CONTENTS 网络安全 2016 年总结 2017 年预测 2016 年总结 2016 年席卷全球的安全威胁 TOP 年预测 2017 年网络安全所面临的威胁 TOP5 应对 2017 年安全威胁专家提出的建议

网络安全 2016 年总结 2017 年预测

CONTENTS 网络安全 2016 年总结 2017 年预测 2016 年总结 2016 年席卷全球的安全威胁 TOP5 2017 年预测 2017 年网络安全所面临的威胁 TOP5 应对 2017 年安全威胁专家提出的建议

3 2016 年总结 2016 年席卷全球的安全威胁 TOP5 01 02 03 04 05 席卷全球的勒索软件针对性攻击性价比高且无境界 IoT 恶意软件的先发制人 Exploit Kit : 适者生存, 激烈的漏洞攻击已适应移动环境的 Rooting 应用 4 5 6 7 8

2016 年总结 4 2016 年席卷全球的安全威胁 TOP5 01. 席卷全球的勒索软件勒索软件 (Ransomware), 已不需要在此多说明, 它已成为了当今世界安全方面的主要话题, 不仅是安全行业, 就连普通用户也通过新闻媒体经常听到这一年中, 勒索软件的种类和数量爆发性增加, 给全世界带来了巨大的损失根据 ASEC 接收的举报, 年初勒索软件举报数仅占总举报的 15%, 而到 11 月末竟然超过了 60%, 足足增加了 4 倍以上仔细观察 2016 年勒索软件趋势, 可以看出勒索软件反复着大大小小的变化过程和消灭, 结果呈现了一种进化的形式去年, 臭名昭著的 TeslaCrypt 在今年 5 月突然宣布终止另外, 通过韩国社交网站传播并给韩国用户带来较大损失的 CryptXXX 勒索软件在今年 7 月以后开始消停相反, 通过垃圾邮件传播的 Locky 勒索软件和通过语音提示用户的 Cerber 勒索软件则反复升级今年还出现了一种打破对勒索软件的传统概念的勒索软件, 不仅加密文件, 还会篡改磁盘主引导区尤其, 今年还出现了一种代办勒索软件制作和传播服务的勒索软件即服务 (Ransomware-as-a-Service, RssS), 有助于勒索软件的全球范围的扩散甚至, 勒索软件已开始支持各种语言过去, 大部分的勒索软件仅支持英语但是现在, 有些勒索软件如 TeslaCrypt CryptXXX Locky Cerber 等除了英语还支持各种语言勒索软件的传播和感染方式也变得越来越多样化从通过电子邮件附件偷渡式下载 (Drive-by-download) 恶意广告 (Malvertising) 等的传播方式到最近的结合社会工程学手法和利用 RDP(Remote Desktop Protocol) 的方式此外, 教育和研究目的的开放源码 EDA2 和 Hidden Tear 等恶意利用到了勒索软件制作, 甚至还出现了模仿 CryptXXX Locky Petya 等有名勒索软件的事例从攻击者的角度来看, 利用勒索软件可以在短时间获得较大的直接收入由此可见, 勒索软件的增加趋势不会消停

2016 年总结 5 2016 年席卷全球的安全威胁 TOP5 02. 针对性攻击性价比高且无境界筛选特定的目标进行攻击的针对性攻击 (target attack) 的投资成功率很高, 所以在过去几年呈现急剧增加趋势针对性攻击可以分为政治目的的攻击和针对一般企业的攻击今年 2 月, 美国国土安全部 (DHS) 的人员信息被窃, 此事件怀疑是俄罗斯所为而在 8 月, 原以为是失误导致泄漏的美国国家安全局 (NSA) 的黑客工具 (Shadow Brokers), 后来才知道也是与国家之间的间谍战有相关针对个人的目标攻击大多也带有政治目的香港缅甸叙利亚阿联酋和哈萨克斯坦等国家发生了以反对执政党的政治家或社会运动家等为目标的针对性攻击针对一般企业的攻击主要目的是窃取客户信息, 即个人信息今年, 雅虎 Dropbox 等均发生了个人信息被窃事件另外, 还盛行一种被称为商务电子邮件诈骗 (Business email scam) 的传统电子邮件篡改事件, 给欧洲和北美地区的企业带来了巨大的损失据美国联邦调查局 (FBI) 的统计, 电子邮件篡改受害事例仅在美国就发生了共 7,000 件, 损失额达到 740 万美元今年在韩国发生的某企业的电子邮件被黑导致损失 240 亿韩元 ( 约 2,057 万美元 ) 贸易货款, 该事件是由沙特阿拉伯国有石油公司沙特阿美石油公司 (Saudi Aramco) 的电子邮件帐户被黑所致针对性攻击长时间地精准地对确定的目标发起全方位的隐蔽性攻击, 因此受害者需要较长的时间来认知被攻击事实即使受到攻击大多时候只是猜想, 很难确认被攻击事实, 因此检测和应对都很不容易当攻击对象为企业或者机关等组织的一员, 可能会导致严重的损失, 需要仔细地监控和持续关注

