雷鋒網(wǎng)編輯按：作為卡巴斯基實(shí)驗(yàn)室的網(wǎng)絡(luò)安全分析團(tuán)隊，“GReAT”每年都會根據(jù)對全球的網(wǎng)絡(luò)攻擊狀況進(jìn)行研究，發(fā)表針對下一年的威脅預(yù)測。近日，他們發(fā)布了對 2018 年的威脅預(yù)測，雷鋒網(wǎng)選取了部分內(nèi)容進(jìn)行編譯整理。

想看原版的讀者請移步文末點(diǎn)擊參考來源。

會出現(xiàn)更多的供應(yīng)鏈攻擊

如果從防守方來看，企業(yè)或者個人為了保護(hù)自己的網(wǎng)絡(luò)安全，往往使用了強(qiáng)大的網(wǎng)絡(luò)安全防護(hù)體系，用于抵御黑客的 APT （高級持續(xù)性威脅）攻擊。

要知道，對付這些手握豐富武器庫（零日漏洞、無文本攻擊工具等）的黑客，并不是一件容易的事情。

卡巴斯基發(fā)現(xiàn)，在一些 APT攻擊中，由于攻擊目標(biāo)使用了強(qiáng)大的網(wǎng)絡(luò)安全防護(hù)體系，并對員工進(jìn)行了良好的安全教育，使得黑客的攻擊屢屢失敗。

但是，這些黑客并未輕易放棄，一直在尋找方法繼續(xù)入侵。他們重新評估形勢后發(fā)現(xiàn)，“供應(yīng)鏈攻擊”比直接進(jìn)攻更有效。

什么是供應(yīng)鏈攻擊？

簡單來說，就是披著合法軟件外衣的攻擊行為，如影響百萬電腦的暗云Ⅲ惡意軟件，隱藏在正規(guī)刷機(jī)軟件中的異鬼II，以及被爆盜用國內(nèi)某終端管理軟件數(shù)字簽名的 Kuzzle 惡意軟件……很多我們充分信任的軟件都淪陷過，因?yàn)榈谌杰浖赡苁且粋€更容易的目標(biāo)，他們可以利用它來攻擊受到更好保護(hù)的原始目標(biāo)企業(yè)。

在2017年，有這樣一些案例：

Shadowpad

CCleaner

ExPetr / NotPetya

這些攻擊很難識別。例如，在 Shadowpad 的案例中，攻擊者成功地利用Netsarang軟件攜帶惡意軟件程序包，在世界各地傳播，尤其是銀行、大型企業(yè)和其他垂直行業(yè)。

在很多情況下，它們都是命令和控制（C&C）流量，畢竟用戶很難察覺到干凈的程序包和攜帶惡意代碼的程序包的差異。

在CCleaner案例中，估計有超過200萬臺電腦被感染，這使它成為2017年最大的供應(yīng)鏈攻擊之一。

研究人員分析了惡意的CCleaner代碼后，將它與其他一些已知的后門程序聯(lián)系起來，這些后門程序被APT組織“Axiom umbrella”（APT17，也叫Aurora）使用過。這證明了APT組織愿意為了實(shí)現(xiàn)其目標(biāo)拉長戰(zhàn)線。

“GReAT”認(rèn)為，目前的“供應(yīng)鏈攻擊”數(shù)量可能比我們了解到的要高得多，只是這些還沒有被暴露出來。

會出現(xiàn)更多高端的移動惡意軟件

2016 年 8 月，CitizenLab 和 Lookout 公司公布了一份名為“Pegasus”的移動間諜平臺的分析報告。

Pegasus 是一款所謂的“合法攔截”軟件套件，被一家名為“NSO Group”的以色列公司出售給政府和其他實(shí)體企業(yè)。

Pegasus 能結(jié)合多個零日漏洞，遠(yuǎn)程繞過 iOS 等系統(tǒng)的安全防御。它被認(rèn)為是目前為止最危險的間諜軟件之一，可以通過短信息進(jìn)行控制，并具有自毀功能。此外，它還能抓取大量通信數(shù)據(jù)、WhatsApp 通話和消息記錄、以及來自 Gmail、Facebook、Skype 和 Twitter 等有價值的數(shù)據(jù)。除此之外，它還能控制設(shè)備的攝像頭和麥克風(fēng)，并記錄鍵盤，捕獲截圖。

