一、概述

互聯(lián)網(wǎng)現(xiàn)在已經(jīng)融入了生活的方方面面，許多人在網(wǎng)上進行交易、購物和社交，網(wǎng)絡(luò)已經(jīng)成為了商業(yè)組織的生命線。政府、企業(yè)和消費者對技術(shù)的依賴，也為具有各種動機的攻擊者提供了廣泛的攻擊面——金融盜竊、數(shù)據(jù)竊取、基礎(chǔ)設(shè)施破壞、名譽受損等等。網(wǎng)絡(luò)攻擊的范圍，從高度復(fù)雜的特定目標攻擊，到機會主義網(wǎng)絡(luò)犯罪。通常，這兩者都依賴于將心理學(xué)操縱作為危害整個系統(tǒng)或個人計算機的方式。攻擊者的目標不斷擴大，已經(jīng)開始覆蓋到一些不屬于計算機的設(shè)備，例如兒童玩具和安全攝像頭。本文主要針對2018年發(fā)生的重大事件和安全趨勢進行年度總結(jié)。

二、針對特定目標的攻擊活動

在今年內(nèi)的安全分析師峰會上，我們分析了Slingshot，這是一個復(fù)雜的網(wǎng)絡(luò)間諜平臺，從2012年以來一直瞄準中東和非洲的受害者。我們在威脅事件中發(fā)現(xiàn)了這種威脅，該威脅與Regin和ProjectSauron類似。Slingshot使用了一種不同尋常的攻擊載體，許多受害者受到被攻陷的MikroTik路由器的攻擊。攻陷路由器的確切方法尚不清楚，但攻擊者已經(jīng)找到了向設(shè)備添加惡意DLL的方法：該DLL是其他惡意文件的下載程序，然后將其存儲在路由器上。當系統(tǒng)管理員登錄并配置路由器時，路由器的管理軟件會在管理員的計算機上下載并運行惡意模塊。Slingshot在受感染的計算機上加載了許多模塊，其中最引入注意的兩個模塊是Cahnadr和GollumApp，它們分別是內(nèi)核模式和用戶模式的模塊。二者共同提供持久性、管理文件系統(tǒng)、泄漏數(shù)據(jù)以及與C&C（命令和控制）服務(wù)器通信的功能。我們查看的樣本，標記為“版本6.X”，表明這一威脅已經(jīng)存在相當長的一段時間。根據(jù)Slingshot的創(chuàng)建時間、技能和成本表明，其背后的團隊是高度組織化和專業(yè)化的，并且可能有國家背景。在平昌冬季奧運會開幕后不久，我們就收到了針對奧運會基礎(chǔ)設(shè)施的惡意軟件攻擊報告。Olympic Destroyer攻擊了一些顯示器，關(guān)閉了Wi-Fi，攻陷了奧運會網(wǎng)站從而阻止觀眾打印門票。攻擊者還攻擊了該地區(qū)的其他一些組織，例如一些韓國的滑雪勝地。Olympic Destroyer是一種網(wǎng)絡(luò)蠕蟲，其主要目的是從受害者的遠程網(wǎng)絡(luò)共享中擦除文件。在攻擊發(fā)生后的幾天中，基于此前網(wǎng)絡(luò)間諜和攻擊團隊的一系列特征，世界各地的研究團隊和媒體將此次襲擊歸咎為俄羅斯、中國和朝鮮。我們的研究人員也試圖分析攻擊的幕后黑手，在研究的過程中，我們發(fā)現(xiàn)Lazarus惡意組織似乎與此次攻擊相關(guān)。我們發(fā)現(xiàn)，攻擊者留下的一些獨特痕跡與此前Lazarus惡意軟件的組件完全匹配。然而，我們在韓國一家受到攻擊的組織進行現(xiàn)場調(diào)查時發(fā)現(xiàn)，此次攻擊與已知的Lazarus TTP（戰(zhàn)術(shù)）相對比，其動機明顯不同。我們發(fā)現(xiàn)相應(yīng)的特征與代碼無法相互匹配，該攻擊中的惡意軟件被偽造成與Lazarus使用的指紋完美匹配。因此我們得出結(jié)論，其所使用的“指紋”是一個復(fù)雜的虛假標志，故意放置于惡意軟件內(nèi)部，以便使威脅研究人員找到，從而誤導(dǎo)他們。

