一、概述

互聯(lián)網(wǎng)現在已經(jīng)融入了生活的方方面面，許多人在網(wǎng)上進(jìn)行交易、購物和社交，網(wǎng)絡(luò )已經(jīng)成為了商業(yè)組織的生命線(xiàn)。政府、企業(yè)和消費者對技術(shù)的依賴(lài)，也為具有各種動(dòng)機的攻擊者提供了廣泛的攻擊面——金融盜竊、數據竊取、基礎設施破壞、名譽(yù)受損等等。網(wǎng)絡(luò )攻擊的范圍，從高度復雜的特定目標攻擊，到機會(huì )主義網(wǎng)絡(luò )犯罪。通常，這兩者都依賴(lài)于將心理學(xué)操縱作為危害整個(gè)系統或個(gè)人計算機的方式。攻擊者的目標不斷擴大，已經(jīng)開(kāi)始覆蓋到一些不屬于計算機的設備，例如兒童玩具和安全攝像頭。本文主要針對2018年發(fā)生的重大事件和安全趨勢進(jìn)行年度總結。

二、針對特定目標的攻擊活動(dòng)

在今年內的安全分析師峰會(huì )上，我們分析了Slingshot，這是一個(gè)復雜的網(wǎng)絡(luò )間諜平臺，從2012年以來(lái)一直瞄準中東和非洲的受害者。我們在威脅事件中發(fā)現了這種威脅，該威脅與Regin和ProjectSauron類(lèi)似。Slingshot使用了一種不同尋常的攻擊載體，許多受害者受到被攻陷的MikroTik路由器的攻擊。攻陷路由器的確切方法尚不清楚，但攻擊者已經(jīng)找到了向設備添加惡意DLL的方法：該DLL是其他惡意文件的下載程序，然后將其存儲在路由器上。當系統管理員登錄并配置路由器時(shí)，路由器的管理軟件會(huì )在管理員的計算機上下載并運行惡意模塊。Slingshot在受感染的計算機上加載了許多模塊，其中最引入注意的兩個(gè)模塊是Cahnadr和GollumApp，它們分別是內核模式和用戶(hù)模式的模塊。二者共同提供持久性、管理文件系統、泄漏數據以及與C&C（命令和控制）服務(wù)器通信的功能。我們查看的樣本，標記為“版本6.X”，表明這一威脅已經(jīng)存在相當長(cháng)的一段時(shí)間。根據Slingshot的創(chuàng )建時(shí)間、技能和成本表明，其背后的團隊是高度組織化和專(zhuān)業(yè)化的，并且可能有國家背景。在平昌冬季奧運會(huì )開(kāi)幕后不久，我們就收到了針對奧運會(huì )基礎設施的惡意軟件攻擊報告。Olympic Destroyer攻擊了一些顯示器，關(guān)閉了Wi-Fi，攻陷了奧運會(huì )網(wǎng)站從而阻止觀(guān)眾打印門(mén)票。攻擊者還攻擊了該地區的其他一些組織，例如一些韓國的滑雪勝地。Olympic Destroyer是一種網(wǎng)絡(luò )蠕蟲(chóng)，其主要目的是從受害者的遠程網(wǎng)絡(luò )共享中擦除文件。在攻擊發(fā)生后的幾天中，基于此前網(wǎng)絡(luò )間諜和攻擊團隊的一系列特征，世界各地的研究團隊和媒體將此次襲擊歸咎為俄羅斯、中國和朝鮮。我們的研究人員也試圖分析攻擊的幕后黑手，在研究的過(guò)程中，我們發(fā)現Lazarus惡意組織似乎與此次攻擊相關(guān)。我們發(fā)現，攻擊者留下的一些獨特痕跡與此前Lazarus惡意軟件的組件完全匹配。然而，我們在韓國一家受到攻擊的組織進(jìn)行現場(chǎng)調查時(shí)發(fā)現，此次攻擊與已知的Lazarus TTP（戰術(shù)）相對比，其動(dòng)機明顯不同。我們發(fā)現相應的特征與代碼無(wú)法相互匹配，該攻擊中的惡意軟件被偽造成與Lazarus使用的指紋完美匹配。因此我們得出結論，其所使用的“指紋”是一個(gè)復雜的虛假標志，故意放置于惡意軟件內部，以便使威脅研究人員找到，從而誤導他們。

我們繼續追蹤這一APT組織的活動(dòng)，并在今年6月注意到他們已經(jīng)開(kāi)始一個(gè)針對不同地理范圍的新型攻擊。根據我們的遠程監測和對魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)文件的分析，表明在Olympic Destroyer背后的攻擊者主要針對歐洲的金融行業(yè)和生物技術(shù)相關(guān)組織發(fā)動(dòng)攻擊，特別是俄羅斯、荷蘭、德國、瑞士和烏克蘭。在早期，Olympic Destroyer的主要目標是摧毀冬奧會(huì )及相關(guān)的供應鏈、合作伙伴和場(chǎng)館的基礎設施，并且之前已經(jīng)進(jìn)行了一次偵查活動(dòng)。這樣的證據表明，新的惡意活動(dòng)是另一個(gè)偵查階段的一部分，隨后會(huì )進(jìn)行一系列具有新動(dòng)機的破壞性攻擊。其針對的各種金融相關(guān)目標和非金融目標也表明，具有不同目的的多個(gè)惡意組織正在使用相同的惡意軟件。這可能是網(wǎng)絡(luò )攻擊外包的結果，這種情況在民族國家威脅中并不少見(jiàn)。然而，以金融為目標很可能也是惡意組織的一個(gè)“幌子”，從而掩蓋其真實(shí)的目的。

在今年4月，我們披露了Parliament活動(dòng)的運作情況，這是一項針對世界各地立法、行政和司法組織的網(wǎng)絡(luò )間諜活動(dòng)，主要集中在中東和北非地區，特別是巴勒斯坦。這些攻擊始于2017年初，主要針對議會(huì )、參議院、州政府及其官員、政治學(xué)家、軍事和情報機構、政府部門(mén)、媒體機構、研究中心、選舉委員會(huì )、奧運組織、大型貿易公司等。此次目標受害者不同于此前在該地區的惡意活動(dòng)（Gaza Cybergang和Desert Falcons），并且在這次惡意攻擊之前，惡意組織精心進(jìn)行了信息收集活動(dòng)。在進(jìn)一步感染之前，攻擊者一直非常小心的驗證受害設備，從而保護他們的C&C服務(wù)器。在2018年以后，攻擊速度放緩，可能是由于攻擊者已經(jīng)實(shí)現了目標。

我們持續追蹤Crouching Yeti（又名Energetic Bear）的惡意活動(dòng)，這是一個(gè)自2010年以來(lái)一直活躍的APT集團，主要以能源和工業(yè)公司為目標。該惡意組織面向全球各地發(fā)動(dòng)攻擊，但特別關(guān)注歐洲、美國和土耳其，土耳其是該惡意組織在2016-2017年期間新增的目標。該惡意組織的主要策略是發(fā)送包含惡意文檔的網(wǎng)絡(luò )釣魚(yú)電子郵件，以及借助托管工具、日志和水坑攻擊來(lái)感染服務(wù)器。美國CERT和英國國家網(wǎng)絡(luò )安全中心（NCSC）已經(jīng)公開(kāi)討論過(guò)Crouching Yeti針對美國目標的惡意活動(dòng)。今年4月，卡巴斯基實(shí)驗室ICS CERT提供了有關(guān)被Crouching Yeti感染和惡意利用的服務(wù)器的信息，并提供了針對2016年和2017年初被該惡意組織攻陷的幾臺Web服務(wù)器的分析結果。讀者可以在這里查閱完整報告，但以下是我們總結的摘要：

