CheckPoint网安报告：攻击“上云”成新趋势 加密货币是主要目标

当谈到全球网络环境时，威胁不断演变，企业、组织和安全社区不断受到挑战。

从利用区块链交易系统，到在蓬勃发展的移动领域开发新的攻击方法，再到将以前的攻击工具应用于云环境，2018年网络威胁领域中当前的技术发展及其日益增多的实践都有明确的案例可循。

今年到目前为止，不同类型的恶意软件及其作者已经被证明具有比以前想象的更强的能力、更复杂的能力和更高的敏捷度。

正如我们在对GandCrab Ransomware病毒的分析中所看到的，恶意软件现在正在快速地适应安全供应商提供的安全解决方案。

目前最大的趋势之一是加密货币矿工和加密货币相关的威胁。

事实上，加密货币挖矿技术已经席卷了整个世界，成为今年威胁者所使用的主要攻击媒介，甚至超过了勒索软件。

到目前为止，加密货币矿工已经大大提高了他们的能力，并升级了他们的目标阵列:服务器、移动设备、工业系统和云基础设施——没有人被遗忘。

2018年上半年也出现了一些新的有趣的趋势。

例如，云基础设施已经成为威胁者最吸引人的目标之一：随着大量的敏感数据以及可用的计算资源驻留在云环境中，很容易吸引攻击者的注意力。

今年早些时候，特斯拉(Tesla)的云服务器感染了Monero miner病毒，而联邦快递客户的敏感数据泄露，这只是2018年人们见到的两个例子。

为了向组织提供最佳级别的保护，安全专家必须适应不断变化的环境和最新的威胁和攻击方法。

Check Point全球威胁洞察趋势报告是基于从2018年1月至6月的从ThreatCloud世界网络威胁地图中提取的威胁情报数据，提供了加密货币挖矿器、勒索软件、银行和移动威胁等顶级类别的恶意软件的全面视角。

全球趋势

加密货币挖矿的进化

很难不注意到加密货币挖矿相关攻击的激增。

在2018年上半年，加密货币挖矿占据了最主要的网络攻击和野生的恶意软件类别的主要地位。

超过了勒索软件，在全球范围内加密货币挖矿器影响了超过42%的组织，而在2017年底这一比例为20.5%。

过去六个月，据估计，加密货币挖矿相关的攻击为它们的用户带来了超过25亿美元的“收入”，而且还在继续增加。

自他们被创造出来以来，加密货币挖矿技术已经取得了长足的进步。

从简单的网站协议演变而来，今年有人观察到加密货币挖矿器通过Facebook Messenger、YouTube广告和谷歌Play传播，同时进入了数以万计的网站、个人电脑和詹金斯(Jenkins)等功能强大的服务器。

在2018年，加密货币挖矿技术升级并大大提高了它们的能力，变得更加复杂，甚至具有破坏性。

出于对增加计算资源利用率的明确兴趣，并精心设计成更有利可图的，加密货币挖矿器现在的目标是任何可能被认为妨碍他们的东西。

因此，我们目睹了针对SQL数据库、工业系统、俄罗斯核电站甚至云基础设施的加密货币挖矿器。

加密货币挖矿器最近也高度进化，以利用高知名度的漏洞和逃避沙箱和安全产品，以扩大他们的感染率。

移动领域也没有逃脱被加密货币挖矿器攻击的可能。

去年4月，名为“隐藏矿工”(HiddenMiner)的Android 加密货币挖矿器锁定了许多设备，一直在挖掘Monero，直到耗尽设备的资源。

移动运营商甚至成功地突破了苹果的保护墙，侵入了应用程序商店，一个恶意软件试图窃取受害者的加密货币钱包登录凭证。

自2018年初以来，各种新的攻击方法已经浮出水面，增加了更多的燃料，这充分利用了加密货币交易系统的潜力。

此外，这些方法还包括虚拟钱包和凭证盗窃、加密货币交易操作，以及引诱受害者投资的伪造的ICO诈骗。

此外，其他恶意软件家族已经开始将挖掘能力整合到他们的武库中：勒索软件以及著名的银行木马，包括Panda和TrickBot，现在不仅针对银行账户，还针对加密货币钱包和交易系统账户，增加了加密货币凭证盗窃的功能。