我們繼續(xù)追蹤這一APT組織的活動，并在今年6月注意到他們已經(jīng)開始一個針對不同地理范圍的新型攻擊。根據(jù)我們的遠程監(jiān)測和對魚叉式網(wǎng)絡(luò)釣魚文件的分析，表明在Olympic Destroyer背后的攻擊者主要針對歐洲的金融行業(yè)和生物技術(shù)相關(guān)組織發(fā)動攻擊，特別是俄羅斯、荷蘭、德國、瑞士和烏克蘭。在早期，Olympic Destroyer的主要目標是摧毀冬奧會及相關(guān)的供應(yīng)鏈、合作伙伴和場館的基礎(chǔ)設(shè)施，并且之前已經(jīng)進行了一次偵查活動。這樣的證據(jù)表明，新的惡意活動是另一個偵查階段的一部分，隨后會進行一系列具有新動機的破壞性攻擊。其針對的各種金融相關(guān)目標和非金融目標也表明，具有不同目的的多個惡意組織正在使用相同的惡意軟件。這可能是網(wǎng)絡(luò)攻擊外包的結(jié)果，這種情況在民族國家威脅中并不少見。然而，以金融為目標很可能也是惡意組織的一個“幌子”，從而掩蓋其真實的目的。

在今年4月，我們披露了Parliament活動的運作情況，這是一項針對世界各地立法、行政和司法組織的網(wǎng)絡(luò)間諜活動，主要集中在中東和北非地區(qū)，特別是巴勒斯坦。這些攻擊始于2017年初，主要針對議會、參議院、州政府及其官員、政治學(xué)家、軍事和情報機構(gòu)、政府部門、媒體機構(gòu)、研究中心、選舉委員會、奧運組織、大型貿(mào)易公司等。此次目標受害者不同于此前在該地區(qū)的惡意活動（Gaza Cybergang和Desert Falcons），并且在這次惡意攻擊之前，惡意組織精心進行了信息收集活動。在進一步感染之前，攻擊者一直非常小心的驗證受害設(shè)備，從而保護他們的C&C服務(wù)器。在2018年以后，攻擊速度放緩，可能是由于攻擊者已經(jīng)實現(xiàn)了目標。

我們持續(xù)追蹤Crouching Yeti（又名Energetic Bear）的惡意活動，這是一個自2010年以來一直活躍的APT集團，主要以能源和工業(yè)公司為目標。該惡意組織面向全球各地發(fā)動攻擊，但特別關(guān)注歐洲、美國和土耳其，土耳其是該惡意組織在2016-2017年期間新增的目標。該惡意組織的主要策略是發(fā)送包含惡意文檔的網(wǎng)絡(luò)釣魚電子郵件，以及借助托管工具、日志和水坑攻擊來感染服務(wù)器。美國CERT和英國國家網(wǎng)絡(luò)安全中心（NCSC）已經(jīng)公開討論過Crouching Yeti針對美國目標的惡意活動。今年4月，卡巴斯基實驗室ICS CERT提供了有關(guān)被Crouching Yeti感染和惡意利用的服務(wù)器的信息，并提供了針對2016年和2017年初被該惡意組織攻陷的幾臺Web服務(wù)器的分析結(jié)果。讀者可以在這里查閱完整報告，但以下是我們總結(jié)的摘要：

1. 除了極少數(shù)例外情況，該惡意組織使用公開的工具來進行攻擊。正因如此，使得根據(jù)攻擊行為追溯到惡意組織的這一過程非常困難。

2. 當攻擊者希望建立一個“跳板”，對目標設(shè)施開展進一步攻擊時，互聯(lián)網(wǎng)上任何存在漏洞的服務(wù)器都有可能受到攻擊。

3. 該惡意組織執(zhí)行的大多數(shù)任務(wù)，都是尋找漏洞、在各類主機上獲得持久性，以及竊取身份驗證數(shù)據(jù)。

4. 惡意攻擊的受害者來自不同行業(yè)，同時也表明攻擊者具有多種目的。

5. 在某種程度上，可以確定該惡意組織的運營方式是接受外部客戶的資金支持或接受訂單，然后進行初始數(shù)據(jù)收集，竊取身份驗證數(shù)據(jù)，并獲得相應(yīng)攻擊資源的持久性，以便攻擊者進一步執(zhí)行惡意活動。