1. 除了極少數例外情況，該惡意組織使用公開(kāi)的工具來(lái)進(jìn)行攻擊。正因如此，使得根據攻擊行為追溯到惡意組織的這一過(guò)程非常困難。

2. 當攻擊者希望建立一個(gè)“跳板”，對目標設施開(kāi)展進(jìn)一步攻擊時(shí)，互聯(lián)網(wǎng)上任何存在漏洞的服務(wù)器都有可能受到攻擊。

3. 該惡意組織執行的大多數任務(wù)，都是尋找漏洞、在各類(lèi)主機上獲得持久性，以及竊取身份驗證數據。

4. 惡意攻擊的受害者來(lái)自不同行業(yè)，同時(shí)也表明攻擊者具有多種目的。

5. 在某種程度上，可以確定該惡意組織的運營(yíng)方式是接受外部客戶(hù)的資金支持或接受訂單，然后進(jìn)行初始數據收集，竊取身份驗證數據，并獲得相應攻擊資源的持久性，以便攻擊者進(jìn)一步執行惡意活動(dòng)。

今年5月，Cisco Talos團隊的研究人員發(fā)布了他們針對VPNFilter的研究結果，這是一個(gè)用于感染不同品牌路由器的惡意軟件，主要針對烏克蘭的目標發(fā)動(dòng)攻擊，但同時(shí)也影響了54個(gè)國家的路由器。關(guān)于該惡意軟件的分析，請參考這篇文章和這篇文章。最初，分析人員認為該惡意軟件感染了大約500000臺路由器，包括小型辦公室或家庭辦公室（SOHO）中的Linksys、MikroTik、Netgear和TP-Link網(wǎng)絡(luò )設備，以及QNAP網(wǎng)絡(luò )附加存儲（NAS）設備。但實(shí)際上，受感染的路由器清單顯然要長(cháng)得多，總共有75種設備，包括華碩、D-Link、華為、Ubiquiti、UPVEL和中興。惡意軟件能夠使受感染的設備停止工作、執行Shell命令、創(chuàng )建用于匿名訪(fǎng)問(wèn)設備的TOR配置或配置路由器的代理端口和代理URL以控制瀏覽會(huì )話(huà)。但是，該風(fēng)險也會(huì )擴散到設備支持的網(wǎng)絡(luò )中，從而擴大了攻擊范圍。我們的全球研究和分析團隊（GReAT）的研究人員詳細分析了VPNFilter使用的C&C機制。其中一個(gè)有趣的問(wèn)題是，誰(shuí)是這個(gè)惡意軟件的幕后黑手？Cisco Talos表示，該惡意軟件的背后是一個(gè)由國家或州支持的威脅行為者。美國聯(lián)邦調查局在其關(guān)于使用Sink-holing 技術(shù)關(guān)停C&C服務(wù)器的報告中表示，Sofacy（又名APT28、Pawn Storm、Sednit、STRONTIUM和Tsar Team）是該惡意軟件的始作俑者。在此前針對烏克蘭的攻擊所使用的BlackEnergy惡意軟件中，有一些代碼與之相同。

Sofacy是卡巴斯基實(shí)驗室多年來(lái)一直追蹤的惡意組織，該網(wǎng)絡(luò )間諜組織保持高度活躍，并且頻繁產(chǎn)出惡意軟件。在2月，我們發(fā)布了2017年Sofacy惡意活動(dòng)的概述，并揭示了2017年該惡意組織逐漸從北約的目標轉向中東、中亞以及其他地區的目標。Sofacy使用魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)和水坑攻擊來(lái)竊取信息，包括帳戶(hù)憑據、敏感通信和文檔。該威脅行為者還利用0day漏洞來(lái)部署其惡意軟件。

Sofacy針對不同的目標部署了不同的工具。2017年年初，該惡意組織的經(jīng)銷(xiāo)商針對軍事和外交組織（主要位于北約國家和烏克蘭）開(kāi)展惡意活動(dòng)。在今年晚些時(shí)候，該組織利用其武器庫中的Zebrocy和SPLM，針對更廣泛的組織（包括科學(xué)與工程中心以及新聞媒體），面向中亞和遠東地區發(fā)動(dòng)攻擊。與其他復雜的威脅參與者一樣，Sofacy不斷開(kāi)發(fā)新的工具，保持高水平的操作安全性，并專(zhuān)注于使其惡意軟件難以檢測。一旦在網(wǎng)絡(luò )上發(fā)現了Sofacy這類(lèi)高級惡意組織的任何活動(dòng)跡象，應該立即檢查系統上的登錄和異常管理員訪(fǎng)問(wèn)權限，徹底掃描或使用沙箱運行收到的所有附件，并將電子郵件等服務(wù)設置為雙因素身份驗證和通過(guò)VPN訪(fǎng)問(wèn)。借助APT情報報告、YARA等威脅搜索工具以及KATA（卡巴斯基反目標攻擊平臺）等高級檢測解決方案，可以有助于用戶(hù)了解惡意組織的目標，并提供檢測惡意活動(dòng)的強大方法。

我們的研究表明，Sofacy并不是唯一在遠東地區運營(yíng)的惡意組織，這有時(shí)會(huì )導致不同惡意組織之間的目標重疊。我們已經(jīng)發(fā)現，Sofacy的Zebrocy惡意軟件利用俄羅斯惡意組織Mosquito Turla的集群競爭訪(fǎng)問(wèn)受害者計算機的案例，其使用的SPLM后門(mén)軟件與Turla和Danti競相攻擊，都以中亞地區政府、科技、軍事相關(guān)的組織為攻擊目標。最有趣的目標重疊，可能是Sofacy與Lamberts家族之間的重疊。在檢測到服務(wù)器上存在Sofacy組織的惡意軟件之后，研究人員發(fā)現該服務(wù)器此前已被Grey Lambert惡意軟件攻擊。這臺被攻陷的服務(wù)器屬于一家設計和制造航空航天和防空技術(shù)的中國企業(yè)集團。但是，原始的SPLM投遞載體仍然未知，這就引發(fā)了很多假設的可能性，包括Sofacy可能正在使用尚未被發(fā)現的新型漏洞利用方式、后門(mén)產(chǎn)生了新的變種，或者Sofacy以某種方式成功利用了Gray Lambert的通信渠道來(lái)下載其惡意軟件。甚至，可能之前的Lambert感染是該惡意活動(dòng)中故意留下的虛假線(xiàn)索。我們認為，最可能的答案是，Sofacy利用未知的新PowerShell腳本或合法但存在漏洞的Web應用程序來(lái)加載并執行SPLM代碼。

