01 更多的供應(yīng)鏈攻擊

卡巴斯基實(shí)驗(yàn)室的全球研究和分析團(tuán)隊(duì)追蹤了超過100個(gè)APT(高級(jí)持續(xù)性威脅)的組織，發(fā)現(xiàn)有一些的攻擊活動(dòng)非常復(fù)雜，他們不僅擁有廣泛的武器庫，包括零日漏洞，無文本攻擊工具等，并將傳統(tǒng)的黑客攻擊復(fù)雜化去實(shí)現(xiàn)數(shù)據(jù)滲透的目的。

在APT攻擊中，常有高級(jí)威脅行為者試圖破壞某個(gè)目標(biāo)，卻不斷失敗的案例。這是因?yàn)樗麄兊墓裟繕?biāo)使用了強(qiáng)大的網(wǎng)絡(luò)安全防護(hù)體系，對(duì)員工進(jìn)行了良好的安全教育，或者遵循了諸如澳大利亞的DSD TOP35之類的防御策略。

但是，高級(jí)APT攻擊組織的威脅行為者是不會(huì)輕易放棄的，他們會(huì)一直尋找方法入侵。

當(dāng)一切嘗試都失敗時(shí)，他們可能會(huì)后退一步，重新評(píng)估形勢(shì)。在重新評(píng)估中，威脅行為者會(huì)發(fā)現(xiàn)“供應(yīng)鏈攻擊”比直接進(jìn)攻更有效。

攻擊目標(biāo)即使使用了第三方軟件，構(gòu)建了世界上最好的網(wǎng)絡(luò)防御系統(tǒng)也無濟(jì)于事，因?yàn)榈谌杰浖赡苁且粋€(gè)更容易的目標(biāo)，他們可以利用它來攻擊受到更好保護(hù)的原始目標(biāo)企業(yè)。

在2017年，有這樣一些案例，包括但不限于：

這些攻擊很難識(shí)別。例如，在Shadowpad的案例中，攻擊者成功地利用Netsarang軟件攜帶惡意軟件程序包，在世界各地傳播，尤其是銀行、大型企業(yè)和其他垂直行業(yè)。

在很多情況下，它們都是命令和控制（C&C）流量，畢竟用戶很難察覺到干凈的程序包和攜帶惡意代碼的程序包的差異。

在CCleaner案例中，估計(jì)有超過200萬臺(tái)電腦被感染，這使它成為2017年最大的供應(yīng)鏈攻擊之一。

研究人員分析了惡意的CCleaner代碼后，將它與其他一些已知的后門程序聯(lián)系起來，這些后門程序被APT組織“Axiom umbrella”（APT17，也叫Aurora）使用過。這證明了APT組織愿意為了實(shí)現(xiàn)其目標(biāo)拉長戰(zhàn)線。

綜上所述，目前的“供應(yīng)鏈攻擊”數(shù)量可能比我們了解到的要高得多，只是這些還沒有被暴露出來。

在2018年，我們能預(yù)計(jì)無論是已經(jīng)發(fā)現(xiàn)的還是攻擊到實(shí)際的，在攻擊數(shù)量方面將出現(xiàn)更多的“供應(yīng)鏈攻擊”。

在特定區(qū)域和垂直行業(yè)上使用木馬化專業(yè)軟件，將變成類似于“水坑攻擊”的戰(zhàn)略性選擇。

　　02 更多高端的移動(dòng)惡意軟件

2016年8月，CitizenLab和Lookout公司公布了一份他們發(fā)現(xiàn)的一個(gè)名為“Pegasus”的移動(dòng)間諜平臺(tái)的分析報(bào)告。

Pegasus是一款所謂的“合法攔截”軟件套件，被一家名為“NSO Group”的以色列公司出售給政府和其他實(shí)體企業(yè)。

Pegasus若是結(jié)合多個(gè)零日漏洞，能夠遠(yuǎn)程繞過現(xiàn)代移動(dòng)操作系統(tǒng)（如iOS）的安全防御。

2017年4月，谷歌發(fā)布了其對(duì)Android版本的Pegasus間諜軟件的分析報(bào)告，該軟件名為“Chrysaor”。

除了Pegasus和Chrysaor等“合法監(jiān)視”間諜軟件之外，許多其他APT組織也開發(fā)了專屬的移動(dòng)惡意軟件。

由于iOS是一個(gè)特殊的操作系統(tǒng)，用戶很難檢查他們的手機(jī)是否被感染。

所以，盡管Android的安全漏洞越來越嚴(yán)重，但Android上的情況要更好一些。

綜上所述，由于遙測(cè)技術(shù)的缺陷，使得一些移動(dòng)惡意軟件難以被發(fā)現(xiàn)和根除，所以，目前在野存在的移動(dòng)惡意軟件的總數(shù)可能比已經(jīng)公布的要高。