今年5月，Cisco Talos團隊的研究人員發(fā)布了他們針對VPNFilter的研究結(jié)果，這是一個用于感染不同品牌路由器的惡意軟件，主要針對烏克蘭的目標發(fā)動攻擊，但同時也影響了54個國家的路由器。關(guān)于該惡意軟件的分析，請參考這篇文章和這篇文章。最初，分析人員認為該惡意軟件感染了大約500000臺路由器，包括小型辦公室或家庭辦公室（SOHO）中的Linksys、MikroTik、Netgear和TP-Link網(wǎng)絡(luò)設(shè)備，以及QNAP網(wǎng)絡(luò)附加存儲（NAS）設(shè)備。但實際上，受感染的路由器清單顯然要長得多，總共有75種設(shè)備，包括華碩、D-Link、華為、Ubiquiti、UPVEL和中興。惡意軟件能夠使受感染的設(shè)備停止工作、執(zhí)行Shell命令、創(chuàng)建用于匿名訪問設(shè)備的TOR配置或配置路由器的代理端口和代理URL以控制瀏覽會話。但是，該風險也會擴散到設(shè)備支持的網(wǎng)絡(luò)中，從而擴大了攻擊范圍。我們的全球研究和分析團隊（GReAT）的研究人員詳細分析了VPNFilter使用的C&C機制。其中一個有趣的問題是，誰是這個惡意軟件的幕后黑手？Cisco Talos表示，該惡意軟件的背后是一個由國家或州支持的威脅行為者。美國聯(lián)邦調(diào)查局在其關(guān)于使用Sink-holing 技術(shù)關(guān)停C&C服務(wù)器的報告中表示，Sofacy（又名APT28、Pawn Storm、Sednit、STRONTIUM和Tsar Team）是該惡意軟件的始作俑者。在此前針對烏克蘭的攻擊所使用的BlackEnergy惡意軟件中，有一些代碼與之相同。

Sofacy是卡巴斯基實驗室多年來一直追蹤的惡意組織，該網(wǎng)絡(luò)間諜組織保持高度活躍，并且頻繁產(chǎn)出惡意軟件。在2月，我們發(fā)布了2017年Sofacy惡意活動的概述，并揭示了2017年該惡意組織逐漸從北約的目標轉(zhuǎn)向中東、中亞以及其他地區(qū)的目標。Sofacy使用魚叉式網(wǎng)絡(luò)釣魚和水坑攻擊來竊取信息，包括帳戶憑據(jù)、敏感通信和文檔。該威脅行為者還利用0day漏洞來部署其惡意軟件。

Sofacy針對不同的目標部署了不同的工具。2017年年初，該惡意組織的經(jīng)銷商針對軍事和外交組織（主要位于北約國家和烏克蘭）開展惡意活動。在今年晚些時候，該組織利用其武器庫中的Zebrocy和SPLM，針對更廣泛的組織（包括科學(xué)與工程中心以及新聞媒體），面向中亞和遠東地區(qū)發(fā)動攻擊。與其他復(fù)雜的威脅參與者一樣，Sofacy不斷開發(fā)新的工具，保持高水平的操作安全性，并專注于使其惡意軟件難以檢測。一旦在網(wǎng)絡(luò)上發(fā)現(xiàn)了Sofacy這類高級惡意組織的任何活動跡象，應(yīng)該立即檢查系統(tǒng)上的登錄和異常管理員訪問權(quán)限，徹底掃描或使用沙箱運行收到的所有附件，并將電子郵件等服務(wù)設(shè)置為雙因素身份驗證和通過VPN訪問。借助APT情報報告、YARA等威脅搜索工具以及KATA（卡巴斯基反目標攻擊平臺）等高級檢測解決方案，可以有助于用戶了解惡意組織的目標，并提供檢測惡意活動的強大方法。