6月份，我們報告了一項針對中亞國家數據中心的持續惡意活動(dòng)。在這一活動(dòng)中，目標的選擇尤為重要，這意味著(zhù)攻擊者能夠一舉獲得大量的政府資源。我們認為，攻擊者通過(guò)在相應國家的官方網(wǎng)站上插入惡意腳本來(lái)執行水坑攻擊。我們根據惡意活動(dòng)中所使用的工具和策略，以及C&C服務(wù)器update.iaacstudio[.]com，推斷該惡意活動(dòng)由LuckyMouse組織進(jìn)行（又名EmissaryPanda和APT27）。該惡意組織此前的目標是政府組織，也包括中亞地區的組織。用于攻擊數據中心的原始載體尚不清楚。我們此前觀(guān)察到，LuckyMouse使用武器化工具，借助CVE-2017-11882（Microsoft Office公式編輯器漏洞，自2017年12月以來(lái)被廣泛使用）進(jìn)行攻擊，但我們無(wú)法證明這一系列工具與此次攻擊有關(guān)。攻擊者可能會(huì )使用水坑攻擊的方式來(lái)感染數據中心內部的計算機。

在9月，我們報道了LuckyMouse的另一起活動(dòng)。自3月份以來(lái)，我們發(fā)現了一些感染行為，其中一個(gè)以前未知的木馬被注入到“l(fā)sass.exe”系統進(jìn)程內存中。注入過(guò)程是由經(jīng)過(guò)簽名的32位或64位網(wǎng)絡(luò )過(guò)濾驅動(dòng)程序NDISProxy實(shí)現，這一驅動(dòng)程序由中國的LeagSoft公司簽署，該公司是一家位于深圳的信息安全軟件開(kāi)發(fā)商，我們通過(guò)CN-CERT報告了這一問(wèn)題。該惡意活動(dòng)針對的是中亞政府組織，我們認為此次攻擊與該地區的高層會(huì )議有關(guān)。在攻擊中所使用的Earthworm隧道，對于使用中文的惡意組織來(lái)說(shuō)是非常典型的。此外，攻擊者使用的命令之一（-s rssocks -d 103.75.190[.]28 -e 443）創(chuàng )建了到先前已知的LuckyMouse C&C服務(wù)器的隧道。該惡意活動(dòng)所針對的目標，也與該惡意組織此前選擇的目標一致。我們沒(méi)有發(fā)現任何魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)或水坑活動(dòng)的跡象，我們認為攻擊者是通過(guò)已經(jīng)被攻陷的網(wǎng)絡(luò )來(lái)進(jìn)行惡意軟件傳播。

Lazarus是一個(gè)成熟的惡意組織，從2009年以來(lái)就開(kāi)始進(jìn)行網(wǎng)絡(luò )間諜活動(dòng)和網(wǎng)絡(luò )破壞活動(dòng)。近年來(lái)，該組織開(kāi)始針對全球金融組織開(kāi)展惡意活動(dòng)。在8月，我們發(fā)現該組織已經(jīng)成功攻陷了幾家銀行，并滲透了一些全球加密貨幣交易所和金融科技公司。在協(xié)助應急響應的同時(shí)，我們了解到受害者是通過(guò)帶有木馬的加密貨幣交易應用被感染的。一位安全意識較為薄弱的員工從看似合法的網(wǎng)站下載了第三方應用程序，并感染了一個(gè)名為Fallchill的惡意軟件，這是Lazarus近期開(kāi)始使用的勞工具。似乎Lazarus已經(jīng)找到了一種有效的方法來(lái)創(chuàng )建一個(gè)看起來(lái)合法的網(wǎng)站，并將惡意Payload注入到看似合法的軟件更新機制中。在這種情況下，惡意組織創(chuàng )建了一個(gè)虛假的供應鏈，而并沒(méi)有攻陷一個(gè)真正的供應鏈。無(wú)論如何，Lazarus集團在攻擊供應鏈方面取得的成功，表明了他們會(huì )繼續利用這種攻擊方式。攻擊者針對非Windows平臺做出了額外的努力，并且開(kāi)發(fā)了針對macOS系統的惡意軟件，同時(shí)該網(wǎng)站提示稱(chēng)Linux版本即將推出。這可能是我們第一次發(fā)現這個(gè)APT組織利用針對macOS的惡意軟件?？雌饋?lái)，為了針對特定高級目標發(fā)動(dòng)攻擊，惡意組織被迫要開(kāi)發(fā)macOS惡意軟件工具。Lazarus集團擴展其目標操作系統列表的事實(shí)，應該為非Windows用戶(hù)敲響警鐘。讀者可以在這里閱讀我們關(guān)于A(yíng)ppleJeus的報告。

Turla（又名Venomous Bear、Waterbug和Uroboros）惡意組織最著(zhù)名的就是當時(shí)極度復雜的Snake Rootkit，主要攻擊與北約相關(guān)的目標。然而，這一惡意組織的實(shí)際活動(dòng)要比這一惡意軟件廣泛得多。10月，我們報道了Turla組織近期的活動(dòng)，揭示了舊代碼、新代碼和新猜測的有趣組合，以及推測了該惡意組織的后續計劃。我們在2018年的大部分研究，都集中于他們的KopiLuwak JavaScript后門(mén)、Carbon框架的新變種以及Meterpreter交付技術(shù)。其他一些值得關(guān)注的地方是他們使用不斷變化的Mosquito投遞技術(shù)、定制的PoshSec-Mod開(kāi)源PowerShell和從別處借用的注入代碼。我們將一些惡意活動(dòng)與WhiteBear和Mosquito基礎設施及數據點(diǎn)以及惡意組織在2017年和2018年期間的活動(dòng)相關(guān)聯(lián)。該惡意組織的目標很少與其他APT活動(dòng)相重疊。Turla并沒(méi)有參加具有里程碑意義的DNC黑客活動(dòng)（Sofacy和CozyDuke都曾參與），他們悄然活躍在全球各地的其他惡意活動(dòng)中，與該惡意組織相關(guān)的攻擊方法尚未被武器化。Mosquito和Carbon活動(dòng)主要針對外交和外交事務(wù)目標，而WhiteAtlas和WhiteBear活動(dòng)遍布全球，針對于外交相關(guān)的組織，但還針對一些科技組織以及與政治無(wú)關(guān)的組織。該組織的KopiLuwak惡意活動(dòng)沒(méi)有針對于外交和外交事務(wù)，相反，在2018年的惡意活動(dòng)主要針對具有政府背景的科學(xué)和能源研究組織，以及阿富汗政府相關(guān)的通信組織。這種具有高度針對性但更加廣泛的目標選擇模式可能會(huì )持續到2019年。

10月，我們報道了MuddyWater APT組織近期的活動(dòng)。我們在過(guò)去的監測表明，這個(gè)相對較新的惡意組織在2017年浮出水面，主要針對伊拉克和沙特阿拉伯的政府目標發(fā)動(dòng)攻擊。然而，眾所周知，近期MuddyWater背后的惡意組織又將目標瞄準中東、歐洲和美國的其他國家。我們注意到，近期大量的魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)文件似乎針對約旦、土耳其、阿塞拜疆和巴基斯坦的政府機構、軍事實(shí)體、電信公司和教育機構，此外他們針對伊拉克和沙特阿拉伯還在發(fā)動(dòng)持續的攻擊。在馬里、奧地利、俄羅斯、伊朗和巴林，也發(fā)現了受到攻擊的主機。這些新惡意文檔創(chuàng )建于2018年，惡意活動(dòng)從5月開(kāi)始升級。新的魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)文檔依靠社會(huì )工程學(xué)來(lái)誘導受害者啟用宏。受害者依靠一系列被攻陷的主機來(lái)發(fā)動(dòng)攻擊。在我們研究的高級階段，我們不僅發(fā)現該惡意組織武器庫中的一些其他文件和工具，還觀(guān)察到攻擊者所犯的一些OPSEC錯誤。為了防范惡意軟件攻擊，我們建議采取如下措施：

