雷鋒網(wǎng)編輯按：作為卡巴斯基實(shí)驗(yàn)室的網(wǎng)絡(luò)安全分析團(tuán)隊(duì)，“GReAT”每年都會(huì)根據(jù)對(duì)全球的網(wǎng)絡(luò)攻擊狀況進(jìn)行研究，發(fā)表針對(duì)下一年的威脅預(yù)測(cè)。近日，他們發(fā)布了對(duì) 2018 年的威脅預(yù)測(cè)，雷鋒網(wǎng)選取了部分內(nèi)容進(jìn)行編譯整理。

想看原版的讀者請(qǐng)移步文末點(diǎn)擊參考來(lái)源。

會(huì)出現(xiàn)更多的供應(yīng)鏈攻擊

如果從防守方來(lái)看，企業(yè)或者個(gè)人為了保護(hù)自己的網(wǎng)絡(luò)安全，往往使用了強(qiáng)大的網(wǎng)絡(luò)安全防護(hù)體系，用于抵御黑客的 APT （高級(jí)持續(xù)性威脅）攻擊。

要知道，對(duì)付這些手握豐富武器庫(kù)（零日漏洞、無(wú)文本攻擊工具等）的黑客，并不是一件容易的事情。

卡巴斯基發(fā)現(xiàn)，在一些 APT攻擊中，由于攻擊目標(biāo)使用了強(qiáng)大的網(wǎng)絡(luò)安全防護(hù)體系，并對(duì)員工進(jìn)行了良好的安全教育，使得黑客的攻擊屢屢失敗。

但是，這些黑客并未輕易放棄，一直在尋找方法繼續(xù)入侵。他們重新評(píng)估形勢(shì)后發(fā)現(xiàn)，“供應(yīng)鏈攻擊”比直接進(jìn)攻更有效。

什么是供應(yīng)鏈攻擊？

簡(jiǎn)單來(lái)說(shuō)，就是披著合法軟件外衣的攻擊行為，如影響百萬(wàn)電腦的暗云Ⅲ惡意軟件，隱藏在正規(guī)刷機(jī)軟件中的異鬼II，以及被爆盜用國(guó)內(nèi)某終端管理軟件數(shù)字簽名的 Kuzzle 惡意軟件……很多我們充分信任的軟件都淪陷過(guò)，因?yàn)榈谌杰浖赡苁且粋€(gè)更容易的目標(biāo)，他們可以利用它來(lái)攻擊受到更好保護(hù)的原始目標(biāo)企業(yè)。

在2017年，有這樣一些案例：

Shadowpad

CCleaner

ExPetr / NotPetya

這些攻擊很難識(shí)別。例如，在 Shadowpad 的案例中，攻擊者成功地利用Netsarang軟件攜帶惡意軟件程序包，在世界各地傳播，尤其是銀行、大型企業(yè)和其他垂直行業(yè)。

在很多情況下，它們都是命令和控制（C&C）流量，畢竟用戶(hù)很難察覺(jué)到干凈的程序包和攜帶惡意代碼的程序包的差異。

在CCleaner案例中，估計(jì)有超過(guò)200萬(wàn)臺(tái)電腦被感染，這使它成為2017年最大的供應(yīng)鏈攻擊之一。

研究人員分析了惡意的CCleaner代碼后，將它與其他一些已知的后門(mén)程序聯(lián)系起來(lái)，這些后門(mén)程序被APT組織“Axiom umbrella”（APT17，也叫Aurora）使用過(guò)。這證明了APT組織愿意為了實(shí)現(xiàn)其目標(biāo)拉長(zhǎng)戰(zhàn)線。