在2018年，我們預(yù)計(jì)將會(huì)出現(xiàn)針對(duì)移動(dòng)設(shè)備的更高端的APT惡意軟件，畢竟安全檢測(cè)技術(shù)改進(jìn)了，針對(duì)移動(dòng)端的攻擊數(shù)量也在增長中，惡意軟件也需要更高端。

03 更多類似BeEF的web框架分析工具

隨著越來越多的安全和緩解技術(shù)被默認(rèn)部署在操作系統(tǒng)中，零日漏洞的價(jià)格在2016年和2017年急劇上升。

例如，世界著名漏洞軍火商Zerodium最近表示愿意出價(jià)150萬美元購買一套完整的iPhone（iOS）持續(xù)性攻擊的遠(yuǎn)程越獄漏洞，即在沒有任何用戶交互的情況下，遠(yuǎn)程感染目標(biāo)設(shè)備。

一些政府客戶也選擇用驚人的價(jià)格為這些漏洞買單，這意味著人們?cè)絹碓蕉嗟刈⒁獗Ｗo(hù)這些漏洞，以避免意外披露。

這也意味著，攻擊者在攻擊前需要經(jīng)歷一個(gè)更縝密的偵察過程。

例如，偵察階段可以強(qiáng)調(diào)識(shí)別目標(biāo)、操作系統(tǒng)、插件和其他第三方軟件使用的瀏覽器的準(zhǔn)確版本。

憑借這些信息，攻擊者可以針對(duì)目標(biāo)特性調(diào)整他們的開發(fā)方式，交付一個(gè)不太敏感的將“1-day”或“N-day”的漏洞，而不是被譽(yù)為“皇冠上的寶石”的“0-day”漏洞。

類似于Turla、Sofacy和Newsbeef這樣的APT組織已把這類分析技術(shù)運(yùn)用得相當(dāng)熟練，其他的APT組織也以其自定義的分析框架而聞名，比如多產(chǎn)的Scanbox。

由于分析框架的普遍性和零日漏洞的高昂代價(jià)，我們可以估計(jì)在2018年使用“BeEF”之類的分析工具包將會(huì)增加，更多的黑客團(tuán)隊(duì)可能采用公共框架，或者自己開發(fā)工具包。

　　04 先進(jìn)的UEFI和BIOS攻擊

UEFI (統(tǒng)一可擴(kuò)展固件接口)是一種軟件接口，是現(xiàn)代pc機(jī)與操作系統(tǒng)之間的媒介。由英特爾在2005年開發(fā)，正在迅速取代傳統(tǒng)的BIOS標(biāo)準(zhǔn)。這是因?yàn)锽IOS缺乏一些高級(jí)特性：例如，安裝并運(yùn)行可執(zhí)行文件、網(wǎng)絡(luò)功能、加密、CPU獨(dú)立架構(gòu)和驅(qū)動(dòng)程序等能力。

而UEFI可以彌補(bǔ)BIOS缺乏的這些能力，這使得UEFI成為一個(gè)有吸引力的平臺(tái)，攻擊者也在其中找到許多在BIOS平臺(tái)上并不存在的新漏洞。

例如，運(yùn)行自定義可執(zhí)行模塊的能力使得它能夠創(chuàng)建惡意軟件，而由UEFI直接執(zhí)行就能繞過任何反惡意軟件解決方案。

從2015年開始，商業(yè)級(jí)的UEFI惡意軟件就已經(jīng)存在了。但是， 到目前為止仍然缺少針對(duì)這類惡意軟件的成熟的、可靠的檢測(cè)方法。

我們預(yù)計(jì)，在2018年，將會(huì)看到更多基于UEFI的惡意軟件。

　　05 破壞性的攻擊仍在繼續(xù)

從2016年11月開始，卡巴斯基實(shí)驗(yàn)室觀察到一波針對(duì)中東地區(qū)多個(gè)目標(biāo)的“雨刷攻擊”。

在新的襲擊中使用的惡意軟件是臭名昭著的Shamoon蠕蟲病毒的變種，該蠕蟲在2012年襲擊了Saudi Aramco和Rasgas公司。

沉寂了四年，歷史上最神秘的雨刷工具又回來了。Shamoon，也被稱為Disttrack,是一個(gè)具有高度破壞性的惡意軟件家族，它能有效地清除了受害者設(shè)備上的數(shù)據(jù)。

在襲擊當(dāng)天，一群被稱為“正義之劍”的組織發(fā)布了一份巴氏(Pastebin)信息，并對(duì)Saudi Aramco發(fā)動(dòng)攻擊，并稱此次襲擊是針對(duì)沙特王室的一項(xiàng)舉措。