1. 對普通員工開(kāi)展安全教育，以便他們能夠識別網(wǎng)絡(luò )釣魚(yú)鏈接等惡意行為。

2. 對信息安全人員開(kāi)展專(zhuān)業(yè)培訓，確保他們具備完整的配置加固、事件調查和溯源能力。

3. 使用經(jīng)過(guò)驗證的企業(yè)級安全解決方案，與能夠通過(guò)分析網(wǎng)絡(luò )異常來(lái)檢測攻擊的反目標攻擊解決方案相結合。

4. 為安全人員提供訪(fǎng)問(wèn)最新威脅情報數據的權限，例如IoC和YARA規則。

5. 建立企業(yè)級補丁管理流程。

大型組織更應該應用高水平的網(wǎng)絡(luò )安全技術(shù)，因為攻擊者對這些組織的攻擊是無(wú)法避免的，并且永遠不太可能停止。

DustSquad是另一個(gè)針對中亞組織的惡意組織。在過(guò)去兩年中，卡巴斯基實(shí)驗室一直在監控這個(gè)使用俄語(yǔ)的網(wǎng)絡(luò )間諜組織，并想我們的客戶(hù)提供有關(guān)針對Android和Windows的四個(gè)惡意活動(dòng)的私有情報報告。最近，我們分析了一個(gè)名為Octopus的惡意程序，該程序用于攻擊特定地區的外交機構。這一名稱(chēng)是由ESET在2017年確定的，因為他們在舊的C&C服務(wù)器上發(fā)現攻擊所使用的0ct0pus3.php腳本。使用卡巴斯基歸因引擎（Kaspersky Attribution Engine）基于相似度算法進(jìn)行分析，我們發(fā)現Octopus與DustSquad相關(guān)。在我們的監測中，我們在中亞地區前蘇聯(lián)成員國和阿富汗發(fā)現這一活動(dòng)的蹤跡。4月，我們發(fā)現了一個(gè)新的Octopus樣本，偽裝成具有俄語(yǔ)界面的Telegram Messenger。我們無(wú)法找到該惡意軟件所冒充的合法軟件，事實(shí)上，我們認為相應的合法軟件并不存在。然而，攻擊者利用哈薩克斯坦潛在的禁止使用Telegram規定來(lái)推動(dòng)其Dropper作為政治反對派的替代通信軟件。

10月，我們發(fā)表了針對Dark Pulsar的分析。我們的調查始于2017年3月，當時(shí)Shadow Brokers發(fā)布的被竊取數據中包含了兩個(gè)框架，分別是DanderSpritz和FuzzBunch。DanderSpritz中包含各種類(lèi)型的插件，旨在分析受害者、實(shí)現漏洞利用、添加計劃任務(wù)等。DanderSpritz框架旨在檢查已受控制的計算機，并從中收集情報。這兩個(gè)框架共同為網(wǎng)絡(luò )間諜提供了一個(gè)非常強大的平臺。但泄露的數據中并不包括Dark Pulsar后門(mén)本身，而是包含一個(gè)用于控制后門(mén)的管理模塊。但是，通過(guò)在管理模塊中基于一些常量創(chuàng )建特殊簽名，我們就能夠捕獲到植入工具。這種植入工具使攻擊者能夠遠程控制被感染設備。我們發(fā)現了50臺被感染的設備，它們位于俄羅斯、伊朗和埃及，但我們相信可能還會(huì )有更多。首先，DanderSpritz接口能同時(shí)管理大量被感染主機。此外，攻擊者通常會(huì )在惡意活動(dòng)結束后刪除惡意軟件。我們認為這一惡意活動(dòng)在2017年4月Shadow Brokers泄露“Lost in Translation”后就停止了。針對Dark Pulsar這樣的復雜威脅，大家可以在這里查看我們提供的緩解策略。

三、移動(dòng)APT攻擊系列

2018年，在移動(dòng)APT威脅部分，我們主要發(fā)現了三起重大事件：Zoopark、BusyGasper和Skygofree網(wǎng)絡(luò )間諜活動(dòng)。

從技術(shù)上講，這三起惡意活動(dòng)都經(jīng)過(guò)精心設計，其主要目的相似，都是監視特定的受害者。這些攻擊的主要目的是從移動(dòng)設備中竊取所有可用的個(gè)人數據，包括呼叫、信息、地理定位等。甚至一些惡意軟件還具有通過(guò)麥克風(fēng)進(jìn)行竊聽(tīng)的功能。針對一些毫無(wú)防備的目標，他們的智能手機直接成為了攻擊者最佳的竊聽(tīng)和信息收集工具。

網(wǎng)絡(luò )犯罪分子特別針對流行的即時(shí)通信服務(wù)進(jìn)行信息竊取，現在這些服務(wù)已經(jīng)在很大程度上取代了傳統的通信方式。在某些情況下，攻擊者能夠使用木馬實(shí)現在設備上的本地特權提升，從而實(shí)現幾乎沒(méi)有限制的遠程監控訪(fǎng)問(wèn)以及設備管理。

在這三個(gè)惡意程序中，有兩個(gè)程序具有記錄鍵盤(pán)輸入的功能，網(wǎng)絡(luò )犯罪分子記錄用戶(hù)的每次擊鍵。值得注意的是，要記錄鍵盤(pán)輸入，攻擊者甚至都不需要提升權限。

從地理位置來(lái)看，受害者位于各個(gè)國家：Skygofree針對意大利用戶(hù)，BusyGasper針對俄羅斯特定用戶(hù)，Zoopark主要在中東運營(yíng)。

同樣值得注意的是，與間諜活動(dòng)相關(guān)的犯罪分子越來(lái)越青睞于移動(dòng)平臺，因為移動(dòng)平臺提供了更多的個(gè)人信息。