“GReAT”認(rèn)為，目前的“供應(yīng)鏈攻擊”數(shù)量可能比我們了解到的要高得多，只是這些還沒(méi)有被暴露出來(lái)。

會(huì)出現(xiàn)更多高端的移動(dòng)惡意軟件

2016 年 8 月，CitizenLab 和 Lookout 公司公布了一份名為“Pegasus”的移動(dòng)間諜平臺(tái)的分析報(bào)告。

Pegasus 是一款所謂的“合法攔截”軟件套件，被一家名為“NSO Group”的以色列公司出售給政府和其他實(shí)體企業(yè)。

Pegasus 能結(jié)合多個(gè)零日漏洞，遠(yuǎn)程繞過(guò) iOS 等系統(tǒng)的安全防御。它被認(rèn)為是目前為止最危險(xiǎn)的間諜軟件之一，可以通過(guò)短信息進(jìn)行控制，并具有自毀功能。此外，它還能抓取大量通信數(shù)據(jù)、WhatsApp 通話(huà)和消息記錄、以及來(lái)自 Gmail、Facebook、Skype 和 Twitter 等有價(jià)值的數(shù)據(jù)。除此之外，它還能控制設(shè)備的攝像頭和麥克風(fēng)，并記錄鍵盤(pán)，捕獲截圖。

總之，如果你的手機(jī)被這款?lèi)阂廛浖刂?，絕對(duì)可以上演一部現(xiàn)實(shí)版《楚門(mén)的世界》。

除Pegasus 外，許多其他APT組織也開(kāi)發(fā)了專(zhuān)屬的移動(dòng)惡意軟件。由于iOS是一個(gè)特殊的操作系統(tǒng)，用戶(hù)很難檢查他們的手機(jī)是否被感染。

總之，由于遙測(cè)技術(shù)的缺陷，一些移動(dòng)惡意軟件難以被發(fā)現(xiàn)和根除，現(xiàn)還未被發(fā)現(xiàn)的移動(dòng)惡意軟件的總數(shù)，可能比已經(jīng)公布的要多。

會(huì)出現(xiàn)更多類(lèi)似 BeEF 的 web 框架分析工具

隨著網(wǎng)絡(luò)安全意識(shí)的不斷提高，各大互聯(lián)網(wǎng)公司都擁有了強(qiáng)大的安全團(tuán)隊(duì)，這致使零日漏洞的發(fā)現(xiàn)越來(lái)越難，價(jià)格也在近兩年水漲船高。

例如，世界著名漏洞軍火商 Zerodium 最近表示愿意出價(jià)150萬(wàn)美元購(gòu)買(mǎi)一套完整的 iPhone（iOS）持續(xù)性攻擊的遠(yuǎn)程越獄漏洞，即在沒(méi)有任何用戶(hù)交互的情況下，遠(yuǎn)程感染目標(biāo)設(shè)備。現(xiàn)在，你估計(jì)會(huì)對(duì)黑客陳良有不一樣的認(rèn)識(shí)了吧，黑客陳良首次揭秘如何越獄 iPhone X ：?jiǎn)滩妓沟奶O(píng)果終有缺口。

這也意味著，攻擊者在攻擊前需要經(jīng)歷一個(gè)更縝密的分析過(guò)程。

例如，偵察階段可以強(qiáng)調(diào)識(shí)別目標(biāo)、操作系統(tǒng)、插件和其他第三方軟件使用的瀏覽器的準(zhǔn)確版本。

憑借這些信息，攻擊者可以針對(duì)目標(biāo)特性調(diào)整他們的開(kāi)發(fā)方式，交付一個(gè)不太敏感的將“1-day”或“N-day”的漏洞，而不是被譽(yù)為“皇冠上的寶石”的“0-day”漏洞。

類(lèi)似于 Turla、Sofacy 和 Newsbeef 這樣的 APT 組織已把這類(lèi)分析技術(shù)運(yùn)用得相當(dāng)熟練，其他的APT組織也以其自定義的分析框架而聞名，比如多產(chǎn)的 Scanbox 。

由于分析框架的普遍性和零日漏洞的高昂代價(jià)，我們可以估計(jì)在2018年使用“BeEF”之類(lèi)的分析工具包將會(huì)增加，更多的黑客團(tuán)隊(duì)可能采用公共框架，或者自己開(kāi)發(fā)工具包。