随着威胁者越来越意识到加密货币业务的盈利能力，甚至超过了其他的类别，几乎没有哪一天不会出现某种加密货币威胁登上头条新闻的情形。

上云的新威胁

云环境改变了公司管理、存储和共享数据、应用程序和工作负载的方式。

除了广泛的好处之外，云基础设施还为渴望拥有大量可用计算资源和敏感数据的攻击者提供了一个新的、肥沃的、有吸引力的环境。

实际上，2018年我们看到了各种针对云存储服务的复杂技术和工具。

仅去年一年，全球有51%的组织遭遇过基于云的攻击，包括联邦快递(FedEx)、英特尔(Intel)和本田(Honda)。

一些基于云的攻击，主要是那些涉及数据过滤和信息披露的攻击，这些攻击是由于糟糕的安全应用。

一些凭证被遗留在公共源代码存储库中，或使用弱密码，这只是威胁者如何访问和控制云中托管的未受保护资源的一些例子。

另一个正在崛起的威胁正在席卷云环境，那就是臭名昭著的加密货币挖矿器，他们将目标对准云基础设施，以利用云所提供的巨大计算能力，并为威胁者带来巨额利润。

在2018年上半年，我们目睹了针对云的核心组件的两个挖矿器——Docker和Kubernetes系统。

举例来说，特斯拉的内部云服务器几个月前就感染了Monero Cryptominer。

用于管理、交互和从服务中提取信息的应用程序编程接口(api)也是威胁参与者的目标。

云API是通过Internet访问的，这一事实为威胁者打开了一个窗口，使他们能够利用并获得对云应用程序的大量访问。

随着时间的推移，云的威胁似乎将继续演变：攻击者将继续为他们的目标云平台开发越来越多的工具，从而突破公共云服务的限制。

的确，随着新的云计算技术爆炸性地出现，毫无疑问下一次攻击已经在路上了。

多平台攻击:电脑端和移动端

在2018年初，一种新的被命名为“黑暗特征”(Dark Caracal)的高级持续性威胁(APT)被揭露，可能是在经过五年的暗中活动之后。

尽管APT团体在过去几年中开展了广泛的间谍活动，但这个团体呈现出一种独特的运作方式，标志着2018年最显著的趋势之一。

它开始从移动设备收集敏感数据，但最近转向了一种更有效的技术，使用一种感染Windows、Linux和Mac OS的恶意软件。

无论它们是否基于一个恶意软件，多平台攻击都可能对其受害者造成严重损害，无论是所有台式机、移动设备和消费设备同时受到攻击的私人住宅，还是同时受到攻击的企业。

直到2017年年底，多平台恶意软件还只在少数几个场合出现，但正如预测的那样，消费者连接设备数量的增加和非Windows操作系统的市场份额的增加导致了跨平台恶意软件的增加。

这些攻击发起者实施各种技术，以控制受攻击的不同感染平台。

在2018年上半年，我们目睹了Android银行木马“漫游者螳螂”(Roaming Mantis)比以往任何时候都要远离我们，它的目标是iOS用户和个人电脑的资源，以便挖矿，使其作者能够大大提高他们的感染率。

随着强大的智能手机和Office 365等新技术的引入，潜在的受害者不再使用单个的端点，而是使用几个完全连接的设备和服务。

这就引入了一个全新的环境，在这个环境中，受害者暴露在更多的攻击媒介中，威胁者可以利用这些媒介来寻找个人或组织数据的最薄弱环节。

整个供应链中的移动恶意软件

在移动设备上感染恶意软件已经不是什么新鲜事了。

从恶意URL下载或伪装成一个无辜的移动应用程序，有很多方法可以攻击设备。

然而，在今年上半年，我们目睹了一个有趣的趋势——预装恶意软件。

在一些情况下，恶意软件并不是从应用程序商店中提取出来的，也不是从恶意的URL中下载的，而是已经安装在设备内部。

今年3月，检查点研究人员公布了一款名为“RottenSys”的大范围移动僵尸网络，感染了近500万台Android设备。

RottenSys伪装成一个合法的“系统Wi-Fi服务”(System Wi-Fi service)应用，预装在华为(Huawei)、小米、Vivo和三星(Samsung)等领先品牌生产的数百万款全新智能手机上。

在另一个案例中，42款低成本智能手机被发现预装了Triada Banking Trojan。

威胁者在供应链上渗透的能力令人担忧，并将在未来继续困扰我们。

此外，随着人们对移动设备的依赖程度越来越高，应用市场上充斥着各种各样的应用程序，这些应用程序旨在优化设备的电池性能，让用户在使用智能手机时能享受到更多的快乐时光。