四、漏洞利用

利用軟件和硬件中存在的漏洞，仍然是攻擊者攻陷各種設備的主要手段。

今年早些時(shí)候，有兩個(gè)影響Intel CPU的高危漏洞，分別是Meltdown和Spectre，這兩個(gè)漏洞分別允許攻擊者從任何進(jìn)程和自身進(jìn)程中讀取內存。這些漏洞自2011年以來(lái)一直存在。Meltdown（CVE-2017-5754）會(huì )影響Intel CPU并允許攻擊者從主機上的任何進(jìn)程讀取數據。盡管需要執行代碼，但可以通過(guò)各種方式來(lái)實(shí)現，舉例來(lái)說(shuō)，可以通過(guò)軟件漏洞或訪(fǎng)問(wèn)加載包含Meltdown攻擊相關(guān)JavaScript代碼的惡意網(wǎng)站。一旦該漏洞被成功利用，攻擊者就可以讀取內存中的所有數據（包括密碼、加密密鑰、PIN等）。廠(chǎng)商很快就發(fā)布了流行操作系統適用的?。但在1月3日發(fā)布的Microsoft補丁與所有反病毒程序不兼容，可能會(huì )導致BSoD（藍屏）。因此，只有在反病毒軟件首次設置特定注冊表項時(shí)，才能安裝更新，從而指示不存在兼容性問(wèn)題。Spectre（CVE-2017-5753和VCE-2017-5715）與Meltdown不同，該漏洞也存在于其他架構中（例如AMD和ARM）。此外，Spectre只能讀取漏洞利用進(jìn)程的內存空間，而不能讀取任意進(jìn)程的內存空間。更重要的是，除了一些瀏覽器采用了防范措施之外，Spectre還沒(méi)有通用的解決方案。在報告漏洞之后的幾周內，可以很明顯地看出這些漏洞不易被修復。大部分發(fā)布的補丁都是減少攻擊面，減少漏洞利用的已知方法，但并沒(méi)有完全消除風(fēng)險。由于這個(gè)漏洞會(huì )嚴重影響CPU的正常工作，很明顯廠(chǎng)商在未來(lái)的幾年內都要努力應對新的漏洞利用方式。事實(shí)上，這一過(guò)程并不需要幾年的時(shí)間。在今年7月，Intel為Spectre變種（CVE-2017-5753）相關(guān)的新型處理器漏洞支付了10萬(wàn)美元的漏洞賞金。Spectre 1.1（CVE-2018-3693）可用于創(chuàng )建預測的緩沖區溢出。Spectre 1.2允許攻擊者覆蓋制度數據和代碼指針，從而破壞不強制執行讀寫(xiě)保護的CPU上的沙箱。麻省理工學(xué)院研究員Vladimir Kiriansky和獨立研究員Carl Waldspurger發(fā)現了這些新的漏洞。

4月18日，有人向VirusTotal上傳了一個(gè)新的漏洞利用工具。該文件被多家安全廠(chǎng)商檢測，包括卡巴斯基實(shí)驗室在內，我們借助通用啟發(fā)式邏輯來(lái)檢測一些較舊的Microsoft Word文檔。事實(shí)證明，這是Internet Explorer（CVE-2018-8174）的一個(gè)新的0day漏洞，Microsoft在5月8日實(shí)現了修復。我們在沙箱系統中運行樣本后，發(fā)現該樣本成功針對應用了最新補丁的Microsoft Word版本實(shí)現漏洞利用。因此，我們對漏洞進(jìn)行了更深入的分析，發(fā)現感染鏈包含以下步驟。受害者首先收到惡意的Microsoft Word文檔，在打開(kāi)之后，將會(huì )下載漏洞的第二階段，是一個(gè)包含VBScript代碼的HTML頁(yè)面。該頁(yè)面將會(huì )觸發(fā)UAF漏洞并執行ShellCode。盡管最初的攻擊向量是Word文檔，但該漏洞實(shí)際上是位于VBScript中。這是我們第一次看到用于在Word中加載IE漏洞的URL Moniker，我們相信這種技術(shù)在以后會(huì )被攻擊者嚴重濫用，因為這種技術(shù)允許攻擊者強制加載IE，并忽略默認瀏覽器設置。漏洞利用工具包的作者很可能會(huì )在通過(guò)瀏覽器的攻擊和通過(guò)Word文檔的魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)攻擊中濫用這一漏洞。為了防范這種攻擊方式，我們應該應用最新的安全更新，并使用具有行為檢測功能的安全解決方案。

8月，我們的AEP（自動(dòng)漏洞利用防御）技術(shù)檢測到一種新型網(wǎng)絡(luò )攻擊，試圖在Windows驅動(dòng)程序文件win32k.sys中使用0day漏洞。我們向Microsoft通報了這一問(wèn)題，并且Microsoft在10月9日披露了這一漏洞（CVE-2018-8453）并發(fā)布了更新。這是一個(gè)非常危險的漏洞，攻擊者可以控制受感染的計算機。該漏洞被用于針對中東組織的特定目標攻擊活動(dòng)中，我們發(fā)現了近12臺被感染的計算機，我們認為這些攻擊是由FruityArmor惡意組織發(fā)動(dòng)的。

10月下旬，我們向Microsoft報告了另一個(gè)漏洞，這次是win32k.sys的0day特權提升漏洞，攻擊者可以利用該漏洞來(lái)獲取創(chuàng )建系統持久性所需的特權。這種漏洞也被用于針對中東組織的攻擊之中。Microsoft在11月13日發(fā)布了該漏洞的更新（CVE-2018-8589）。我們還通過(guò)主動(dòng)檢測技術(shù)（卡巴斯基反目標攻擊平臺的高級沙盒、反惡意軟件引擎和AEP技術(shù)）成功檢測出這一威脅。

五、瀏覽器擴展：擴大網(wǎng)絡(luò )犯罪分子的范圍

瀏覽器擴展可以隱藏難看的廣告、翻譯文本、幫助我們在網(wǎng)上商店選擇想要的商品等，使我們的生活更加輕松。但不幸的是，還有一些惡意擴展被用于廣告轟炸、收集用戶(hù)活動(dòng)的相關(guān)信息，以及竊取財產(chǎn)。今年早些時(shí)候，一個(gè)惡意瀏覽器擴展引起了我們的注意，因為該擴展與一些可疑的域名進(jìn)行了通信。惡意擴展名稱(chēng)為DesbloquearConteúdo（葡萄牙語(yǔ)：解鎖內容），主要針對巴西地區使用網(wǎng)上銀行服務(wù)的客戶(hù)，收集其登錄信息和密碼，以便攻擊者訪(fǎng)問(wèn)受害者的銀行賬戶(hù)。

9月，黑客發(fā)布了來(lái)自至少81000個(gè)Facebook帳戶(hù)的私人信息，聲稱(chēng)這只是1.2億帳戶(hù)信息泄露的冰山一角。在暗網(wǎng)的廣告中，攻擊者以每個(gè)帳戶(hù)10美分的價(jià)格來(lái)提供這些竊取的信息。BBC俄羅斯服務(wù)和網(wǎng)絡(luò )安全公司Digital Shadows調查了這起攻擊事件。他們發(fā)現在81000個(gè)帳戶(hù)中，大多數來(lái)自烏克蘭和俄羅斯，但其他國家的帳戶(hù)也包含在內，包括英國、美國和巴西。Facebook認為這些信息是通過(guò)惡意瀏覽器擴展程序竊取的。

惡意擴展非常罕見(jiàn)，但我們需要認真防范這些威脅，因為它們可能會(huì )造成潛在的損害。用戶(hù)應該只在Chrome網(wǎng)上應用商店或其他官方服務(wù)中安裝具有大量安裝數和評論數的經(jīng)過(guò)驗證的擴展程序。即便應用商店的運營(yíng)者已經(jīng)實(shí)施了保護措施，但惡意擴展還是有可能被成功發(fā)布。因此，建議用戶(hù)額外使用互聯(lián)網(wǎng)安全產(chǎn)品，安全產(chǎn)品將能夠檢測出可疑的擴展程序。