會(huì)出現(xiàn)先進(jìn)的 UEFI 和 BIOS 攻擊

UEFI (統(tǒng)一可擴(kuò)展固件接口)是一種軟件接口，是現(xiàn)代pc機(jī)與操作系統(tǒng)之間的媒介。由英特爾在2005年開(kāi)發(fā)，正在迅速取代傳統(tǒng)的BIOS標(biāo)準(zhǔn)。這是因?yàn)锽IOS缺乏一些高級(jí)特性：例如，安裝并運(yùn)行可執(zhí)行文件、網(wǎng)絡(luò)功能、加密、CPU獨(dú)立架構(gòu)和驅(qū)動(dòng)程序等能力。

而UEFI可以彌補(bǔ)BIOS缺乏的這些能力，這使得UEFI成為一個(gè)有吸引力的平臺(tái)，攻擊者也在其中找到許多在BIOS平臺(tái)上并不存在的新漏洞。

例如，運(yùn)行自定義可執(zhí)行模塊的能力使得它能夠創(chuàng)建惡意軟件，而由UEFI直接執(zhí)行就能繞過(guò)任何反惡意軟件解決方案。

從2015年開(kāi)始，商業(yè)級(jí)的UEFI惡意軟件就已經(jīng)存在了。但是， 到目前為止仍然缺少針對(duì)這類(lèi)惡意軟件的成熟的、可靠的檢測(cè)方法。

我們預(yù)計(jì)，在2018年，將會(huì)看到更多基于UEFI的惡意軟件。

破壞性的攻擊仍在繼續(xù)

從2016年11月開(kāi)始，卡巴斯基實(shí)驗(yàn)室觀察到一波針對(duì)中東地區(qū)多個(gè)目標(biāo)的“雨刷攻擊”。

在新的襲擊中使用的惡意軟件是臭名昭著的 Shamoon 蠕蟲(chóng)病毒的變種，該蠕蟲(chóng)在2012年襲擊了 Saudi Aramco 和 Rasga s公司，2012年，這種病毒出現(xiàn)時(shí)，它的攻擊目標(biāo)是能源企業(yè)或能源部門(mén)，它能將受感染 Windows機(jī)器中的數(shù)據(jù)永久刪除。

在襲擊當(dāng)天，一群被稱(chēng)為“正義之劍”的組織發(fā)布了一份巴氏(Pastebin)信息，并對(duì)Saudi Aramco發(fā)動(dòng)攻擊，并稱(chēng)此次襲擊是針對(duì)沙特王室的一項(xiàng)舉措。

在2016年11月，又發(fā)生了Shamoon 2.0攻擊事件，此次目標(biāo)是沙特阿拉伯多個(gè)關(guān)鍵部門(mén)和經(jīng)濟(jì)部門(mén)。就像之前的變種一樣，Shamoon 2.0“雨刮器”的目標(biāo)是對(duì)組織內(nèi)部系統(tǒng)和 設(shè)備進(jìn)行大規(guī)模破壞。

在調(diào)查Shamoon 2.0的攻擊時(shí)，卡巴斯基實(shí)驗(yàn)室還發(fā)現(xiàn)了一個(gè)以前不為人知的惡意軟件，似乎針對(duì)的也是沙特阿拉伯地區(qū)的組織。

我們已經(jīng)把這種新“雨刷器”稱(chēng)為“StoneDrill”，它很有可能與Newsbeef APT組織存在關(guān)聯(lián)。

除了Shamoon和Stonedrill,發(fā)生在2017年的極具破壞性的攻擊活動(dòng)還有很多，如ExPetr/ NotPetya攻擊，最初被認(rèn)為是勒索軟件，結(jié)果被證明是一個(gè)巧妙偽裝的“雨刷器”。

緊隨其后的另一波“贖金”攻擊，使得受害者幾乎沒(méi)有機(jī)會(huì)恢復(fù)他們的數(shù)據(jù)，這都是因?yàn)檫@些勒索軟件都被 “雨刷器”巧妙地掩飾了。