在2016年11月，又發(fā)生了Shamoon 2.0攻擊事件，此次目標(biāo)是沙特阿拉伯多個(gè)關(guān)鍵部門和經(jīng)濟(jì)部門。就像之前的變種一樣，Shamoon 2.0“雨刮器”的目標(biāo)是對(duì)組織內(nèi)部系統(tǒng)和 設(shè)備進(jìn)行大規(guī)模破壞。

在調(diào)查Shamoon 2.0的攻擊時(shí)，卡巴斯基實(shí)驗(yàn)室還發(fā)現(xiàn)了一個(gè)以前不為人知的惡意軟件，似乎針對(duì)的也是沙特阿拉伯地區(qū)的組織。

我們已經(jīng)把這種新“雨刷器”稱為“StoneDrill”，它很有可能與Newsbeef APT組織存在關(guān)聯(lián)。

除了Shamoon和Stonedrill,發(fā)生在2017年的極具破壞性的攻擊活動(dòng)還有很多，如ExPetr/ NotPetya攻擊，最初被認(rèn)為是勒索軟件，結(jié)果被證明是一個(gè)巧妙偽裝的“雨刷器”。

緊隨其后的另一波“贖金”攻擊，使得受害者幾乎沒有機(jī)會(huì)恢復(fù)他們的數(shù)據(jù)，這都是因?yàn)檫@些勒索軟件都被 “雨刷器”巧妙地掩飾了。

關(guān)于“雨刷器即勒索軟件”（wipers as ransomware）這一事實(shí)，在2016年出現(xiàn)的由CloudAtlas APT組織發(fā)起的針對(duì)俄羅斯的金融機(jī)構(gòu)的攻擊活動(dòng)中可以證實(shí)。

在2018年，我們預(yù)計(jì)破壞性攻擊活動(dòng)將繼續(xù)上升，或許還會(huì)在網(wǎng)絡(luò)戰(zhàn)中占據(jù)極大地位。

06 更多的加密系統(tǒng)被顛覆

在2017年3月，美國國家安全局開發(fā)的IoT加密方案提議遭到了Simon和Speck異體ISO認(rèn)證的質(zhì)疑，這兩項(xiàng)提案都被撤回并推遲了。

2016年8月，Juniper Networks宣布在他們的NetScreen防火墻中發(fā)現(xiàn)了兩個(gè)神秘的后門?？赡苁荄ual_EC隨機(jī)數(shù)生成器所使用的常量發(fā)生了細(xì)微的變化，使得攻擊者能夠從NetScreen設(shè)備解密VPN流量。

最初的Dual_EC算法是由國家安全局設(shè)計(jì)的，并通過了NIST標(biāo)準(zhǔn)。

早在2013年，路透社(Reuters)的一份報(bào)告就顯示，美國國家安全局(NSA)向RSA支付了1000萬美元，把Dual_EC這個(gè)脆弱的算法集成到它的加密套件中

即使在2007年就從理論上確定了植入后門程序的可能性，一些公司(包括Juniper)仍采用了不同的常數(shù)集，繼續(xù)使用該算法，這在理論上是安全的。

但是這組不同的常量并不能改變什么，一些APT攻擊者仍會(huì)攻擊Juniper，他們會(huì)將這些常量更改為一個(gè)可以控制和利用的內(nèi)容來解密VPN流量。

這些嘗試并沒有被忽視。在2017年9月，一個(gè)國際密碼學(xué)專家小組迫使美國國家安全局放棄了兩種新的加密算法，該組織希望將其標(biāo)準(zhǔn)化。

2017年10月，新聞報(bào)道了英飛凌技術(shù)股份公司（Infineon Technologies）在他們使用的硬件芯片加密庫中的一個(gè)缺陷。雖然這一漏洞似乎是無意的，但它確實(shí)讓我們對(duì)“智能卡、無線網(wǎng)絡(luò)或加密Web流量等日常生活中使用的基礎(chǔ)加密技術(shù)的安全性”產(chǎn)生了質(zhì)疑。

在2018年，我們預(yù)測(cè)將會(huì)發(fā)現(xiàn)更加嚴(yán)重的加密漏洞，并希望無論是加密算法標(biāo)準(zhǔn)本身還是在具體的實(shí)踐中出現(xiàn)的漏洞都能被修補(bǔ)。

07 電子商務(wù)領(lǐng)域的身份認(rèn)證危機(jī)

