01 反响最大的数据泄露事件-Facebook

2018年3月,媒体爆出Facebook数据泄露丑闻。一家名为剑桥分析(CambridgeAnalytica)的英国数据公司与AleksandrKogan合作,开发了一款名为“this is your digital life”的性格测试应用,发布在Facebook。通过有偿征集的方式,获取了27万的用户数据(此小程序涉嫌抄袭剑桥学者MichalKosinski与Stillwell的研究成果),并通过这27万种子数据收集了用户好友在内的近5000万用户信息。

2018年4月,Facebook通知了其平台上的8700万名用户,称他们的数据已经遭到泄露。

消息传开后,舆论的矛头指向了Facebook,相关报道指出泄露的数据被拿来“用户画像”且直接影响了美国大选和英国脱欧(可信度仍有待考证),Facebook也因此股价大跌,市值蒸发超过700亿美元。甚至有很多人发起了删除Facebook账号的行动。

后续,随着对Facebook应用程序更深入审查,发现CambridgeAnalytica的丑闻或许只是冰山一角。6月27日,安全研究员IntiDeCeukelaire透露了另一个名为Nametests.com的应用程序,已经暴露了超过1.2亿用户的信息。

小编点评

Facebook本身并没有黑客入侵,也未出售用户数据,而AleksandrKogan把“研究”研究名义得来的数据进行"二次买卖"并用于非学术领域,既违背了与Facebook的安全协议,也违背了与参与者之间的用户协议;

2018上半年发生了大量数据泄露事件。根据ITRC的行业总结报告,单是2018年第一季度和第二季度泄露的数据数量已经超过了2017年全年数据泄露数量的总和。而在个人信息泛滥的今天,社交媒体俨然成为易受攻击的目标。细细想来,从收到的诈骗短信和垃圾短信数量,我们的个人信息早已赤裸裸的暴露在互联网上了。

在此提醒广发网民提高个人安全意识,不要轻易授权第三方app访问您的手机通讯录、地理位置、照片等隐私信息,给个人信息安全加上一层“防盗门”。

02 曝光次数最多的APT组织-Lazarus

LazarusGroup被认为是具有朝鲜背景的APT组织,美国DHS通常将该组织的攻击行动称为“HiddenCobra”。该组织长期对韩国、美国进行渗透攻击,其历史攻击活动主要围绕地缘政治因素的情报窃取,后续活动瞄准了全球范围内的金融及数字货币交易机构,以窃取资金和数字货币为目的。虽不能却确定为最活跃的,却无疑是2018上半年曝光次数最多的APT组织。

2018上半年已披露的活动迹象:

  • 2018年1月-APT组织Lazarus更新利用工具Ratankba实施加密货币窃取

  • 2018年2月-LazarusGroup开始进攻土耳其金融行业

  • 2018年3月-Lazarus开展名为OperationGhostSecret的系列攻击活动

  • 2018年4月-泰国CERT公开发布朝鲜HiddenCobra组织的行动预警

  • 2018年4月-Lazarus针对南美多个银行发起攻击,包括墨西哥银行和智利银行等

  • 2018年5月-美国CERT发布了关于HIDDENCOBRA组织使用的RAT和一个SMB蠕虫预警

  • 2018年6月-研究人员发现朝鲜APT组织Andariel(Lazarus的分支)利用ActiveX0day实施攻击

  • 2018年6月-美国CERT再次发布HIDDENCOBRA使用的Typeframe恶意软件预警

    (数据来源:天际友盟RedQueen情报平台)

小编点评

APT(AdvancedPersistentThreats)攻击早已成为业界公认的后果严重又影响深远的高级网络威胁。其背后的团体资金充足,人员配备整齐,还有不少在军事或国家情报机构的支持下运作。诚然,网络空间早已成各大国之间相互博弈的新战场。

中国也是APT攻击的主要受害国。2018上半年,中国各地区均遭受过不同程度的高级网络攻击,无论沿海还是内陆都无一幸免。依据天际友盟RedQueen平台展示的情报态势分布图,北京、广州、台湾、香港地区称得上受影响程度最深的重灾区。

(图片来源:天际友盟RedQueen情报平台)

03 影响范围最广的安全漏洞-Meltdown和Spectre

今年1月,Google的ProjectZero团队称他们发现了Meltdown和Spectre两个CPU级别的漏洞。Meltdown对应CVE-2017-5754(乱序执行缓存污染)影响几乎所有的IntelCPU和部分ARMCPU;Spectre对应CVE-2017-5753(边界检查绕过)与CVE-2017-5715(分支目标注入),影响所有的IntelCPU和AMDCPU,以及主流的ARMCPU。

两组漏洞影响的设备类型涵盖个人电脑、服务器、云计算服务器以及移动端的智能手机,操作系统包括包括Windows,Android,MacOS,IOS,Linux(Redhat/Debian/Ubuntu/Suse)等。

小编点评

自漏洞爆出之日起,各大厂商纷纷开始紧急自查,并快马加鞭发布安全更新。在此提醒广大网友及时前往各官方平台进行修复:)

手动整理补丁地址(硬件级别)