關(guān)于“雨刷器即勒索軟件”（wipers as ransomware）這一事實(shí)，在2016年出現(xiàn)的由CloudAtlas APT組織發(fā)起的針對(duì)俄羅斯的金融機(jī)構(gòu)的攻擊活動(dòng)中可以證實(shí)。

在2018年，我們預(yù)計(jì)破壞性攻擊活動(dòng)將繼續(xù)上升，或許還會(huì)在網(wǎng)絡(luò)戰(zhàn)中占據(jù)極大地位。

更多的加密系統(tǒng)會(huì)被顛覆

在2017年3月，美國(guó)國(guó)家安全局開(kāi)發(fā)的 IoT 加密方案提議遭到了 Simo n和 Speck 異體ISO認(rèn)證的質(zhì)疑，這兩項(xiàng)提案都被撤回并推遲了。

2016年8月，Juniper Networks宣布在他們的NetScreen防火墻中發(fā)現(xiàn)了兩個(gè)神秘的后門(mén)。可能是Dual_EC隨機(jī)數(shù)生成器所使用的常量發(fā)生了細(xì)微的變化，使得攻擊者能夠從NetScreen設(shè)備解密VPN流量。

最初的Dual_EC算法是由國(guó)家安全局設(shè)計(jì)的，并通過(guò)了NIST標(biāo)準(zhǔn)。

早在2013年，路透社(Reuters)的一份報(bào)告就顯示，美國(guó)國(guó)家安全局(NSA)向RSA支付了1000萬(wàn)美元，把Dual_EC這個(gè)脆弱的算法集成到它的加密套件中

即使在2007年就從理論上確定了植入后門(mén)程序的可能性，一些公司(包括Juniper)仍采用了不同的常數(shù)集，繼續(xù)使用該算法，這在理論上是安全的。

但是這組不同的常量并不能改變什么，一些APT攻擊者仍會(huì)攻擊Juniper，他們會(huì)將這些常量更改為一個(gè)可以控制和利用的內(nèi)容來(lái)解密VPN流量。

這些嘗試并沒(méi)有被忽視。在2017年9月，一個(gè)國(guó)際密碼學(xué)專(zhuān)家小組迫使美國(guó)國(guó)家安全局放棄了兩種新的加密算法，該組織希望將其標(biāo)準(zhǔn)化。

2017年10月，新聞報(bào)道了英飛凌技術(shù)股份公司（Infineon Technologies）在他們使用的硬件芯片加密庫(kù)中的一個(gè)缺陷。雖然這一漏洞似乎是無(wú)意的，但它確實(shí)讓我們對(duì)“智能卡、無(wú)線網(wǎng)絡(luò)或加密Web流量等日常生活中使用的基礎(chǔ)加密技術(shù)的安全性”產(chǎn)生了質(zhì)疑。

在2018年，我們預(yù)測(cè)將會(huì)發(fā)現(xiàn)更加嚴(yán)重的加密漏洞，并希望無(wú)論是加密算法標(biāo)準(zhǔn)本身還是在具體的實(shí)踐中出現(xiàn)的漏洞都能被修補(bǔ)。

電子商務(wù)領(lǐng)域的身份認(rèn)證危機(jī)

在過(guò)去的幾年里，發(fā)生了大規(guī)模的個(gè)人信息泄露事件，比如涉及半數(shù)美國(guó)人的Equifax 漏洞事件。

雖然許多人已經(jīng)對(duì)這些數(shù)據(jù)泄露事件麻木，但需要明白的是，規(guī)模化的個(gè)人信息信息泄露，可能會(huì)危及電子商務(wù)的基礎(chǔ)。

欺詐和身份盜用問(wèn)題是一個(gè)長(zhǎng)期存在的問(wèn)題，但當(dāng)基本的身份識(shí)別信息泄露如此泛濫時(shí)，人們是否會(huì)認(rèn)為相關(guān)企業(yè)根本就不可靠呢？