六、世界杯期間的欺詐行為

社會(huì )工程學(xué)仍然是各類(lèi)網(wǎng)絡(luò )攻擊者的重要工具。詐騙者總是在尋找機會(huì )，通過(guò)一些熱門(mén)的體育賽事來(lái)非法牟利，而世界杯就是他們的一個(gè)不錯之選。在世界杯開(kāi)始前的一段時(shí)間，網(wǎng)絡(luò )犯罪分子就開(kāi)始建立網(wǎng)絡(luò )釣魚(yú)網(wǎng)站，并發(fā)出與世界杯相關(guān)的信息。這些網(wǎng)絡(luò )釣魚(yú)郵件包括虛假的彩票中獎通知和比賽門(mén)票相關(guān)消息。詐騙者總是竭盡全力地模仿合法的世界杯合作伙伴網(wǎng)站，創(chuàng )建一個(gè)經(jīng)過(guò)完美設計的網(wǎng)頁(yè)，甚至添加了SSL證書(shū)以增加可信度。犯罪分子還通過(guò)模擬FIFA官方通知來(lái)提取數據：受害者收到一條消息，通知他們安全系統已經(jīng)更新，必須重新輸入所有個(gè)人數據才能避免帳戶(hù)被鎖定。這些消息中包含指向虛假頁(yè)面的鏈接，詐騙者在這些虛假頁(yè)面上收集受害者的個(gè)人信息。

關(guān)于網(wǎng)絡(luò )犯罪分子利用世界杯進(jìn)行欺詐的相關(guān)報告可以從這里找到。此外，我們還提供了有關(guān)如何避免網(wǎng)絡(luò )釣魚(yú)詐騙的提示，這些提示適用于任何網(wǎng)絡(luò )釣魚(yú)詐騙，而不僅僅局限于世界杯相關(guān)。

在比賽前，我們還分析了舉辦FIFA世界杯比賽的11個(gè)城市的無(wú)線(xiàn)接入點(diǎn)，總共包含近32000個(gè)Wi-Fi熱點(diǎn)。在檢查其加密和身份驗證算法時(shí)，我們計算了WPA2加密方式和完全開(kāi)放的網(wǎng)絡(luò )數量，以及它們在所有接入點(diǎn)之中的占比。超過(guò)五分之一的Wi-Fi熱點(diǎn)都使用了不可靠的網(wǎng)絡(luò )，這意味著(zhù)犯罪分子只需要身處接入點(diǎn)附近，就能夠攔截流量并獲取人們的數據。大約四分之三的接入點(diǎn)使用了WPA/WPA2加密，這是目前被認為最安全的加密方式之一。針對這些熱點(diǎn)，安全防護的強度主要取決于配置，例如熱點(diǎn)所有者所設置的密碼強度。復雜的加密密鑰可能需要數年才能成功破解。然而，即使是可靠的網(wǎng)絡(luò )（例如WPA2），也不能被認為是完全安全的。這些網(wǎng)絡(luò )仍然容易受到暴力破解、字典破解和密鑰重新配置的攻擊，并且網(wǎng)上有大量的攻擊教程和開(kāi)源工具。在公共的接入點(diǎn)中，也可以通過(guò)中間人攻擊的方式攔截來(lái)自WPA Wi-Fi的流量。

我們的報告以及如何安全使用Wi-Fi熱點(diǎn)的建議可以在這里找到，這些建議也同樣適用于任何場(chǎng)景，不只是世界杯。

七、工業(yè)規模的金融詐騙

今年8月，卡巴斯基實(shí)驗室ICS CERT報道了一起旨在從企業(yè)（主要是制造公司）竊取資金的網(wǎng)絡(luò )釣魚(yú)活動(dòng)。攻擊者使用典型的網(wǎng)絡(luò )釣魚(yú)技術(shù)，誘導受害者點(diǎn)擊受感染的附件，該附件包含在一封偽裝成商業(yè)報價(jià)和其他財務(wù)文件的電子郵件之中。網(wǎng)絡(luò )犯罪分子使用合法的遠程管理應用程序TeamViewer或RMS（Remote Manipulator System）來(lái)訪(fǎng)問(wèn)設備，并掃描當前購買(mǎi)的相關(guān)信息，以及受害者使用的財務(wù)和會(huì )計軟件的詳細信息。然后，攻擊者通過(guò)不同手段竊取公司的資金，例如通過(guò)替換交易中的銀行賬號。在8月1日發(fā)布報告時(shí)，我們已經(jīng)發(fā)現至少有800臺計算機感染這一威脅，這些受感染設備位于至少400個(gè)組織中，涉及到制造業(yè)、石油和天然氣、冶金、工程、能源、建筑、采礦和物流等多個(gè)行業(yè)。該惡意活動(dòng)自2017年10月以來(lái)就持續進(jìn)行。

我們的研究發(fā)現，即使惡意組織使用簡(jiǎn)單的技術(shù)和已知的惡意軟件，他們也可以借助社會(huì )工程學(xué)技巧以及將代碼隱藏在目標系統中的方法，成功實(shí)現對工業(yè)公司的攻擊。同時(shí)，他們使用合法的遠程管理軟件，來(lái)逃避反病毒解決方案的檢測。

有關(guān)攻擊者如何使用遠程管理工具來(lái)攻陷其目標的更多信息，請參見(jiàn)這篇文章，以及2018年上半年針對工控系統的攻擊概述。

八、勒索軟件：仍然存在的威脅

在過(guò)去一年內，勒索軟件攻擊的數量已經(jīng)發(fā)生下降。然而，這種類(lèi)型的惡意軟件仍然是一個(gè)嚴重的問(wèn)題。我們持續看到了新的勒索軟件家族的發(fā)展。8月初，我們的反勒索軟件模塊檢測到了KeyPass木馬。在短短兩天內，我們在20多個(gè)國家發(fā)現了這種惡意軟件，巴西和越南遭受的打擊最為嚴重，但也在歐洲、非洲和遠東地區發(fā)現了受害者。KeyPass可以對受感染的計算機能訪(fǎng)問(wèn)的本地驅動(dòng)器和網(wǎng)絡(luò )共享上的所有文件（不限擴展名）進(jìn)行加密。同時(shí)，還忽略了一些文件，這些文件位于惡意軟件中硬編碼的目錄中。加密文件的附加擴展名為KEYPASS，勒索提示文件名為“!!!KEYPASS_DECRYPTION_INFO!!!.txt”，保存在包含加密文件的每個(gè)目錄中。該木馬的作者實(shí)施了一個(gè)非常簡(jiǎn)單的方案。惡意軟件使用了AES-256對稱(chēng)加密算法（CFB模式），并針對所有文件使用為0的IV和相同的32字節密鑰。木馬在每個(gè)文件的頭部進(jìn)行加密，最多加密到0x500000字節（約5MB）的數據。在運行后不久，惡意軟件連接到其C&C服務(wù)器，并獲取當前受害者的加密密鑰和感染ID。數據以JSON的形式通過(guò)純HTTP傳輸。如果C&C不可用（例如被感染計算機未連接到網(wǎng)絡(luò )，或者服務(wù)器已經(jīng)被關(guān)閉），那么惡意軟件會(huì )使用硬編碼的密鑰和ID。在離線(xiàn)加密的情況下，可以輕松實(shí)現對文件的解密。

KeePass木馬最值得注意的一個(gè)功能是“人工控制”。木馬包含一個(gè)默認隱藏的表單，但在按下鍵盤(pán)上的特定按鈕后可以顯示該表單。這一表單允許犯罪分子通過(guò)更改加密密鑰、勒索提示名稱(chēng)、勒索文本、受害者ID、加密文件的擴展名以及要排除的目錄列表等參數，從而自定義加密過(guò)程。這種能力表明，木馬背后的犯罪分子可能打算在人工攻擊中使用這一軟件。