總之，如果你的手機(jī)被這款惡意軟件所控制，絕對可以上演一部現(xiàn)實(shí)版《楚門的世界》。

除Pegasus 外，許多其他APT組織也開發(fā)了專屬的移動惡意軟件。由于iOS是一個特殊的操作系統(tǒng)，用戶很難檢查他們的手機(jī)是否被感染。

總之，由于遙測技術(shù)的缺陷，一些移動惡意軟件難以被發(fā)現(xiàn)和根除，現(xiàn)還未被發(fā)現(xiàn)的移動惡意軟件的總數(shù)，可能比已經(jīng)公布的要多。

會出現(xiàn)更多類似 BeEF 的 web 框架分析工具

隨著網(wǎng)絡(luò)安全意識的不斷提高，各大互聯(lián)網(wǎng)公司都擁有了強(qiáng)大的安全團(tuán)隊，這致使零日漏洞的發(fā)現(xiàn)越來越難，價格也在近兩年水漲船高。

例如，世界著名漏洞軍火商 Zerodium 最近表示愿意出價150萬美元購買一套完整的 iPhone（iOS）持續(xù)性攻擊的遠(yuǎn)程越獄漏洞，即在沒有任何用戶交互的情況下，遠(yuǎn)程感染目標(biāo)設(shè)備?，F(xiàn)在，你估計會對黑客陳良有不一樣的認(rèn)識了吧，黑客陳良首次揭秘如何越獄 iPhone X ：喬布斯的蘋果終有缺口。

這也意味著，攻擊者在攻擊前需要經(jīng)歷一個更縝密的分析過程。

例如，偵察階段可以強(qiáng)調(diào)識別目標(biāo)、操作系統(tǒng)、插件和其他第三方軟件使用的瀏覽器的準(zhǔn)確版本。

憑借這些信息，攻擊者可以針對目標(biāo)特性調(diào)整他們的開發(fā)方式，交付一個不太敏感的將“1-day”或“N-day”的漏洞，而不是被譽(yù)為“皇冠上的寶石”的“0-day”漏洞。

類似于 Turla、Sofacy 和 Newsbeef 這樣的 APT 組織已把這類分析技術(shù)運(yùn)用得相當(dāng)熟練，其他的APT組織也以其自定義的分析框架而聞名，比如多產(chǎn)的 Scanbox 。

由于分析框架的普遍性和零日漏洞的高昂代價，我們可以估計在2018年使用“BeEF”之類的分析工具包將會增加，更多的黑客團(tuán)隊可能采用公共框架，或者自己開發(fā)工具包。

會出現(xiàn)先進(jìn)的 UEFI 和 BIOS 攻擊

UEFI (統(tǒng)一可擴(kuò)展固件接口)是一種軟件接口，是現(xiàn)代pc機(jī)與操作系統(tǒng)之間的媒介。由英特爾在2005年開發(fā)，正在迅速取代傳統(tǒng)的BIOS標(biāo)準(zhǔn)。這是因?yàn)锽IOS缺乏一些高級特性：例如，安裝并運(yùn)行可執(zhí)行文件、網(wǎng)絡(luò)功能、加密、CPU獨(dú)立架構(gòu)和驅(qū)動程序等能力。

而UEFI可以彌補(bǔ)BIOS缺乏的這些能力，這使得UEFI成為一個有吸引力的平臺，攻擊者也在其中找到許多在BIOS平臺上并不存在的新漏洞。

例如，運(yùn)行自定義可執(zhí)行模塊的能力使得它能夠創(chuàng)建惡意軟件，而由UEFI直接執(zhí)行就能繞過任何反惡意軟件解決方案。

從2015年開始，商業(yè)級的UEFI惡意軟件就已經(jīng)存在了。但是， 到目前為止仍然缺少針對這類惡意軟件的成熟的、可靠的檢測方法。

我們預(yù)計，在2018年，將會看到更多基于UEFI的惡意軟件。

破壞性的攻擊仍在繼續(xù)