2016 年总结 6 2016 年席卷全球的安全威胁 TOP5 03. IoT 恶意软件的先发制人随着物联网, 即 IoT(Internet of Things) 技术的发展, 与物联网相关的安全威胁也持续演变物联网设备考虑到易用性和低功耗, 通常使用嵌入式 Linux 操作系统对于用户终端使用的操作系统来讲, 管理并非容易, 尤其小规模的制造商根本就不大考虑安全而设计物联网存在的这种缺陷, 给攻击者提供了一个良好机会, 他们并没有放掉这个良好的机会今年 9 月, 网络犯罪研究记者布莱恩克雷布斯的博客网站 KrebsOnSecurity.com 和主机托管公司 OVH 遭到了分布式拒绝服务 (DDoS) 攻击 10 月, 美国最主要 DNS 服务商 Dyn 遭遇了大规模 DDoS 攻击, 导致了 Twitter Spotify Netflix AirBnb CNN 华尔街日报等数百家网站无法访问这两起攻击都使用了物联网恶意软件 - Mirai 各种物联网设备被利用在网络攻击, 一些恶意软件的源代码被公开, 今年一年被发现的物联网相关的恶意软件超过 1 万最近, 物联网设备制造商开始关注安全问题但是, 物联网设备一旦购买或者安装后很难持续管理假设安装后大概使用 5 年左右, 那么利用物联网设备的攻击事件未来几年很有可能持续发生

2016 年总结 7 2016 年席卷全球的安全威胁 TOP5 04. Exploit Kit: 适者生存激烈的漏洞攻击 Exploit Kit( 漏洞利用工具包, 以下 EK) 是一种集合了各种漏洞利用工具, 可对多种文件格式进行自动化分析漏洞利用测试, 比较有名的 EK 有 Blackhole EK,Phoenix EK,Nuclear EK 等随着勒索软件黑市的活跃,EK 更加为所欲为今年上半年最活跃的臭名昭著的顶级 EK- Angler EK 和 Nuclear EK 突然消失后,Neutrino EK 继承 Angler EK 继续活动, 但在下半年也减少了活动而 Sundown EK 和 Magnitude 等还持续活动 EK 的多层次的重定向 (Redirection) 技术主要用在通过在线广告网络和网站传播勒索软件等恶意软件的恶意广告 (Malvertising) 攻击利用各种脚本形式的下载器或者 EK 的勒索软件传播目前仍然持续发生, 还发现了多数利用 Windows Powershell 的恶意软件另外, 随着 EK 的活跃, 包括 EK 经常利用的互联网浏览器 (Internet Explorer, IE) Flash 和 Java 等漏洞, 各种漏洞攻击变得更加猛烈尤其, 利用文档文件相关的 EPS(Encapsulated PostScript) 漏洞和 Opentype 字体漏洞的恶意软件传播也呈现增长利用 Windows 操作系统的正常功能的设计缺陷的代码注入手法的 AtomBombing 被证实影响所有版本的 Windows 操作系统