然而，不僅僅是新的勒索軟件家族對用戶(hù)造成了威脅。在WannaCry爆發(fā)的一年半之后，該軟件仍然是最廣泛的加密勒索惡意軟件之一，到目前為止，我們已經(jīng)在全球范圍內發(fā)現了74621次獨立的攻擊。在2018年第三季度，這些攻擊占所有針對特定目標進(jìn)行加密攻擊的28.72%。這一比例與去年相比增加了2/3?？紤]到在2017年5月病毒爆發(fā)之前，WannaCry所使用的EternalBlue補丁就已經(jīng)存在，這一情況非常令人擔憂(yōu)。

九、Asacub和銀行木馬

2018年，涉及移動(dòng)銀行木馬的攻擊數量有明顯增長(cháng)。在今年年初，我們針對這種類(lèi)型的威脅已經(jīng)檢測到一定數量的獨特樣本和受攻擊用戶(hù)。

然而，在第二季度，這一情況發(fā)生了巨大變化。我們檢測到的移動(dòng)銀行木馬和受攻擊用戶(hù)的數量突破記錄。盡管主要原因還是在于A(yíng)sacub和Hqwar，但這一數字發(fā)送巨大回升的根本原因還不清楚。根據我們的數據，Asacub幕后團隊已經(jīng)運營(yíng)了超過(guò)3年。

Asacub是從一個(gè)短信木馬演變而來(lái)的，它在最開(kāi)始就擁有防止刪除、攔截來(lái)電和攔截短信的技術(shù)。作者隨后將程序邏輯復雜化，并開(kāi)始大規模分發(fā)惡意軟件。所選擇的載體與最初的載體相同，都是通過(guò)SMS短信方式借助社會(huì )工程學(xué)實(shí)現分發(fā)。

當木馬感染的設備開(kāi)始傳播感染時(shí)，就會(huì )呈現出滾雪球的增長(cháng)趨勢，Asacub通過(guò)自我傳播，擴散到受害者的全部聯(lián)系人名單。

十、智能不一定意味著(zhù)安全

如今，我們被智能設備所包圍，包括日常家用物品，例如電視、智能電表、恒溫器、嬰兒監視器和兒童玩具等。但智能設備的范疇還包含汽車(chē)、醫療設備、閉路電視攝像機和停車(chē)咪表。隨著(zhù)智能化的進(jìn)一步提升，智能城市也相繼出現。然而，如今的智能時(shí)代為攻擊者提供了更大的攻擊面。要保護傳統計算機的安全非常困難，但如果要保護物聯(lián)網(wǎng)（IoT）的安全，則又是難上加難。由于缺乏標準化，安全人員往往會(huì )忽視其安全性，或者將安全性視為開(kāi)發(fā)之后需要考量的因素之一。有很多例子可以佐證這一觀(guān)點(diǎn)。

2月，我們探討了智能中心（Smart Hub）的安全性問(wèn)題。通過(guò)智能中心，用戶(hù)可以控制家中其他智能設備的操作，發(fā)出命令并接收消息。智能中心可以通過(guò)觸摸屏、移動(dòng)應用程序或Web界面進(jìn)行控制。如果它遭受攻擊，可能會(huì )出現單點(diǎn)故障。盡管我們的研究人員分析的智能中心沒(méi)有明顯漏洞，但其中還是存在足以獲取遠程訪(fǎng)問(wèn)權限的邏輯漏洞。

卡巴斯基實(shí)驗室ICS CERT的研究人員針對一款流行的智能攝像頭進(jìn)行了分析，并研究該設備是如何防止入侵的。智能攝像頭現在已經(jīng)成為日常生活中的一部分，有許多智能攝像頭都連到云端，用于遠程監控特定位置（查看寵物、進(jìn)行安全監控等）。我們的研究人員所分析的設備被當做通用攝像頭來(lái)銷(xiāo)售，可以用作嬰兒監視器，也可以作為安全系統的一部分。該攝像頭具有夜視能力，可以跟隨移動(dòng)的物體，并支持將視頻傳輸到智能手機或平板電腦，可以通過(guò)內置揚聲器播放聲音。但不幸的是，這一智能攝像頭居然有13個(gè)漏洞，幾乎與它的功能一樣多，可以允許攻擊者更改管理員密碼、在設備上執行任意代碼、構建被攻陷攝像頭的僵尸網(wǎng)絡(luò )或者完全阻止攝像頭運行。

這些安全問(wèn)題不止存在于面向消費者的設備之中。今年年初，我們的全球研究和分析團隊研究員與Azimuth Security的Amihai Neiderman共同發(fā)現了一個(gè)加油站自動(dòng)化設備的漏洞。該設備直接連接到互聯(lián)網(wǎng)，負責管理加油站的每一個(gè)組件，包括加油機器和支付終端。更令人擔憂(yōu)的是，外部人員可以使用默認憑據訪(fǎng)問(wèn)設備的Web界面。經(jīng)過(guò)進(jìn)一步的研究顯示，攻擊者可以關(guān)閉所有加油系統、導致燃油泄漏、修改價(jià)格、繞過(guò)支付終端、獲取車(chē)輛牌照和駕駛員身份、在控制器單元上執行代碼，甚至可以在加油站的網(wǎng)絡(luò )上自由移動(dòng)。

如今，技術(shù)正在推動(dòng)醫療保健的改革，它有助于提升醫療質(zhì)量，并降低醫療和護理服務(wù)的成本，同時(shí)還可以讓患者和公民更好地管理他們的醫療保健信息，賦予護理人員全力，并有助于新藥和治療方法的研究。然而，新的醫療技術(shù)和移動(dòng)工作實(shí)踐所產(chǎn)生的數據要比以往任何時(shí)候都多，同時(shí)也為數據丟失或數據竊取提供了更多的機會(huì )。在過(guò)去的幾年中，我們已經(jīng)多次提出了這一問(wèn)題。我們持續跟蹤網(wǎng)絡(luò )犯罪分子的活動(dòng)軌跡，了解他們如何滲透醫療網(wǎng)絡(luò )，如何找到公開(kāi)醫療資源的數據以及如何將其泄露出去。9月，我們檢查了醫療領(lǐng)域的安全性，發(fā)現超過(guò)60%醫療機構的計算機上存在某種惡意軟件。此外，針對制藥行業(yè)的攻擊仍在持續增長(cháng)。關(guān)鍵是，醫療機構應該刪除不再需要的個(gè)人醫療數據，及時(shí)更新軟件，并刪除不再需要的應用程序的所有終端，不要將重要的醫療設備連接到主LAN上。在這里可以找到我們的詳細建議。

今年，我們還研究了用于動(dòng)物的智能設備，特別是用于監控寵物位置的追蹤器。這些小工具可以訪(fǎng)問(wèn)寵物主人的家庭網(wǎng)絡(luò )和電話(huà)，以及獲取寵物的位置。我們的研究人員研究了幾種市面上流行的追蹤器，其中4款使用BLE藍牙技術(shù)與用戶(hù)的智能手機進(jìn)行通信，僅有1款被正確配置，其他3款可以接收并執行任何人的命令。同時(shí)，追蹤器也可以被禁用，或者對用戶(hù)隱藏，攻擊者所需要做的僅僅是靠近追蹤器。其中，只有一個(gè)經(jīng)過(guò)測試的Android應用程序會(huì )驗證其服務(wù)器的證書(shū)，而不僅僅依賴(lài)于系統安全。因此，這些安全性薄弱的產(chǎn)品容易受到中間人（MitM）攻擊，攻擊者可以誘導受害者安裝他們的證書(shū)，從而攔截傳輸的數據。