這時(shí)，商業(yè)和政府機(jī)構(gòu) (特別是在美國(guó)) 將面臨一種選擇，即縮減采用互聯(lián)網(wǎng)運(yùn)營(yíng)的舒適度，或是采用其他多因素安全解決方案。換句話(huà)說(shuō)，可能以后為了保證安全，用戶(hù)體驗(yàn)可能沒(méi)那么便捷了。

也許像 ApplePay 這樣的有彈性的替代方案將會(huì)成為一種現(xiàn)實(shí)的方式來(lái)確保身份和交易，但同時(shí)，我們可能會(huì)看到，為了實(shí)現(xiàn)繁瑣的官僚程序的現(xiàn)代化和降低運(yùn)營(yíng)成本，互聯(lián)網(wǎng)的關(guān)鍵作用正在放緩。

會(huì)出現(xiàn)更多的路由器和調(diào)制解調(diào)器攻擊

另一個(gè)被廣泛忽視的領(lǐng)域是路由器和調(diào)制解調(diào)器。

其實(shí)，路由器已經(jīng)成為各類(lèi)破解秀中的?？土?，因?yàn)椴徽撌羌依镞€是單位，它都成為了一個(gè)必不可少的硬件，，然而這些硬件上面運(yùn)行的專(zhuān)有軟件卻又常處于未打補(bǔ)丁或無(wú)人看管的狀態(tài)。

一些攻擊者正是利用這一點(diǎn)，獲取到網(wǎng)絡(luò)持久和隱蔽性訪問(wèn)權(quán)。

究竟情況有多糟糕，雷鋒網(wǎng)此前進(jìn)行過(guò)報(bào)道，全球 57 萬(wàn)臺(tái)打印機(jī)端口暴露在物聯(lián)網(wǎng)，打印機(jī)廠商怎么看（內(nèi)附獨(dú)家回復(fù)）。

在某些情況下，攻擊者甚至可以模擬不同的互聯(lián)網(wǎng)用戶(hù)，將蹤跡轉(zhuǎn)移到完全不同的網(wǎng)絡(luò)連接地址中。

預(yù)計(jì)到2018年，攻擊者對(duì)誤導(dǎo)和虛假標(biāo)志的興趣正在不斷增加。對(duì)這些設(shè)備進(jìn)行更嚴(yán)格的審查將會(huì)有更多的發(fā)現(xiàn)。

社交媒體的政治化作用凸顯

從特朗普身上，大家應(yīng)該都能感受到，社交媒體已經(jīng)逐漸擔(dān)任了重要的政治化角色，不少美國(guó)人甚至認(rèn)為，是facebook幫助特朗普贏得了美國(guó)大選。

卡巴斯基預(yù)計(jì)，社交媒體政治化將會(huì)呈現(xiàn)更明顯的濫用趨勢(shì)，大型僵尸網(wǎng)絡(luò)將成為更廣泛的政治毒瘤，看來(lái)，大家對(duì)僵尸粉的厭惡是部分國(guó)界的。

總結(jié)

其實(shí)， 每一年的主題和趨勢(shì)都不是孤立，翻看前幾年的威脅預(yù)測(cè)可以看出，它們相互依賴(lài)，無(wú)論是個(gè)人、企業(yè)還是政府，所面臨的威脅都在不斷增長(zhǎng)，能緩解這些威脅的，是高保真威脅情報(bào)，以及對(duì)于威脅情報(bào)的分享和應(yīng)用。

雖然這些預(yù)測(cè)涵蓋了高級(jí)目標(biāo)威脅的趨勢(shì)，但個(gè)別行業(yè)將面臨自己獨(dú)特的挑戰(zhàn)。2018年，我們將把目光更多的放在醫(yī)療、汽車(chē)、金融服務(wù)、工控安全等部門(mén)。

參考來(lái)源：securelist、Freebuf

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。