今年，似乎威胁者已经发现了这个市场的潜在机会，因为我们发现大量这些所谓的无辜应用实际上是伪装的恶意软件。

其中，银行木马、广告软件甚至像AndroRAT这样的远程控制工具会伪装成一个名为“垃圾清理”的实用程序，能够窃取移动网络信息、存储容量、日历事件和预成型的shell命令执行。

我们知道，我们所有的个人和商业生活都是通过一些极其容易被黑客攻击的设备来管理的，这两种预先安装的恶意软件现象和恶意移动应用的不断增多反映出，有动机的威胁者是如何利用这个舞台的。

图1:2018年中最常见的恶意软件类型。

图2:2018年中的恶意软件类型随时间变化。

全球恶意软件统计

图1:全球最普遍的恶意软件:公司网络中遇到每种恶意软件类型的百分比。

对于下面的每个地区，我们给出两个图。

第一个详细描述了该区域最流行的恶意软件，然后是第二个图表，详细描述了该区域中最常见的恶意软件家族。

全球恶意软件分析

广受欢迎的基于网络的Monero加密货币矿商CoinHive在全球和地区排名的顶峰上保持了自己的地位，全球25%的组织受到了它的影响。

与Cryptoloot和Jesscoin一起，cryptominers(加密货币挖矿器)小组没有显示出任何削弱其统治地位的迹象，影响了整个全球约40%的地区。

自从去年9月CoinHive首次发布JavaScript代码以来，它就一直在任何时候集成在成千上万的网站上，利用访问者的计算资源，作为威胁者利用的在线广告的一个有利可图的替代品。

今年，Coinhive被广泛应用于YouTube广告中，被隐藏在谷歌的DoubleClick平台和Facebook Messenger上，还被嵌入了数千个网站。

RIG开发工具包是世界上最著名的开发工具包之一，目前正在实施的有几种不同的活动。

RIG感染链从返回到包含JavaScript的着陆页面开始，该页面检查脆弱的插件并利用浏览器。

Rig提供了Flash、Java、Silverlight和Internet Explorer的漏洞，它是第一个将今年在IE中发现的新的零日漏洞包括在内的漏洞，标为CVE-2018-8174。

在2018年上半年，RIG登上了新闻头条，推动了包括Bunitu、cryptominers和流行的SmokeLoader在内的各种负载。

顶级加密货币挖矿恶意软件

在本节中，图表显示了受每个加密货币挖矿恶意软件影响的组织的百分比。这些图表提供了对顶级加密恶意软件的全局视图和区域洞察。

加密货币挖矿器全局分析

开源CPU挖掘软件XMRig首次亮相是在2017年5月，在所有地区排名第三。

作为威胁者使用的最流行的、唯一的挖掘代码，在2018年上半年，XMRig的挖掘代码被广泛使用，其中之一是RubyMiner。

去年1月被Check Point研究独家发现，Rubyminer进入了全球排名和区域排名。

RubyMiner并没有像其他级别的服务器一样，将目标锁定在没有补丁的Windows和Linux服务器上，而是试图利用全球30%的公司网络来调动服务器进入控制者的挖掘池。

顶级勒索软件

本节中的图表表示受每个勒索事件影响的组织的百分比。

这些图表展示了一种全球视角，也展示了对顶级勒索软件的区域洞察力。

勒索软件全局分析

在2016年2月首次出现的Locky Ransomware，一直保持着第一的地位，成为了全球和地区划分中都在2018年最流行的勒索软件之一。

令人惊讶的是，声名狼藉的“WannaCry”仍然保持着2017年的高排名，尽管它像野火一样蔓延到数十万台设备已经有一年多了。

似乎即使在一年后，仍然有一些机器感染了病毒，这些机器不停地在互联网上搜索易受攻击的Windows机器。

顶级银行恶意软件

在报告的这一部分，图表显示了受每个银行恶意软件影响的组织的百分比。

这些图表提供了对顶级银行恶意软件的全球视角和地区性洞察。

全球银行恶意软件分析

最著名的银行业木马——Ramnit和Zeus——自2017年下半年以来一直高居榜首。

两者都是持续不断发展的银行木马，能够识别受害者何时访问银行网站，然后利用键盘记录或web注入获取登录凭证或更敏感的信息，如密码。

此外，Dorkbot，一种可以追溯到2012年的恶意软件，也重新回到了榜单前列，在APAC(亚太地区)顶级银行恶意软件中扮演主角，在美国排名第二，在EMEA(欧洲、中东和非洲)和全球排名第二。