Intel

https://software.intel.com/en-us/node/754742?wapkw=cve-2017-5754

ARM

https://developer.arm.com/support/arm-security-updates

AMD

https://www.amd.com/en/corporate/speculative-execution

Nvidia

https://www.nvidia.com/en-us/product-security/

04 最常被用到的的网络攻击手段—钓鱼攻击

2018上半年,犯罪分子积极利用GDPR、世界杯和加密货币等主题,将恶意链接散布在各种社交媒体平台,搜索引擎、APP营销广告中吸引用户上钩,单就第二季度来说,中国网络钓鱼攻击的用户比例高达14.77%,居第二位。

图片来源:卡巴斯基实验室

2018上半年已披露的网络钓鱼事件:

  • 2018年1月-俄罗斯“兵风暴(PawnStorm)"间谍活动利用网络钓鱼攻击政府部门

  • 2018年1月-Dridex银行木马盗用FTP站点钓鱼法国、英国及澳大利亚地区

  • 2018年2月-网络间谍活动盯上土耳其国防承包商,伪装政府征税部门实施钓鱼攻击

  • 2018年3月-APT组织OceanLotus利用网络钓鱼传递新后门

  • 2018年3月-俄罗斯400多家工业企业遭遇网络钓鱼攻击

  • 2018年3月-新一轮钓网络钓鱼来袭,伪造Dropbox网站链接传播TrickBot变体

  • 2018年4月-世界杯赛事尚未开始,网络诈骗活动就已层出不穷

  • 2018年4月-韩国出现假冒金融委员会的公文邮件的钓鱼攻击活动

  • 2018年5月-研究团队发现针对俄罗斯服务中心的钓鱼攻击活动

  • 2018年5月-网络钓鱼活动盯上中东高级官员,利用定制的监控软件感染安卓设备

    (数据来源:天际友盟RedQueen情报平台)

小编点评

网络钓鱼可谓老生常谈,却仍是攻击者屡试不爽的惯用手法。他们会在有趣的视频、故事、照片和优惠信息中加入恶意的URL连接,将受害者诱骗到疑似官方网站的假站点,诱导用户输入个人信息,从而达到盗取隐私信息的或是分发恶意程序的目的,再通过人们自愿、无意识的二次推广,危害到更多安全意识薄弱的用户。

在此提醒广大网友谨慎点击陌生来源的邮件附件,谨慎点击网页及客户端中的广告链接;安装防病毒软件并及时更新病毒资源库:)

05 中国占据最大份额的攻击类型-DDoS攻击

DDos攻击(DDoS:DistributedDenialofService)指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。它通过大量合法的请求占用大量网络资源,可以达到瘫痪网络的目的。

2018年上半年,DDoS攻击对于互联网安全的威胁进一步加剧,尤其第二季度称得上DDos攻击的“暴风期”,中国保持了攻击次数的最高点(占比59.03%,第一季度占比59.42%),香港地区更是从第四名上升至第二名(占比17.13%),市场份额较第一季度增长了近五倍。除此之外,中国的攻击目标数量也居首位,黑客们“乐此不疲”地利用软件及应用程序中的新的或被遗忘的旧漏洞来放大DDoS攻击。较17年来说,DDoS攻击的比例和强度均在增加,就行业而言,攻击电竞、直播或将成为新趋势。

图片来源:卡巴斯基实验室

小编点评

针对家庭用户的DDoS攻击相对简单却很难盈利,针对公司的攻击有利可图却很复杂。现在,攻击者似乎找到了一种方法,通过充分利用人流量大的游戏行业和主流媒体来打破这种僵局。以日益流行的电子竞技比赛为例,比赛中胜利者会赢得几十万甚至上百万美元,决赛场地会选在具有屏幕和看台的特殊场所,但资格赛的比拼通常在家进行。在这种情况下,一个精心策划的DDoS攻击能轻易使战队在比赛初期就出局,除此,比赛期间的服务器也可能成为攻击目标,遭受赎金威胁。主流媒体就更不用赘述,直播平台聚集的大量人流与“赏金”无疑产生了巨大的吸引力。在预算有限的情况下,建议各企业优先从自身架构和服务器上下功夫,减缓DDoS攻击造成的影响:)

06 最新兴的网络技术手段—无文件攻击

常用的“无文件”技术是利用存在缺陷的应用程序,将代码注入正常的系统进程,从而获得访问权,并在目标设备执行命令,而不被察觉。一旦完成初始攻击,攻击者便可滥用PowerShell等工具继续逃避杀软检测,在“光天化日下”提权,以实现网络中的横向活动,并且通过修改注册表保持其持久性。拒不完全统计,2018年至今发生的重大攻击事件中,有77%的组织采用了无文件的攻击方式进行入侵。

2018上半年已披露无文件攻击活动:

