在过去的一年中,全球的安全情势,可说是出现了剧烈的变化。虽然勒索软件和挖矿攻击还是时有耳闻,但黑客为了获得利益,开始偏重从用户端点计算机以外的地方下手,像是侧录或是挟持电商网站,就能盗取大量用户的个人数据,以及信用卡内容,甚至是交易的记录等,因此,该公司于3月7日,在台湾发布了第24期的网络安全威胁报告(Internet Security Threat Report,ISTR),汇集整理出2018年的6大现象。
赛门铁克大中华区首席首席运营官罗少辉指出,这些现象,分别是大幅增加的网络攻击、锁定特定目标的高端性持续性攻击、网页表单内容劫持(Formjacking) ,以及采取无文件型式的手段等。值得留意的是,虽然勒索软件和挖矿攻击所带来的威胁,仍然相当严重,不过,黑客锁定的目标已经出现了显著的变化。
首先,罗少辉说,从整体网络威胁的态势来看,根据赛门铁克的统计,网络攻击事件的数量,比起前一年增加了56%,而且,平均每10个网址中,就有1个含有恶意内容。换言之,用户上网可说是危机四伏。再者,则是锁定特定企业或是组织的情况,更加明显,在2018年里,平均每个黑客组织会有55个下手目标。
罗少辉指出,论及去年最严重的攻击,莫过于网页表单的劫持、侧录,他举出了订票网站Ticketmaster与英国航空的事件,但事实上,根据他们的统计,去年全球平均每个月,就会有超过4,800个网站遇害,而且,于地下论坛中,每张信用卡的数据能叫卖到45美元。
以去年英国航空的事件中,泄露了38万笔资来看,黑客就能得到至少1,700万美元的暴利。因此,罗少辉认为,这种攻击手法已经相当受到黑客的青睐。
由于网页表单的数据挟持(Formjacking)是侧录线上交易的内容,因此,罗少辉也表示,这类攻击去年一年的趋势,最高峰便是出现在黑色星期五与圣诞购物期间。
在ISTR报告中,有2种攻击随着黑客能够得到的利益大幅缩水,从而导致其形态的转变,那就是这2年来,让人闻之色变的挖矿攻击与勒索软件威胁。
罗少辉指出,在2017年时,加密货币气势如日其中,挖矿攻击事件以倍数大幅增加,但到了去年,这些加密货币一路贬值,从年初能换得362美元的加密货币,到了12月时只相当于48美元的价值,跌幅接近9成,在该公司的调查中,便发现到,虽然攻击事件是前一年的4倍,但挖矿的行为,却下滑了52%之多。
因此,罗少辉说,黑客不再锁定一般的个人计算机,而是转向网络设备,其中最为严重的攻击,莫过于VPNFilter,这是针对多家品牌路由器等设备下手的事件。
攻击形态同样出现显著变化的,还有勒索软件。虽然,在2017年时的WannaCry让人记忆犹新。不过,罗少辉表示,对于黑客而言,随着个人端采用移动设备的比例较高,而且许多人会把数据备份到云计算,再加上计算机里不一定会有重要数据等因素,导致很多受害者不愿意支付赎金;相较之下,在企业环境中,Windows和微软的Office可说是相当普遍,黑客要发动攻击的门槛较低,而且,一旦计算机遭到加密,企业支付赎金了事,很可能比起重新构建作业环境的成本要来的低廉,因此,罗少辉说,如今勒索软件几乎都锁定企业下手。
赛门铁克指出,拥有广泛采用Windows与Office软件的企业环境,成为大部分采用勒索软件攻击的黑客,所偏好锁定的目标。相较之下,个人端改用移动设备为主的比例明显增加,黑客势必需要重新开发的作案工具等考量,导致黑客攻击一般实例户的意愿也大幅降低。
罗少辉说,根据他们的统计,2016年时,有69%攻击锁定一般人们,而到了2017年就开始有显著的变化,已有超过一半(59%)针对企业,在去年时,这样的情况更加明显--高达8成都是冲着企业发动攻击。他也举出去年恶意昭彰的SamSam,该攻击组织锁定美国的医疗机构和政府单位,粗估不法所得达600万美元,虽然美国联邦调查局已经发布通缉,但攻击者至今仍逍遥法外。
另一个极度恶化的现象,就是黑客试图采用更为隐蔽的方式,发动攻击。而其中,从供应链下手和无文件式的攻击模式,使得企业极为不易发现黑客入侵的迹象。赛门铁克台湾分公司首席顾问张士龙表示,前述Ticketmaster遇害,黑客就是从网站功能模块的供应链下手。而这样的事件,2018年也比2017年多出了78%。
而在攻击的手法上,如今黑客也广泛采用所谓的无文件式(Fileless)攻击,赛门铁克更形容这样的做法是“本地取材(Living off the Land, LotL)”,也就是说,为了避免被发现,黑客不直接附带武器(恶意软件),而是利用遭到入侵计算机里已有的工具,像是Windows操作系统内置的PowerShell,发动攻击。由于是系统内合法的软件,因此企业更难判断是否为攻击行为。张士龙指出,他们发现,从2017年到2018年之间,滥用PowerShell的攻击,竟增长了10倍之多。
张士龙举出他们在2017年12月发现的攻击团体Gallmaker为例,这是一个针对中东及东欧地区,锁定这些国家的外交、军事,以及政府单位的黑客组织。 Gallmaker一旦顺利渗透到前述的单位后,便会利用环境里的PowerShell、渗透测试工具Metasploit,还有WinZip等,其中,以WinZip而言,该组织便拿来与C&C中继站联系之用,而且,为了方便执行攻击的流程,甚至还有将数据归档、做记号的现象。
再者,黑客锁定的设备类型,防护能力偏弱的物联网(IoT)设备,也成为众所之矢。由于这种联网设备广泛应用,影响的范围不只前述的网络设备,还有工控安全设备,甚至也有针对国防与卫星的黑客组织出现。
张士龙也指出,由于云计算服务的使用率逐年攀升,这类服务上的安全问题就会变得更严重,不只包含了不断出现的配置不当问题,还有去年出现计算机硬件漏洞的问题,像是处理器的Spectre、Meltdown等推测执行漏洞,在云计算服务上也同样有机会遭到黑客滥用。