欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

赛门铁克年度分析《互联网安全威胁报告》精华版

来源:本站整理 作者:佚名 时间:2017-06-04 TAG: 我要投稿

5月初,赛门铁克基于其全球安全情报网络(GIN)在2016年对157个国家/地区收集到的威胁数据,发布了最新的年度安全分析报告——《互联网安全威胁报告》(ISTR)。

今年的ISTR报告主要从针对性攻击、恶意邮件及利用工具、针对金融行业的网络犯罪、勒索软件、物联网安全以及云端威胁等领域对年度全球网络攻击/犯罪和安全威胁态势进行分析。现小编将报告的核心观点整理如下。
一、针对性攻击两大趋势:破坏性和颠覆性
通过对全球2016年发生的诸如乌克兰停电重大“针对性攻击”事件的监测与分析,赛门铁克认为,2016年发生的针对性攻击主要可以分为两大类:
针对电力等能源行业关键IT基础设施的“破坏性”攻击
通过黑客入侵导致数据泄露以影响政治格局的“颠覆性”攻击
其中,破坏性攻击的典型代表,便是针对沙特等波斯湾地区国家的能源基础设施发动攻击,以鱼叉式网络钓鱼为跳板,最终实现硬盘数据擦除的从而达到破坏目的的Shamoon;而颠覆性攻击的典型,则是今年美国大选前后,由俄罗斯黑客对美国民主党委员会(DNC)进行渗透,并将其内部数据公之于众以扰乱美国大选格局的黑客组织 Fancy Bear和Cozy Bear。

2016年针对性攻击事件时间线
二、电子邮件成为首选攻击载体
1. 钓鱼&BEC攻击
携有恶意附件的电邮,(鱼叉式)钓鱼甚至是更有针对性的钓鲸攻击,是所有企业近几年最头痛的安全问题之一。据赛门铁克的统计,近三年恶意邮件占邮件总数比例的不断走高,从2015年的1/220到2016年1/131几乎增长了一倍。其中,2016年钓鱼邮件的占比为1/2596。
对于日益增长针对企业高管的BEC攻击,赛门铁克估计过去三年全球受害者超过22,000名,仅FBI记录在案的损失就高达30亿美金。而其中,近一半电邮地址是来自尼日利亚的IP。
在BEC攻击的关键词方面,出现频率最高的是“Request”,占比高达1/4,“Payment”和“Urgent”次之,分别为15%和10%。

BEC攻击关键词
而在典型的恶意欺骗邮件方面,赛门铁克给出关键词的前三位则是“Invoice”、“Document”和“Scan”,占比依次为26%、13%、12%。也就是说,平均每两封恶意欺诈邮件就会有一封出现这三个词汇中的一个。

恶意欺诈邮件关键词
2. Office宏、wsf、PowerShell等恶意脚本附件
同时,赛门铁克还发现,多数用户对电邮中的“Office附件”,尤其是对某些恶意宏(Macros)的启用毫无戒心。
据统计, 附在Word文档的恶意宏——W97M.Downloader及其变种是2016年最流行的下载器,并可通过电邮传递诸如Dridex木马等恶意软件。
同时,Windows系统下的脚本文件(wsf),也被作为JS下载器,在2016年的6月到7月,以及11月到12月,携有恶意wsf附件的邮件规模出现快速的增长。
特别,在对Office宏和wsf文档的恶意利用方面,通过这种方式感染Lockey的事件在2016年年末形成了一次小规模的爆发,扩散速度一度达到了每小时4000名新感染者。
除此之外,拥有强大脚本语言支持和shell框架的PowerShell已经成为了恶意软件感染链中的重要一环。
因为PowerShell本身是Windows计算机默认安装的,而又不会有企业要求员工去刻意禁用它,这使得恶意的PowerShell活动变得非常非常普遍。脚本文件更容易隐藏攻击者的恶意意图。同时,PowerShell还允许恶意载荷绕过一般恶意软件的硬盘写入过程而直接从内存中执行。这些无疑使得攻击者更难以被追踪。
一个典型的攻击流程是:
员工收到包含“Invoice”或“Bill”字样的电邮->邮件中包含如office宏、JS等脚本->诱导收到该邮件的员工执行宏文件或执行PowerShell来下载或执行最终恶意载荷->PC中招(可能是勒索病毒、木马等恶意软件)
三、银行劫案:针对金融行业的恶意木马&SWIFT攻击
在针对在线银行的网络犯罪方面,虽然后起之秀——勒索软件将会占据越来越多的优势,但2016年最令人担心的还是针对银行的木马病毒和SWIFT攻击。
首先在木马病毒方面,赛门铁克观测到的前五大针对金融的木马威胁是:Ramnit、Bebloh、Zbot、Snifula和Cridex。其中,通过电邮在英国大肆传播的Ramnit,受感染机器数量已经超过46万台。

前十大金融木马
而针对孟加拉中央银行SWIFT系统实施的银行劫案,则更令众人关注。
2016年初,攻击者利用入侵孟加拉央行系统偷来的SWIFT凭证,以及专为篡改银行系统的转账确认信息开发,用于掩盖攻击者欺诈行为的恶意软件,并选择在周末发起攻击,最终成功将8100万美金从孟加拉转至菲律宾。
据赛门铁克分析,此次攻击者使用的方法是建立在对SWIFT系统的深入了解的基础上的,并且是第一次与民族国家有关的黑客组织(注:赛门铁克认为在这起攻击中所使用的恶意软件Trojan.Banswift与黑客组织Lazarus 有关,而Lazarus的背后支持者FBI声称正是朝鲜政府。)参与到大规模针对金融行业的网络犯罪。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载