在過去的幾年里，發(fā)生了大規(guī)模的的個(gè)人可識(shí)別信息(PII)泄露事件。

最新的數(shù)據(jù)顯示，Equifax的漏洞事件影響了約1.455億美國人。

雖然許多人已經(jīng)對(duì)這些數(shù)據(jù)泄露事件麻木，但需要明白的是，規(guī)?；腜II信息泄露可能會(huì)危及電子商務(wù)的基礎(chǔ)，以及將互聯(lián)網(wǎng)用作重要文書工作的政府機(jī)構(gòu)的安全。

欺詐和身份盜用問題是一個(gè)長期存在的問題，但當(dāng)基本的身份識(shí)別信息泄露如此泛濫時(shí)，人們是否會(huì)認(rèn)為相關(guān)企業(yè)根本就不可靠呢？

這時(shí)，商業(yè)和政府機(jī)構(gòu)(特別是在美國)將面臨一種選擇，即縮減采用互聯(lián)網(wǎng)運(yùn)營的舒適度，或是采用其他多因素安全解決方案。

也許像ApplePay這樣的有彈性的替代方案將會(huì)成為一種現(xiàn)實(shí)的方式來確保身份和交易，但同時(shí)，我們可能會(huì)看到，為了實(shí)現(xiàn)繁瑣的官僚程序的現(xiàn)代化和降低運(yùn)營成本，互聯(lián)網(wǎng)的關(guān)鍵作用正在放緩。

　　08 更多的路由器和調(diào)制解調(diào)器攻擊

另一個(gè)被廣泛忽視的領(lǐng)域是路由器和調(diào)制解調(diào)器。

無論是在家里還是在企業(yè)中都存在這些硬件，它們對(duì)日常運(yùn)營至關(guān)重要，然而這些硬件上面運(yùn)行的專有軟件卻又常處于未打補(bǔ)丁或無人看管的狀態(tài)。

一些攻擊者正是利用這一點(diǎn)，獲取到網(wǎng)絡(luò)持久和隱蔽性訪問權(quán)。

此外，最新研究結(jié)果顯示，在某些情況下，攻擊者甚至可以模擬不同的互聯(lián)網(wǎng)用戶，將蹤跡轉(zhuǎn)移到完全不同的網(wǎng)絡(luò)連接地址中。

2018年，可以預(yù)計(jì)，攻擊者對(duì)誤導(dǎo)和虛假標(biāo)志的興趣正在不斷增加。對(duì)這些設(shè)備進(jìn)行更嚴(yán)格的審查將會(huì)有更多的發(fā)現(xiàn)。

　　09 社交媒體的政治化作用凸顯

在即將過去一年里，除了信息泄露和政治鬧劇之外，社交媒體本身已經(jīng)扮演了一個(gè)重要的政治化角色。

無論是政府當(dāng)局的幕后操縱，還是《南方公園》的作者們對(duì)Facebook首席執(zhí)行官的冷嘲熱諷，人們都將目光轉(zhuǎn)向了不同的社交媒體巨頭，他們要求進(jìn)行一定程度的事實(shí)核查，以確認(rèn)虛假用戶和試圖發(fā)揮不相稱的社會(huì)影響力的機(jī)器人（即僵尸粉）的真實(shí)性。

然而，這些社交網(wǎng)絡(luò)(以“日?；钴S用戶”之類的量化指標(biāo)為基礎(chǔ))幾乎沒有什么動(dòng)機(jī)來真正清除他們的機(jī)器人用戶群。

即使這些機(jī)器人正在服務(wù)于一個(gè)明顯的惡意軟件，或者可以被獨(dú)立研究人員追蹤到。

我們預(yù)計(jì)，社交媒體政治化將會(huì)呈現(xiàn)更明顯的濫用趨勢(shì)，大型僵尸網(wǎng)絡(luò)將成為更廣泛的政治毒瘤，更大的反彈將指向社交媒體本身的真實(shí)用戶，反感的用戶會(huì)更為迫切地需要尋找到下一個(gè)替代品。

　　總結(jié)

在2018年，我們希望看到先進(jìn)的威脅行為者發(fā)揮他們的新優(yōu)勢(shì)，打磨他們的新工具，以及在上述領(lǐng)域更大程度地發(fā)揮他們的作用。

每年的主題和趨勢(shì)都不應(yīng)該孤立地進(jìn)行，它們相互依賴，無論是個(gè)人、企業(yè)還是政府，都能看到面臨的威脅正在不斷增長。

應(yīng)對(duì)這一沖擊的唯一方式是威脅情報(bào)的共享和相關(guān)知識(shí)的應(yīng)用。

盡管這些預(yù)測(cè)涵蓋了針對(duì)先進(jìn)目標(biāo)的威脅趨勢(shì)，但單個(gè)行業(yè)部門將面臨各自不同的挑戰(zhàn)。在2018年，我們也會(huì)把目光放在其中的一些上。

PDF下載地址：Kaspersky Security Bulletin