Dorkbot的设计初衷是让控制者能够远程执行代码，同时也有窃取敏感银行信息的动机。去年4月，Dorkbot使用了一种名为“早起鸟”(Early bird)的新代码注入技术，从而避免了被反恶意软件安全产品检测到。

顶级移动端恶意软件

在本节中，图表显示了受每个移动恶意软件影响的组织的百分比。

全球移动恶意软件分析

Triada是一款非常强大的Android银行木马，于2016年被发现，被认为是最先进的移动端威胁之一。

去年3月，人们发现Triada被预装在42款低成本智能手机上，感染了数十万受害者，并窃取了他们的信用卡数据。

此外，一个新的移动恶意软件家族已经进入了排行榜——TheTruthSpy，能够监控WhatsApp消息、Facebook聊天和互联网浏览历史。

TheTruthSpy于2018年5月问世，目前已在全球排名第三，在EMEA和APAC排名第二。

重大网络入侵(2018上半年)

到目前为止，到2018年，网络入侵仍在影响所有行业的企业，使数十亿人的敏感信息受到威胁。

此外，由于所有地区都遭受了多次袭击，威胁者正瞄准所有地区。

下面是每个地区主要攻击的概述。

美洲

•2月:超过1950万加利福尼亚居民的选民登记信息通过一个没有安全保障的MongoDB数据库在网上被泄露，并被威胁者扣留索要赎金。

萨克拉门托当地报纸《萨克拉门托蜜蜂报》(The Sacramento Bee)向泄密方宣布，拒绝支付赎金，并删除了数据库。

•3月:领先的健身公司“Under Armour”遭遇了该公司应用MyFitnessPal的重大违约。

该公司宣布，此次黑客入侵曝光了1.5亿用户的数据，包括他们的用户名、电子邮件地址和哈希密码。

•3月:Expedia旗下的旅游网站Orbitz宣布了一项数据泄露事件，导致在线购买的88万张支付卡以及其他属于客户的个人信息被泄露。该事件发生在2016年10月至2017年12月之间。

•4月:Saks Fifth Avenue和Lord & Taylor的母公司Hudson's Bay遭受了公司支付系统的严重破坏。

这起泄密事件是由FIN7 APT团队所为，他们成功窃取了约500万消费者的信用卡和借记卡信息，这些消费者都曾在这两家零售商购物。

•5月:数据挖掘公司剑桥分析公司(Cambridge Analytica)被指利用Facebook获取多达8700万个人的个人信息，以在2016年总统大选中针对美国选民。

这种成功的利用是通过一个付费用户进行性格测试并同意数据收集的应用实现的。

欧洲、中东和非洲

•1月:挪威最大的卫生机构South East RHF遭遇数据泄露，影响了全国一半以上的人口。网络罪犯窃取了大约290万挪威人的个人信息和健康记录。

•2月:德国政府宣布，它经历了一次大规模的网络攻击，其中几家网络(包括一个孤立的网络)被攻破并被恶意软件感染了大约一年。这次入侵是在去年12月才被发现的，包括内政部的服务器和其他未指明的服务器。