2016 年总结 8 2016 年席卷全球的安全威胁 TOP5 05. 已适应移动环境的 Rooting 应用 2016 年发现了多数基于安卓 (Android) 系统的 Rooting 智能手机的恶意应用今年 7 月开始到 10 月,AhnLab 收集的 Rooting 恶意应用的数量比上半年增加了 30% 左右可以看出, 恶意应用日益增加恶意应用获取 root 权限后在用户手机执行恶意行为, 如在用户未知的情况下安装应用到手机, 或者避开手机安装的防病毒软件的检测, 窃取个人信息或植入广告等上半年主要流行通过 Rooting 植入广告或偷偷安装应用的恶意应用, 而在下半年出现了攫取金融信息为目的的 Rooting 应用恶意应用利用安卓操作系统的漏洞试图获取智能手机的 root 权限上半年出现的恶意应用 Godless 利用多个漏洞获取安卓操作系统 5.1 以下版本 (Lollipop) 的 root 权限如上述, 利用安卓操作系统的恶意应用越来越增加,Google 致力于加强安卓系统的安全而多角度的努力自 2015 年发现 Stage fright 漏洞以来,Google 每月提供安卓操作系统的安全更新, 同时公开各智能手机制造商的更新响应排名今年发布的安卓操作系统 7.0(Nougat) 来说, 当攻击者试图通过 Rooting 篡改系统的时候, 可以使手机无法启动问题是, 根据智能手机制造商或者手机生产年度, 有可能不提供安全更新因此, 使用旧版本操作系统的智能手机用户面对安全时需要格外的注意

9 2017 年预测 2017 年网络安全所面临的威胁 TOP5 01 02 03 04 05 勒索软件将越来越肆虐攻击工具的普及和网络犯罪的高度且加速发展内部入侵并试图控制系统永不停止的针对社会基础设施的攻击和网络恐怖主义物联网与物联网威胁 10 11 12 13 14 应对 2017 年安全威胁专家提出的建议 15~19

2017 年预测 10 2017 年网络安全所面临的威胁 TOP5 01. 勒索软件将越来越肆虐 2016 年, 勒索软件 (Ransomware) 呈现快速增长趋势, 带来了严重的影响对于攻击者来说, 勒索软件是一个相对容易赚钱的有效的犯罪手段而对企业来说, 他们面临着业务中断或者失去重要信息等恐惧, 而不得不支付赎金加上, 出现了一种代办勒索软件制作和传播服务的勒索软件即服务 (Ransomware-as-a-Service, RssS), 促使勒索软件的全球范围的扩散并形成了一个市场 2017 年, 勒索软件预计更加复杂和高级, 攻击范围也将继续扩大勒索软件的目的是获取金钱利益, 那么它的目标当然会指向钱聚集的地方到目前为止, 网络金融犯罪主要由网络钓鱼或域欺骗方式来主导, 即通过假冒网站来窃取用户信息但以后, 勒索软件将上升到网络金融犯罪活动的中心此外, 结合鱼叉式网络钓鱼的勒索软件和瞄准企业之间交易货款的犯罪组织多年来一直在活动, 因此频繁发生贸易往来的企业需要格外注意

2017 年预测 11 2017 年网络安全所面临的威胁 TOP5 02. 攻击工具的普及和网络犯罪的高度且加速发展仅仅几年前, 网络攻击被认为是具有专门 IT 技术的黑客的专属物而最近, 不仅是在网络黑市, 而且在一般的互联网上, 即使没有具备专门的 IT 知识也可以利用勒索软件即服务 (Ransomware-as-a-Service, RssS) 制作恶意软件, 并发起网络攻击这种工具的普及导致网络犯罪的增加同时, 不能将网络罪犯限定为特定人物或组织, 因此对网络犯罪的响应和调查也将变得更加困难攻击者将致力于当前的攻击技术的升级换代, 不仅持续利用垃圾邮件附件和偷渡式下载方式的攻击, 而且通过利用应用软件存在的安全漏洞的 Expolit 工具更积极地传播恶意软件为了预防持续增加的 Exploit 漏洞攻击, 需要定期检查网站的伪造和篡改与否, 尤其特别要注意利用 WebShell 的攻击