我們的研究表明，Sofacy并不是唯一在遠東地區(qū)運營的惡意組織，這有時會導(dǎo)致不同惡意組織之間的目標重疊。我們已經(jīng)發(fā)現(xiàn)，Sofacy的Zebrocy惡意軟件利用俄羅斯惡意組織Mosquito Turla的集群競爭訪問受害者計算機的案例，其使用的SPLM后門軟件與Turla和Danti競相攻擊，都以中亞地區(qū)政府、科技、軍事相關(guān)的組織為攻擊目標。最有趣的目標重疊，可能是Sofacy與Lamberts家族之間的重疊。在檢測到服務(wù)器上存在Sofacy組織的惡意軟件之后，研究人員發(fā)現(xiàn)該服務(wù)器此前已被Grey Lambert惡意軟件攻擊。這臺被攻陷的服務(wù)器屬于一家設(shè)計和制造航空航天和防空技術(shù)的中國企業(yè)集團。但是，原始的SPLM投遞載體仍然未知，這就引發(fā)了很多假設(shè)的可能性，包括Sofacy可能正在使用尚未被發(fā)現(xiàn)的新型漏洞利用方式、后門產(chǎn)生了新的變種，或者Sofacy以某種方式成功利用了Gray Lambert的通信渠道來下載其惡意軟件。甚至，可能之前的Lambert感染是該惡意活動中故意留下的虛假線索。我們認為，最可能的答案是，Sofacy利用未知的新PowerShell腳本或合法但存在漏洞的Web應(yīng)用程序來加載并執(zhí)行SPLM代碼。

6月份，我們報告了一項針對中亞國家數(shù)據(jù)中心的持續(xù)惡意活動。在這一活動中，目標的選擇尤為重要，這意味著攻擊者能夠一舉獲得大量的政府資源。我們認為，攻擊者通過在相應(yīng)國家的官方網(wǎng)站上插入惡意腳本來執(zhí)行水坑攻擊。我們根據(jù)惡意活動中所使用的工具和策略，以及C&C服務(wù)器update.iaacstudio[.]com，推斷該惡意活動由LuckyMouse組織進行（又名EmissaryPanda和APT27）。該惡意組織此前的目標是政府組織，也包括中亞地區(qū)的組織。用于攻擊數(shù)據(jù)中心的原始載體尚不清楚。我們此前觀察到，LuckyMouse使用武器化工具，借助CVE-2017-11882（Microsoft Office公式編輯器漏洞，自2017年12月以來被廣泛使用）進行攻擊，但我們無法證明這一系列工具與此次攻擊有關(guān)。攻擊者可能會使用水坑攻擊的方式來感染數(shù)據(jù)中心內(nèi)部的計算機。

在9月，我們報道了LuckyMouse的另一起活動。自3月份以來，我們發(fā)現(xiàn)了一些感染行為，其中一個以前未知的木馬被注入到“l(fā)sass.exe”系統(tǒng)進程內(nèi)存中。注入過程是由經(jīng)過簽名的32位或64位網(wǎng)絡(luò)過濾驅(qū)動程序NDISProxy實現(xiàn)，這一驅(qū)動程序由中國的LeagSoft公司簽署，該公司是一家位于深圳的信息安全軟件開發(fā)商，我們通過CN-CERT報告了這一問題。該惡意活動針對的是中亞政府組織，我們認為此次攻擊與該地區(qū)的高層會議有關(guān)。在攻擊中所使用的Earthworm隧道，對于使用中文的惡意組織來說是非常典型的。此外，攻擊者使用的命令之一（-s rssocks -d 103.75.190[.]28 -e 443）創(chuàng)建了到先前已知的LuckyMouse C&C服務(wù)器的隧道。該惡意活動所針對的目標，也與該惡意組織此前選擇的目標一致。我們沒有發(fā)現(xiàn)任何魚叉式網(wǎng)絡(luò)釣魚或水坑活動的跡象，我們認為攻擊者是通過已經(jīng)被攻陷的網(wǎng)絡(luò)來進行惡意軟件傳播。