我們的一些研究人員還研究了人類(lèi)可穿戴設備，特別是智能手表和健身追蹤器。我們發(fā)現，通過(guò)在智能手機上安裝間諜應用程序，可以將內置運動(dòng)傳感器（加速度計和陀螺儀）的數據發(fā)送到遠程服務(wù)器，并使用這些數據拼湊出佩戴者的行為，例如走路、坐著(zhù)、打字等。我們從基于A(yíng)ndroid的智能手機開(kāi)始，編寫(xiě)了一個(gè)簡(jiǎn)單的應用程序來(lái)處理和傳遞數據，然后研究我們可以從這些數據中獲取什么。結果表明，不僅可以確定佩戴者是坐著(zhù)還是走路，并且還能弄清楚佩戴者是散步還是乘坐地鐵，因為這兩種狀態(tài)對應的加速度計模式略有不同。當佩戴者打字時(shí)，也很容易判斷出來(lái)。但是，如果想要發(fā)現他們輸入的內容，這非常困難，并且需要重復輸入文本。我們的研究人員能以96%的準確度恢復出計算機密碼，能以87%的準確度恢復出ATM密碼。但是，由于缺乏關(guān)于受害者何時(shí)輸入此類(lèi)信息的可預測性，獲取其他信息（例如：信用卡號或CVC碼）將更加困難。

近年來(lái)，汽車(chē)共享服務(wù)有所增長(cháng)。這些服務(wù)為大城市中的出行人群提供了便利。但是，也隨之產(chǎn)生了安全問(wèn)題，就是使用這些服務(wù)的用戶(hù)個(gè)人信息是否安全？7月，我們測試了13個(gè)應用程序，其結果并不樂(lè )觀(guān)。顯然，應用程序開(kāi)發(fā)人員在最初設計和創(chuàng )建基礎架構時(shí)，都沒(méi)有充分考慮到當前移動(dòng)平臺的威脅。最簡(jiǎn)單的，目前只有1個(gè)服務(wù)會(huì )向客戶(hù)發(fā)送有關(guān)嘗試從其他設備登錄帳戶(hù)的通知。從安全角度來(lái)看，我們分析的大多數應用程序的安全性都非常差，需要進(jìn)行改進(jìn)。而且，許多應用程序不僅看起來(lái)非常相似，實(shí)際上就是使用了相同的代碼。讀者可以在這里閱讀我們的報告，其中包括為汽車(chē)共享服務(wù)客戶(hù)提供的安全建議，以及為汽車(chē)共享應用程序開(kāi)發(fā)人員提供的建議。

智能設備的使用數量不斷增加。有預測表明，到2020年，智能設備的數量將會(huì )超過(guò)世界人口的數倍。然而，一些廠(chǎng)商仍然沒(méi)有優(yōu)先考慮設備的安全性，沒(méi)有提醒用戶(hù)在初始設置階段就更改默認密碼，沒(méi)有關(guān)于新固件版本發(fā)布的提醒。對于普通用戶(hù)來(lái)說(shuō)，更新過(guò)程可能非常復雜。這樣就使得物聯(lián)網(wǎng)設備成為網(wǎng)絡(luò )犯罪分子的首要目標。這些設備比PC更容易感染，在家庭基礎設施中往往發(fā)揮重要作用：負責管理互聯(lián)網(wǎng)流量、管理視頻監控、控制空調等家用設備。智能設備的惡意軟件不僅在數量上有所增加，在質(zhì)量上也有所提升。越來(lái)越多的漏洞被網(wǎng)絡(luò )犯罪分子利用，同時(shí)還利用受感染的設備來(lái)發(fā)動(dòng)DDoS攻擊、竊取個(gè)人數據和挖掘加密貨幣。9月，我們發(fā)布了一份關(guān)于物聯(lián)網(wǎng)威脅的報告，從今年開(kāi)始我們已經(jīng)在季度和年末的統計報告中包含有關(guān)物聯(lián)網(wǎng)攻擊的數據。

對于廠(chǎng)商來(lái)說(shuō)，改進(jìn)安全方案非常重要，應該確保在設計產(chǎn)品時(shí)就充分考慮安全性。一些國家的政府正在努力加強廠(chǎng)商在設計環(huán)節的安全性，正在引入相應的指導方針。10月，英國政府退出了消費者物聯(lián)網(wǎng)安全實(shí)踐守則。德國政府也在最近公布了其關(guān)于寬帶路由器最低標準的建議。

消費者在購買(mǎi)任何連網(wǎng)設備前，也應該首先考慮安全性。

1. 考慮是否真正需要這個(gè)設備，如果需要，請檢查可用的功能，并禁用掉任何不需要的功能，以此減少攻擊面。

2. 在線(xiàn)查看關(guān)于任何已經(jīng)上報的漏洞的信息。

3. 檢查是否可以更新設備上的固件。

4. 確保更改默認密碼，并將其替換為唯一的復雜密碼。

5. 不要在網(wǎng)上共享與設備相關(guān)的序列號、IP地址和其他敏感數據。

十一、我們的數據掌握在別人手中

個(gè)人數據是一種有價(jià)值的信息。在新聞中，各種數據泄露事件接連不斷發(fā)生，涉及到Under Armour、FIFA、Adidas、Ticketmaster、T-Mobile、Reddit、British Airways和Cathay Pacific。

Cambridge Analytica違規使用Facebook數據的丑聞提醒人們，個(gè)人信息不僅僅對于網(wǎng)絡(luò )犯罪分子來(lái)說(shuō)具有價(jià)值。在許多情況下，個(gè)人數據是人們?yōu)楂@得產(chǎn)品或服務(wù)所支付的價(jià)格，例如使用“免費”瀏覽器、“免費”電子郵件帳戶(hù)、“免費”社交網(wǎng)絡(luò )賬戶(hù)等。但并非都是如此。如今，我們已經(jīng)逐漸被智能設備包圍，這些設備可以收集我們生活的細節。今年早些時(shí)候，一名記者將她的公寓變成了智能家居設備組成的公寓，以便衡量這些設備的廠(chǎng)商所收集的數據量。由于我們通常會(huì )為這類(lèi)設備付費，因此數據的收集很難被視為使用這些服務(wù)所要支付的價(jià)格。

一些數據泄露事件的發(fā)生，導致受影響的公司遭受罰款（例如，英國信息專(zhuān)員辦公室對Equifax和Facebook進(jìn)行了罰款）。然而，這些罰款都是在歐盟通用數據保護條例（GDPR）正式生效之前進(jìn)行的，在該法案生效后，針對任何嚴重違規行為的處罰力度可能要大得多。

當然，不存在100%的安全性。但是任何持有個(gè)人數據的組織都有責任采取有效措施來(lái)保護這些個(gè)人數據。如果因違規行為導致個(gè)人數據被盜，那么公司應該及時(shí)提醒客戶(hù)，從而使客戶(hù)能夠采取有效措施來(lái)盡可能降低受到的損害。

作為普通用戶(hù)，我們無(wú)法采取措施來(lái)防止廠(chǎng)商的數據泄露，但可以加強我們的帳戶(hù)安全，特別是針對每個(gè)帳戶(hù)使用不同的密碼，同時(shí)開(kāi)啟雙因素身份認證。

來(lái)源：工業(yè)互聯(lián)網(wǎng)安全應急響應中心