2017 年预测 12 2017 年网络安全所面临的威胁 TOP5 03. 内部入侵并试图控制系统 2010 年前后发生的大多数黑客攻击企业的主要目的是窃取企业机密或企业持有的个人信息然而, 最近黑客攻击企业的目的已不仅仅是单纯的窃取信息, 已发展成控制企业内部的基础设施尤其是今年, 将会出现各种攻击手段, 试图入侵组织内部的基础设施通过这种攻击, 基于受感染的系统入侵企业内部的基础设施, 首先通过收集内部信息和检索获取系统帐户信息通过反复收集和利用主要帐户来攫取内部系统的操作权限, 最终掌握整个基础设施一旦掌握企业内部系统后, 就可以伪装成该企业服务所需的正常程序, 并可在各种 PC 上安装恶意软件此外, 还通过受感染 PC 连接的网络上的其他系统, 试图控制另一个企业的内部系统

2017 年预测 13 2017 年网络安全所面临的威胁 TOP5 04. 永不停止的针对社会基础设施的攻击和网络恐怖主义在 2017 年, 预计全球的政治和经济利益的冲突将进一步深化由于国家之间的理念冲突加深, 针对国家机关和企业的网络恐怖主义经常发生在以前, 黑客的攻击目标主要是许多用户使用的在线服务, 而最近的攻击对象已扩大到几乎所有的公司和机关, 且不管服务的类型和规模据推测, 在大规模的网络恐怖袭击, 例如针对社会基础设施的攻击的背后主要是恐怖组织或敌对国家攻击的动机大多是宗教信念和政治冲突, 而不是经济利益尤其, 当针对社会基础设施的攻击成功时, 会造成社会混乱和恐怖, 并可以最大限度地发挥广告效果又由于宗教和政治纠纷不容易解决, 因此预计将来针对社会基础设施的攻击持续发生大多数的社会基础设施的内部系统安全运营在未直接连接到外部网络的隔离环境中然而, 如果有一个系统连接到外部网络, 或有一个连接外网和内网的点, 就无法从安全威胁中获得自由不管在哪里, 安全最脆弱的环节是人越是强大的安全策略, 越是给用户带来不方便, 可能会有不遵守安全策略的员工攻击者将捕获这种漏洞并利用各种方法试图发起攻击

2017 年预测 14 2017 年网络安全所面临的威胁 TOP5 05. 物联网与物联网威胁物联网 (Internet of Things, IoT) 技术的发展将进一步加快然而, 人们对物联网仍然缺乏安全意识, 存在安全漏洞的产品还会持续销售而黑客则不会放过这一点, 预计物联网恶意软件也将迅速增长去年在美国发生了 Mirai 恶意软件发起的大规模的 DDoS 攻击该攻击就利用了网络路由器 DVR(Digital Video Recorder) 和 IP 摄像机等 IoT 设备物联网设备特性上, 一旦购买或安装, 就很难进行售后管理, 并且在初始状态下使用几年就用户而言, 除了应用物联网设备制造商提供的安全补丁之外, 没有明确的应对方法近年来, 物联网设备制造商开始关注安全问题然而, 由于技术缺乏或其他原因, 没有具体考虑物联网设备加强安全的问题此外, 物联网设备具有低功耗和低费用的特点, 实际上难以增加安全强化功能或提高价格为了防止迅速扩散的物联网设备的安全威胁, 不仅是制造商, 而且还需要网络安全提供商和政府机关的有机合作此外, 各个国家争先恐后地加快物联网技术和产品开发, 仅通过个别国家的监管很难解决范围广泛的物联网安全威胁通过各国政府和附属机构和制造商的全方位的合作, 构建对物联网设备的最低限度的检查系统, 并需要抓紧建立一个实用的安全强化指南

2017 年预测 15 应对 2017 年安全威胁专家提出的建议 2017 年不容忽视的安全威胁在网络黑市中, 恶意软件制作和分发服务 -RaaS 已经落地, 并基于这种服务形成了新的犯罪生态系统根据经济原理, 该生态系统将产出更多样的恶意软件, 并通过积极的活动扩大他们的范围此外, 基于资本主义相互竞争的市场逻辑, 继续投资和努力来制作和分发具有差别的恶意软件和服务这使得今年的安全威胁变得更加高级由此可以看出, 企业和机关在处理安全问题的方式上也将发生变化首先, 企业需要统一安全管理平台, 将当前的安全解决方案融合到一个平台, 有利于统一收集信息和管理然后, 安全提供商为了有效处理收集的信息, 并有效应对最新的威胁, 将试图融合自动化机器学习等技术