Lazarus是一個成熟的惡意組織，從2009年以來就開始進行網(wǎng)絡(luò)間諜活動和網(wǎng)絡(luò)破壞活動。近年來，該組織開始針對全球金融組織開展惡意活動。在8月，我們發(fā)現(xiàn)該組織已經(jīng)成功攻陷了幾家銀行，并滲透了一些全球加密貨幣交易所和金融科技公司。在協(xié)助應(yīng)急響應(yīng)的同時，我們了解到受害者是通過帶有木馬的加密貨幣交易應(yīng)用被感染的。一位安全意識較為薄弱的員工從看似合法的網(wǎng)站下載了第三方應(yīng)用程序，并感染了一個名為Fallchill的惡意軟件，這是Lazarus近期開始使用的勞工具。似乎Lazarus已經(jīng)找到了一種有效的方法來創(chuàng)建一個看起來合法的網(wǎng)站，并將惡意Payload注入到看似合法的軟件更新機制中。在這種情況下，惡意組織創(chuàng)建了一個虛假的供應(yīng)鏈，而并沒有攻陷一個真正的供應(yīng)鏈。無論如何，Lazarus集團在攻擊供應(yīng)鏈方面取得的成功，表明了他們會繼續(xù)利用這種攻擊方式。攻擊者針對非Windows平臺做出了額外的努力，并且開發(fā)了針對macOS系統(tǒng)的惡意軟件，同時該網(wǎng)站提示稱Linux版本即將推出。這可能是我們第一次發(fā)現(xiàn)這個APT組織利用針對macOS的惡意軟件。看起來，為了針對特定高級目標發(fā)動攻擊，惡意組織被迫要開發(fā)macOS惡意軟件工具。Lazarus集團擴展其目標操作系統(tǒng)列表的事實，應(yīng)該為非Windows用戶敲響警鐘。讀者可以在這里閱讀我們關(guān)于AppleJeus的報告。

Turla（又名Venomous Bear、Waterbug和Uroboros）惡意組織最著名的就是當時極度復(fù)雜的Snake Rootkit，主要攻擊與北約相關(guān)的目標。然而，這一惡意組織的實際活動要比這一惡意軟件廣泛得多。10月，我們報道了Turla組織近期的活動，揭示了舊代碼、新代碼和新猜測的有趣組合，以及推測了該惡意組織的后續(xù)計劃。我們在2018年的大部分研究，都集中于他們的KopiLuwak JavaScript后門、Carbon框架的新變種以及Meterpreter交付技術(shù)。其他一些值得關(guān)注的地方是他們使用不斷變化的Mosquito投遞技術(shù)、定制的PoshSec-Mod開源PowerShell和從別處借用的注入代碼。我們將一些惡意活動與WhiteBear和Mosquito基礎(chǔ)設(shè)施及數(shù)據(jù)點以及惡意組織在2017年和2018年期間的活動相關(guān)聯(lián)。該惡意組織的目標很少與其他APT活動相重疊。Turla并沒有參加具有里程碑意義的DNC黑客活動（Sofacy和CozyDuke都曾參與），他們悄然活躍在全球各地的其他惡意活動中，與該惡意組織相關(guān)的攻擊方法尚未被武器化。Mosquito和Carbon活動主要針對外交和外交事務(wù)目標，而WhiteAtlas和WhiteBear活動遍布全球，針對于外交相關(guān)的組織，但還針對一些科技組織以及與政治無關(guān)的組織。該組織的KopiLuwak惡意活動沒有針對于外交和外交事務(wù)，相反，在2018年的惡意活動主要針對具有政府背景的科學(xué)和能源研究組織，以及阿富汗政府相關(guān)的通信組織。這種具有高度針對性但更加廣泛的目標選擇模式可能會持續(xù)到2019年。

10月，我們報道了MuddyWater APT組織近期的活動。我們在過去的監(jiān)測表明，這個相對較新的惡意組織在2017年浮出水面，主要針對伊拉克和沙特阿拉伯的政府目標發(fā)動攻擊。然而，眾所周知，近期MuddyWater背后的惡意組織又將目標瞄準中東、歐洲和美國的其他國家。我們注意到，近期大量的魚叉式網(wǎng)絡(luò)釣魚文件似乎針對約旦、土耳其、阿塞拜疆和巴基斯坦的政府機構(gòu)、軍事實體、電信公司和教育機構(gòu)，此外他們針對伊拉克和沙特阿拉伯還在發(fā)動持續(xù)的攻擊。在馬里、奧地利、俄羅斯、伊朗和巴林，也發(fā)現(xiàn)了受到攻擊的主機。這些新惡意文檔創(chuàng)建于2018年，惡意活動從5月開始升級。新的魚叉式網(wǎng)絡(luò)釣魚文檔依靠社會工程學(xué)來誘導(dǎo)受害者啟用宏。受害者依靠一系列被攻陷的主機來發(fā)動攻擊。在我們研究的高級階段，我們不僅發(fā)現(xiàn)該惡意組織武器庫中的一些其他文件和工具，還觀察到攻擊者所犯的一些OPSEC錯誤。為了防范惡意軟件攻擊，我們建議采取如下措施：