從2016年11月開始，卡巴斯基實(shí)驗(yàn)室觀察到一波針對中東地區(qū)多個目標(biāo)的“雨刷攻擊”。

在新的襲擊中使用的惡意軟件是臭名昭著的 Shamoon 蠕蟲病毒的變種，該蠕蟲在2012年襲擊了 Saudi Aramco 和 Rasga s公司，2012年，這種病毒出現(xiàn)時，它的攻擊目標(biāo)是能源企業(yè)或能源部門，它能將受感染 Windows機(jī)器中的數(shù)據(jù)永久刪除。

在襲擊當(dāng)天，一群被稱為“正義之劍”的組織發(fā)布了一份巴氏(Pastebin)信息，并對Saudi Aramco發(fā)動攻擊，并稱此次襲擊是針對沙特王室的一項(xiàng)舉措。

在2016年11月，又發(fā)生了Shamoon 2.0攻擊事件，此次目標(biāo)是沙特阿拉伯多個關(guān)鍵部門和經(jīng)濟(jì)部門。就像之前的變種一樣，Shamoon 2.0“雨刮器”的目標(biāo)是對組織內(nèi)部系統(tǒng)和 設(shè)備進(jìn)行大規(guī)模破壞。

在調(diào)查Shamoon 2.0的攻擊時，卡巴斯基實(shí)驗(yàn)室還發(fā)現(xiàn)了一個以前不為人知的惡意軟件，似乎針對的也是沙特阿拉伯地區(qū)的組織。

我們已經(jīng)把這種新“雨刷器”稱為“StoneDrill”，它很有可能與Newsbeef APT組織存在關(guān)聯(lián)。

除了Shamoon和Stonedrill,發(fā)生在2017年的極具破壞性的攻擊活動還有很多，如ExPetr/ NotPetya攻擊，最初被認(rèn)為是勒索軟件，結(jié)果被證明是一個巧妙偽裝的“雨刷器”。

緊隨其后的另一波“贖金”攻擊，使得受害者幾乎沒有機(jī)會恢復(fù)他們的數(shù)據(jù)，這都是因?yàn)檫@些勒索軟件都被 “雨刷器”巧妙地掩飾了。

關(guān)于“雨刷器即勒索軟件”（wipers as ransomware）這一事實(shí)，在2016年出現(xiàn)的由CloudAtlas APT組織發(fā)起的針對俄羅斯的金融機(jī)構(gòu)的攻擊活動中可以證實(shí)。

在2018年，我們預(yù)計破壞性攻擊活動將繼續(xù)上升，或許還會在網(wǎng)絡(luò)戰(zhàn)中占據(jù)極大地位。

更多的加密系統(tǒng)會被顛覆

在2017年3月，美國國家安全局開發(fā)的 IoT 加密方案提議遭到了 Simo n和 Speck 異體ISO認(rèn)證的質(zhì)疑，這兩項(xiàng)提案都被撤回并推遲了。

2016年8月，Juniper Networks宣布在他們的NetScreen防火墻中發(fā)現(xiàn)了兩個神秘的后門?？赡苁荄ual_EC隨機(jī)數(shù)生成器所使用的常量發(fā)生了細(xì)微的變化，使得攻擊者能夠從NetScreen設(shè)備解密VPN流量。

最初的Dual_EC算法是由國家安全局設(shè)計的，并通過了NIST標(biāo)準(zhǔn)。

早在2013年，路透社(Reuters)的一份報告就顯示，美國國家安全局(NSA)向RSA支付了1000萬美元，把Dual_EC這個脆弱的算法集成到它的加密套件中

即使在2007年就從理論上確定了植入后門程序的可能性，一些公司(包括Juniper)仍采用了不同的常數(shù)集，繼續(xù)使用該算法，這在理論上是安全的。

但是這組不同的常量并不能改變什么，一些APT攻擊者仍會攻擊Juniper，他們會將這些常量更改為一個可以控制和利用的內(nèi)容來解密VPN流量。

這些嘗試并沒有被忽視。在2017年9月，一個國際密碼學(xué)專家小組迫使美國國家安全局放棄了兩種新的加密算法，該組織希望將其標(biāo)準(zhǔn)化。

2017年10月，新聞報道了英飛凌技術(shù)股份公司（Infineon Technologies）在他們使用的硬件芯片加密庫中的一個缺陷。雖然這一漏洞似乎是無意的，但它確實(shí)讓我們對“智能卡、無線網(wǎng)絡(luò)或加密Web流量等日常生活中使用的基礎(chǔ)加密技術(shù)的安全性”產(chǎn)生了質(zhì)疑。