德国当局怀疑俄罗斯黑客组织APT28策划了这次袭击。

•3月:一款名为“Remini”的应用程序遭遇严重安全漏洞，导致数百万张以色列儿童的照片，以及10万多名父母的个人信息容易被泄露到互联网上。

该应用程序允许幼儿教师与家长联系，并与他们分享任何相关信息，包括课堂活动时间表、图片视频和个人信息。

•4月:芬兰赫尔辛基的新商业中心遭遇重大数据泄露。

威胁者窃取了超过13万名用户的登录用户名和密码，这些用户名和密码以明文形式存储在该网站上。

•5月:一个包含近100万南非人敏感个人数据的数据库在网上被公开泄露。

该数据库是在南非一家处理电子交通罚款支付的公司的公共web服务器上发现的，其中包括姓名、身份证号码、电子邮件地址和密码。

亚太地区

•1月:印度国家生物识别系统Aadhaar遭遇重大数据泄露，威胁者获得了超过10亿印度居民的个人信息。

威胁者后来通过WhatsApp提供了一项付费服务，帮助受害者检索他们的信息，包括姓名、地址、邮政编码、照片、电话号码和电子邮件地址。

•1月:中国智能手机制造商一加(OnePlus)遭遇信用卡数据泄露，影响了逾4万名客户。

一个恶意脚本被注入到它的支付页面代码中，并且能够从浏览器窗口直接获取完整的信用卡信息，包括信用卡号、过期日期和安全代码。

•4月:Careem，阿拉伯联合酋长国版的Uber被黑客攻击，1400万司机和客户的私人数据被窃取，包括姓名、电话号码、电子邮件地址和乘车数据。

•6月:本田汽车印度公司(Honda Car India)将超过5万名用户的个人数据暴露在亚马逊(Amazon)的两个公共无担保的S3 buckets中。

暴露的数据属于远程汽车管理应用Honda Connect的用户，包括姓名、电话号码、电子邮件、密码、car VIN、car Connect id等。

全球顶级的漏洞

下面列出的顶级攻击列表是基于Check Point的入侵预防系统(IPS)解决方案收集的数据，详细介绍了Check Point研究人员在2018年上半年观察到的一些最流行、最有趣的攻击技术和利用。

Drupalgeddon2和Drupalgeddon3 (CVE-2018-7600, CVE-2018-7602)

内容管理系统巨头Drupal的严重缺陷暴露，对威胁环境产生了重大影响。

这些漏洞影响了超过100万个Drupal网站，可能让未经认证的攻击者在Drupal安装上执行远程代码执行，完全控制受影响的网站。

被释放的概念的证明使未被修补的Drupal站点不断受到攻击。

这些攻击包括在服务器和网站上放置的各种加密货币挖矿器、发送远程控制工具和信息窃取恶意软件、进行技术支持骗局和创建大量僵尸网络。

RTF (CVE-2017-11882, CVE-2017-0199, CVE-2018-0802)

微软Office Rich Text格式(RTF)的安全漏洞在2018年上半年被威胁者广泛滥用。

这些安全漏洞允许攻击者在目标机器上下载并执行包含PowerShell命令的恶意脚本，这取决于终端用户是否决定打开恶意文档。

今年，我们目睹了这些漏洞在恶意软件攻击中被广泛使用，包括APT团体启动的一些，以及各种恶意软件类型的下载文件。

其中包括恶意软件LockyBot、Remcos RAT、KevDroid安卓RAT ThreadKit、开发构建工具kit and Zyklon。

“Double kill” (CVE-2018-8174)

Double Kill是Windows VBScript引擎的一个远程代码执行Internet Explorer (IE)零日漏洞，它会影响到IE的最新版本以及任何其他使用IE组件的应用程序。

当被利用时，该漏洞允许远程攻击者将恶意VBScript嵌入到Office文档或网站，并运行从远程服务器加载的恶意负载。

在浏览器中发现零日漏洞已经有两年了，而这一漏洞的发现在2018年引起了很多人的关注，受到了诸如APT-C-06组等威胁者的影响，也被声名狼藉的RIG利用工具包用来交付Monero Cryptominer。

物联网漏洞(CVE-2018-10561, CVE-2018-10562)

今年，在超过一百万的Dasan GPON家庭路由器中发现了安全漏洞，这使得它们受到了广泛的攻击。

这些漏洞允许任何攻击者通过将特定的字符串附加到任何URL并获得对设备的控制来访问路由器的设置。

僵尸网络的控制者广泛利用这些漏洞招募他们的军队，其中包括Satori、Mirai和TheMoon僵尸网络。

有趣的是，根据Check Point全球攻击传感器的数据，在2018年上半年，99%的攻击都是在2017年或更早的时候发现的，超过40%的攻击使用了至少有7年历史的漏洞。

额外的观察结果

随着第五代网络威胁格局的稳固确立，2017年出现的威胁类型延续到2018年也就不足为奇了。

他们也没有任何放缓的迹象。

如果说有什么不同的话，那就是它们已经变得更加根深蒂固，并且正在深入到组织的IT基础设施中。

无论是通过在移动供应链中嵌入预先安装的恶意软件，还是利用云平台更高的计算资源挖掘有价值的加密货币，威胁者都在将当今的技术应用于自身的财务收益。

此外，大型数据泄露事件也没有减少，给经历这些事件的人带来了名誉损失和巨大的财务成本。

因此，世界各地的组织必须为自己配备最高和最先进的保护技术，以保持这些趋势的领先地位，防止自己成为下一个登上新闻头条的受害者。