1. 對普通員工開展安全教育，以便他們能夠識別網(wǎng)絡(luò)釣魚鏈接等惡意行為。

2. 對信息安全人員開展專業(yè)培訓(xùn)，確保他們具備完整的配置加固、事件調(diào)查和溯源能力。

3. 使用經(jīng)過驗證的企業(yè)級安全解決方案，與能夠通過分析網(wǎng)絡(luò)異常來檢測攻擊的反目標攻擊解決方案相結(jié)合。

4. 為安全人員提供訪問最新威脅情報數(shù)據(jù)的權(quán)限，例如IoC和YARA規(guī)則。

5. 建立企業(yè)級補丁管理流程。

大型組織更應(yīng)該應(yīng)用高水平的網(wǎng)絡(luò)安全技術(shù)，因為攻擊者對這些組織的攻擊是無法避免的，并且永遠不太可能停止。

DustSquad是另一個針對中亞組織的惡意組織。在過去兩年中，卡巴斯基實驗室一直在監(jiān)控這個使用俄語的網(wǎng)絡(luò)間諜組織，并想我們的客戶提供有關(guān)針對Android和Windows的四個惡意活動的私有情報報告。最近，我們分析了一個名為Octopus的惡意程序，該程序用于攻擊特定地區(qū)的外交機構(gòu)。這一名稱是由ESET在2017年確定的，因為他們在舊的C&C服務(wù)器上發(fā)現(xiàn)攻擊所使用的0ct0pus3.php腳本。使用卡巴斯基歸因引擎（Kaspersky Attribution Engine）基于相似度算法進行分析，我們發(fā)現(xiàn)Octopus與DustSquad相關(guān)。在我們的監(jiān)測中，我們在中亞地區(qū)前蘇聯(lián)成員國和阿富汗發(fā)現(xiàn)這一活動的蹤跡。4月，我們發(fā)現(xiàn)了一個新的Octopus樣本，偽裝成具有俄語界面的Telegram Messenger。我們無法找到該惡意軟件所冒充的合法軟件，事實上，我們認為相應(yīng)的合法軟件并不存在。然而，攻擊者利用哈薩克斯坦?jié)撛诘慕故褂肨elegram規(guī)定來推動其Dropper作為政治反對派的替代通信軟件。

10月，我們發(fā)表了針對Dark Pulsar的分析。我們的調(diào)查始于2017年3月，當時Shadow Brokers發(fā)布的被竊取數(shù)據(jù)中包含了兩個框架，分別是DanderSpritz和FuzzBunch。DanderSpritz中包含各種類型的插件，旨在分析受害者、實現(xiàn)漏洞利用、添加計劃任務(wù)等。DanderSpritz框架旨在檢查已受控制的計算機，并從中收集情報。這兩個框架共同為網(wǎng)絡(luò)間諜提供了一個非常強大的平臺。但泄露的數(shù)據(jù)中并不包括Dark Pulsar后門本身，而是包含一個用于控制后門的管理模塊。但是，通過在管理模塊中基于一些常量創(chuàng)建特殊簽名，我們就能夠捕獲到植入工具。這種植入工具使攻擊者能夠遠程控制被感染設(shè)備。我們發(fā)現(xiàn)了50臺被感染的設(shè)備，它們位于俄羅斯、伊朗和埃及，但我們相信可能還會有更多。首先，DanderSpritz接口能同時管理大量被感染主機。此外，攻擊者通常會在惡意活動結(jié)束后刪除惡意軟件。我們認為這一惡意活動在2017年4月Shadow Brokers泄露“Lost in Translation”后就停止了。針對Dark Pulsar這樣的復(fù)雜威脅，大家可以在這里查看我們提供的緩解策略。

三、移動APT攻擊系列

2018年，在移動APT威脅部分，我們主要發(fā)現(xiàn)了三起重大事件：Zoopark、BusyGasper和Skygofree網(wǎng)絡(luò)間諜活動。

從技術(shù)上講，這三起惡意活動都經(jīng)過精心設(shè)計，其主要目的相似，都是監(jiān)視特定的受害者。這些攻擊的主要目的是從移動設(shè)備中竊取所有可用的個人數(shù)據(jù)，包括呼叫、信息、地理定位等。甚至一些惡意軟件還具有通過麥克風進行竊聽的功能。針對一些毫無防備的目標，他們的智能手機直接成為了攻擊者最佳的竊聽和信息收集工具。