在2018年，我們預(yù)測將會發(fā)現(xiàn)更加嚴(yán)重的加密漏洞，并希望無論是加密算法標(biāo)準(zhǔn)本身還是在具體的實(shí)踐中出現(xiàn)的漏洞都能被修補(bǔ)。

電子商務(wù)領(lǐng)域的身份認(rèn)證危機(jī)

在過去的幾年里，發(fā)生了大規(guī)模的個人信息泄露事件，比如涉及半數(shù)美國人的Equifax 漏洞事件。

雖然許多人已經(jīng)對這些數(shù)據(jù)泄露事件麻木，但需要明白的是，規(guī)?；膫€人信息信息泄露，可能會危及電子商務(wù)的基礎(chǔ)。

欺詐和身份盜用問題是一個長期存在的問題，但當(dāng)基本的身份識別信息泄露如此泛濫時，人們是否會認(rèn)為相關(guān)企業(yè)根本就不可靠呢？

這時，商業(yè)和政府機(jī)構(gòu) (特別是在美國) 將面臨一種選擇，即縮減采用互聯(lián)網(wǎng)運(yùn)營的舒適度，或是采用其他多因素安全解決方案。換句話說，可能以后為了保證安全，用戶體驗(yàn)可能沒那么便捷了。

也許像 ApplePay 這樣的有彈性的替代方案將會成為一種現(xiàn)實(shí)的方式來確保身份和交易，但同時，我們可能會看到，為了實(shí)現(xiàn)繁瑣的官僚程序的現(xiàn)代化和降低運(yùn)營成本，互聯(lián)網(wǎng)的關(guān)鍵作用正在放緩。

會出現(xiàn)更多的路由器和調(diào)制解調(diào)器攻擊

另一個被廣泛忽視的領(lǐng)域是路由器和調(diào)制解調(diào)器。

其實(shí)，路由器已經(jīng)成為各類破解秀中的?？土?，因?yàn)椴徽撌羌依镞€是單位，它都成為了一個必不可少的硬件，，然而這些硬件上面運(yùn)行的專有軟件卻又常處于未打補(bǔ)丁或無人看管的狀態(tài)。

一些攻擊者正是利用這一點(diǎn)，獲取到網(wǎng)絡(luò)持久和隱蔽性訪問權(quán)。

究竟情況有多糟糕，雷鋒網(wǎng)此前進(jìn)行過報道，全球 57 萬臺打印機(jī)端口暴露在物聯(lián)網(wǎng)，打印機(jī)廠商怎么看（內(nèi)附獨(dú)家回復(fù)）。

在某些情況下，攻擊者甚至可以模擬不同的互聯(lián)網(wǎng)用戶，將蹤跡轉(zhuǎn)移到完全不同的網(wǎng)絡(luò)連接地址中。

預(yù)計到2018年，攻擊者對誤導(dǎo)和虛假標(biāo)志的興趣正在不斷增加。對這些設(shè)備進(jìn)行更嚴(yán)格的審查將會有更多的發(fā)現(xiàn)。

社交媒體的政治化作用凸顯

從特朗普身上，大家應(yīng)該都能感受到，社交媒體已經(jīng)逐漸擔(dān)任了重要的政治化角色，不少美國人甚至認(rèn)為，是facebook幫助特朗普贏得了美國大選。

卡巴斯基預(yù)計，社交媒體政治化將會呈現(xiàn)更明顯的濫用趨勢，大型僵尸網(wǎng)絡(luò)將成為更廣泛的政治毒瘤，看來，大家對僵尸粉的厭惡是部分國界的。

總結(jié)

其實(shí)， 每一年的主題和趨勢都不是孤立，翻看前幾年的威脅預(yù)測可以看出，它們相互依賴，無論是個人、企業(yè)還是政府，所面臨的威脅都在不斷增長，能緩解這些威脅的，是高保真威脅情報，以及對于威脅情報的分享和應(yīng)用。

雖然這些預(yù)測涵蓋了高級目標(biāo)威脅的趨勢，但個別行業(yè)將面臨自己獨(dú)特的挑戰(zhàn)。2018年，我們將把目光更多的放在醫(yī)療、汽車、金融服務(wù)、工控安全等部門。

參考來源：securelist、Freebuf

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。