  • 2018年2月-CactusTorch无文件攻击滥用.NET程序来感染受害者

  • 2018年4月-恶意软件“Rozena”采用无文件攻击方式入侵Windows操作系统

  • 2018年4月-恶意挖矿软件PowerGhost利用无文件攻击感染受害者

  • 2018年5月-GandCrab2.1版本来袭,利用Magnitude漏洞开展无文件攻击活动

  • 2018年6月-黑客组织CodeFork利用无文件攻击分发MoneroMiner

  • 2018年6月-研究团队发现通过USB开展无文件攻击,传播恶意软件BKDR_ANDROM.ETIN

    (数据来源:天际友盟RedQueen情报平台)

小编点评

病毒与杀软的博弈一直在进行,随着杀软杀毒能力的不断提升,病毒对抗也在持续加强。面对攻防技术的日新月异,无文件攻击作为一种较新型攻击手段,正逐步扩大影响力。在此提醒广大不经常使用宏代码的网友,可以通过禁用宏来从起点消除“无文件”攻击的威胁;企业也需及时更新操作系统及应用程序进行预防,修复不可行的情况下,企业应隔离这些系统防止潜在攻击扩散:)

07 收益最可观的网络攻击方式-挖矿攻击

经检测,2018年上半年,加密货币挖矿恶意软件相较其他恶意软件数量飙至顶峰,取代了数量大幅下降的勒索软件,成为头号威胁。2017年比特币价值高达20,000美元,成为加密攻击的主要目标,2018年第一季度,挖矿攻击增加到2890万,占第一季度所有恶意软件事件的10%。加密货币恶意软件的变种数量也从1月份的93,750增加到3月份的127,000(数据来源:Comodo网络安全威胁研究实验室)。2018年第二季度挖矿攻击虽有所减少,但也占据着网络犯罪的主导地位。

与以往挖矿木马相比,2018上半年挖矿木马具有以下的特征:

  • 游戏外挂成挖矿木马“重灾区”:众所周知,挖矿需要高性能的电脑,今年大热的《绝地求生》就因其前期优化等问题迫使玩家不得不升级自己的电脑,而这一批拥有高性能电脑的玩家无疑成为了挖矿者眼中的免费旷工,据腾讯2018年1月统计,一款名为tlMiner的挖矿木马单日影响机器量最高可达20万台;

  • 网页挖矿开始大范围传播:因杀毒软件的存在,许多挖矿木马文件一进入用户电脑就可能被拦截;网页挂马算得上是一种高效率的传播方式,2018年类似“CoinHive”的网页挖矿变现平台开始层出不穷,数百万级的网站被黑产团伙利用web漏洞植入挖矿代码。

  • 僵尸网络云端挖矿也逐渐流行:短时间内的大范围挖矿,除了网页挂马,最普遍的作法就是控制肉鸡电脑组建僵尸网络挖矿,服务器性能强、24小时在线的特征吸引更多不法矿工把攻击目标转向了云端挖矿;

小编点评

加密货币挖掘恶意软件为勒索软件提供了一种更隐蔽,更有效的替代方案。当攻击者可以劫持他们的计算机的CPU能力直接挖掘加密货币时,为什么还要试图勒索受害者?在此提醒广大网友不要浏览非法(明显具有诱惑性的)网站;定期清理浏览器,清除所有的本地缓存,查杀病毒:)

08 最受攻击者关注的攻击目标-IOT物联网设备

2018年,以物联网(IoT)设备为目标和源头的攻击活动开始占据新闻头条。当前市场上的大多数物联网设备使用的是嵌入式linux系统,攻击者可以通过各种未修复漏洞进行系统漏洞利用,获取系统相关服务的认证口令。抛开这些软件缺陷来说,物联网终端的一系列存储介质、加密手段、人机交互相关的硬件接口都有可能成为被攻击目标。

2018上半年已披露的物联网设备遭到攻击的事件:

  • 2018年3月-僵尸网络Mirai变种盗用多个物联网设备攻击欧洲金融行业

  • 2018年4月-巴西黑客组织感染无线路由MikroTik,针对物联网设备开展系列攻击

  • 2018年5月-恶意挖矿软件PyRoMineIoT利用NSA漏洞感染物联网设备

  • 2018年6月-Satori僵尸网络回归,利用CVE-2018-10088漏洞攻击国产物联网设备

  • 2018年6月-警惕Mirai和Gafgyt僵尸网络新活动,利用物联网设备发动DDoS攻击

  • 2018年7月-Hide'NSeek:从路由器到智能家居,物联网设备漏洞成网络攻击首要目标

  • 2018年7月-五亿物联网设备易受DNS重新绑定攻击

    (数据来源:天际友盟RedQueen情报平台)

小编点评

物联网安全的问题众所周知,网络安全市场也在不断做出反应和调整。就制造商而言,在生产产品时需提高产品的安全性能,就运营商来说,也需及时检测和管理这些设备的数据流向,企业用户则更应该提高安全意识,了解物联网设备对基础设施和资产带来风险。

2017下半年,伴随着物联网设备数量的不断增加,预计遭遇到的攻击事件也会只增不减。当前许多企业所使用的物联网设备都还没有做好准备。在此提醒各企业,只有采取主动的、全面的措施来这些巩固产品的安全性,才可以期待免受下一波攻击的影响:)

声明:本文来自天际友盟情报站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。