2017 年预测 16 应对 2017 年安全威胁专家提出的建议趋势 1. 机器学习在安全领域的应用今年将是诸如数据挖掘 (Data Mining) 和机器学习 (Machine learning) 等分析大数据的技术在安全领域全新落脚的一年虽然企业引进多种安全解决方案来应对日趋复杂多端的安全威胁, 但总是缺乏管理这些解决方案的人力资源很多企业可能试图将机器学习应用在安全领域, 代替人类专家解决安全问题在传统安全系统中被忽视的一些数据, 在机器学习中可能发现新的信息通过融合诸如机器学习等新的技术, 可以产出不亚于专家分析的成果, 并且减少的资源将用在新的领域或事业, 形成良性循环结构

2017 年预测 17 应对 2017 年安全威胁专家提出的建议趋势 2. 安全领域的细分和统一管理的需要在物联网 (IoT) 和云计算为代表的 IT 环境变化的时代, 随着各种平台和服务, 细分安全领域的需求将增加通过各种研究结果和经验建立他们对最新技术的了解的公司正在应用适合各行业的技术和服务在此过程中, 理应同时考虑安全因素, 并选择适合各环境的安全技术和解决方案尤其, 统一管理和监控分散在各领域的安全解决方案, 并在此基础上具体实现有效应对的统一安全的需要另外, 威胁信息的可视化是必不可少的为解决发现的问题的实际应对将成为安全的主要项目

2017 年预测 18 应对 2017 年安全威胁专家提出的建议趋势 3. 攻击工具的普及随着勒索软件即服务 (RaaS) 的兴起, 即使没有具备专门 IT 技术的人也可以发起网络攻击加上漏洞利用工具包的攻击手法也在升级, 网络攻击很可能进一步发展随着恶意软件制作及发布服务导致网络攻击的普及, 不能再将攻击者局限在特定人或特定组织就是说, 不仅在应对网络攻击, 而且在调查攻击的主体时候都会面临诸多困难因此, 为了最小化安全漏洞暴露于网络攻击的范围, 需要改进用户对安全补丁的重要性的认识对于企业和机关, 要强制应用员工的安全补丁, 还有必要考虑建立管理方案或投资引入安全解决方案

2017 年预测 19 应对 2017 年安全威胁专家提出的建议结论 : 这一切都归结于人最近发生的大多数黑客攻击事件通常针对组织内特定个人或团体主要采用向特定个人或团体发送邮件并诱导执行附件的鱼叉式网络钓鱼 (Spear Phishing), 或攻击特定个人利用的网站后传播恶意软件的水坑式攻击 (Watering Hole) 等值得注意的是, 在一系列最近发生的黑客攻击事件中, 针对性攻击也终究是从恶意软件的流入起源, 以及没有妥善管理的 PC 或服务器在中间起着桥接作用为了提前防止安全威胁的入侵, 不仅需要建立不同的解决方案, 还需要利用专门的服务, 但更重要的是如何利用它们急于判断引进解决方案就万无一失的安全管理员, 还有很缺乏安全意识的用户, 这些因素增加了安全事故的发生归根结底, 这一切的开始和结尾都会有人 2017 年, 必需做好对依然如故的安全漏洞人的教育和管理, 还要做好对各解决方案和服务系统的检查和有效运营从组织内部的一般用户到安全管理员企业管理者, 应持续做出努力以减少人为因素导致的安全问题

网络安全 2016年总结 2017年预测发行 AhnLab, Inc. 起稿 AhnLab 安全应急响应中心(ASEC) ASEC响应组编辑 AhnLab 内容企划部门北京市朝阳区望京阜通东大街1号望京SOHO塔2 B座 220502室上海市闵行区万源路2158号 18幢泓毅大厦1201室电话 : +86 10 8260 0932 北京 / +86 21 6095 6780 上海 cn.sales@ahnlab.com 2015 AhnLab, Inc. All rights reserved. 未经 AhnLab 事先书面同意禁止转发复制复印或保存到搜索系统 AhnLab 和 AhnLab 标志是 AhnLab 的注册商标除此之外本文中提及的其他产品和公司名是各公司的商标或注册商标本文所含的信息如有更改恕不另行通知 AhnLab.com

网络安全 2016年总结 2017年预测