄弱但数据价值高的医疗、政府、制造等行业中,以期榨取到更高的利益。更借助变种的不断变化演进,辅以社交工程精准打击,加上多阶段攻击等新技术来逃避检测,不断扩大其狩猎半径。
二、攻击渠道多元化、工业网攻击、DDoS
1. 攻击渠道多元化
伴随终端设备的多元形态,不法黑客的攻击渠道也呈现出多元化态势。调查发现,21%的机构曾报告针对移动终端的恶意软件增长了7%,表明诸如可穿戴设备、物联网设备等已逐步成为攻击者的目标。甚至一些顶级攻击针对的都是移动设备或路由器,包括Web或互联网技术上的已知漏洞。
物联网设备已成攻击者重要目标
不容忽视的是,攻击者会充分利用那些已经发现但尚未修补的高价值漏洞进行攻击,当然不断挖掘新的零日漏洞也是提升攻击成功率的必然手段。统计显示,在硬件端,针对路由器的攻击已占到攻击总量的第二位。在软件端,内容管理系统以及面向Web的技术都是攻击者的觊觎目标。
2. 针对工业网攻击抬头
工业网是工业生产环境中的全数字化、双向、多站的通信系统,是确保产生、制造通信安全的基础性保障平台,近年来亦越来越多地与互联网相连,因此在影响安全产生方面拥有巨大潜力。虽然2018上半年针对工业网络的攻击在整个攻击环境中占比例不大,但其趋势不容乐观。
针对工业网攻击抬头
目前,绝大多数攻击活动针对两种最常见的工业通信协议,因其被广泛部署,具有高度针对性。数据显示,亚洲比其他地区在针对工业控制系统(ICS)的网络攻击的活动更普遍。此前,不法黑客发动的BEC攻击被证明成功入侵了石油、天然气等重要行业的基础设施,导致重要数据被窃取。
3. DDoS攻击威力爆炸式增长
随着大量智能可连网设备的普及,由此而生的僵尸网络数量也在不断扩大,成为不法黑客发动更大威力DDoS攻击的重点利用对象。今年3月,攻击频率呈爆发式增长的MemcacheUDP反射放大攻击出现在安全研究人员的视野中。首先是针对Github的T比特级DDoS攻击后,随后一场攻击流量高达1.7Tbps的DDoS攻击则再次刷新了记录。
TB级别DDoS攻击已出现
借助此种放大系数,新的DDoS攻击可以达到5万倍的攻击强度,甚至可轻松制造出PB级的攻击流量。然而在全网搜索Memcached系统后,仍然可以发现多达4万以上的结果,中国区域的分布数量仅次于美国,受害程度却毫不逊色,因此需要引起相关单位的关注。
三、纵观2018上半年
网络犯罪分子通过不断升级攻击手段,进一步提高攻击成功率并加速感染设备的数量。虽然勒索软件的影响继续,但有迹象表明,通过控制设备“挖矿”似乎更为赚钱而成为攻击者的“新宠”。此外,凭借拓展攻击渠道、发动TB级别DDoS攻击、瞄准工业网,都为现阶段的网络安全防护蒙上了一层阴影。在网络安全环境和形势的持续变化中,如何切实有效的制定安全策略,构建出由内而外的安全生态体系,形成各环节协同高效的主动防护能力,显然已变得至关重要了。