網(wǎng)絡(luò)犯罪分子特別針對流行的即時通信服務(wù)進行信息竊取，現(xiàn)在這些服務(wù)已經(jīng)在很大程度上取代了傳統(tǒng)的通信方式。在某些情況下，攻擊者能夠使用木馬實現(xiàn)在設(shè)備上的本地特權(quán)提升，從而實現(xiàn)幾乎沒有限制的遠程監(jiān)控訪問以及設(shè)備管理。

在這三個惡意程序中，有兩個程序具有記錄鍵盤輸入的功能，網(wǎng)絡(luò)犯罪分子記錄用戶的每次擊鍵。值得注意的是，要記錄鍵盤輸入，攻擊者甚至都不需要提升權(quán)限。

從地理位置來看，受害者位于各個國家：Skygofree針對意大利用戶，BusyGasper針對俄羅斯特定用戶，Zoopark主要在中東運營。

同樣值得注意的是，與間諜活動相關(guān)的犯罪分子越來越青睞于移動平臺，因為移動平臺提供了更多的個人信息。

四、漏洞利用

利用軟件和硬件中存在的漏洞，仍然是攻擊者攻陷各種設(shè)備的主要手段。

今年早些時候，有兩個影響Intel CPU的高危漏洞，分別是Meltdown和Spectre，這兩個漏洞分別允許攻擊者從任何進程和自身進程中讀取內(nèi)存。這些漏洞自2011年以來一直存在。Meltdown（CVE-2017-5754）會影響Intel CPU并允許攻擊者從主機上的任何進程讀取數(shù)據(jù)。盡管需要執(zhí)行代碼，但可以通過各種方式來實現(xiàn)，舉例來說，可以通過軟件漏洞或訪問加載包含Meltdown攻擊相關(guān)JavaScript代碼的惡意網(wǎng)站。一旦該漏洞被成功利用，攻擊者就可以讀取內(nèi)存中的所有數(shù)據(jù)（包括密碼、加密密鑰、PIN等）。廠商很快就發(fā)布了流行操作系統(tǒng)適用的?。但在1月3日發(fā)布的Microsoft補丁與所有反病毒程序不兼容，可能會導(dǎo)致BSoD（藍屏）。因此，只有在反病毒軟件首次設(shè)置特定注冊表項時，才能安裝更新，從而指示不存在兼容性問題。Spectre（CVE-2017-5753和VCE-2017-5715）與Meltdown不同，該漏洞也存在于其他架構(gòu)中（例如AMD和ARM）。此外，Spectre只能讀取漏洞利用進程的內(nèi)存空間，而不能讀取任意進程的內(nèi)存空間。更重要的是，除了一些瀏覽器采用了防范措施之外，Spectre還沒有通用的解決方案。在報告漏洞之后的幾周內(nèi)，可以很明顯地看出這些漏洞不易被修復(fù)。大部分發(fā)布的補丁都是減少攻擊面，減少漏洞利用的已知方法，但并沒有完全消除風險。由于這個漏洞會嚴重影響CPU的正常工作，很明顯廠商在未來的幾年內(nèi)都要努力應(yīng)對新的漏洞利用方式。事實上，這一過程并不需要幾年的時間。在今年7月，Intel為Spectre變種（CVE-2017-5753）相關(guān)的新型處理器漏洞支付了10萬美元的漏洞賞金。Spectre 1.1（CVE-2018-3693）可用于創(chuàng)建預(yù)測的緩沖區(qū)溢出。Spectre 1.2允許攻擊者覆蓋制度數(shù)據(jù)和代碼指針，從而破壞不強制執(zhí)行讀寫保護的CPU上的沙箱。麻省理工學(xué)院研究員Vladimir Kiriansky和獨立研究員Carl Waldspurger發(fā)現(xiàn)了這些新的漏洞。

4月18日，有人向VirusTotal上傳了一個新的漏洞利用工具。該文件被多家安全廠商檢測，包括卡巴斯基實驗室在內(nèi)，我們借助通用啟發(fā)式邏輯來檢測一些較舊的Microsoft Word文檔。事實證明，這是Internet Explorer（CVE-2018-8174）的一個新的0day漏洞，Microsoft在5月8日實現(xiàn)了修復(fù)。我們在沙箱系統(tǒng)中運行樣本后，發(fā)現(xiàn)該樣本成功針對應(yīng)用了最新補丁的Microsoft Word版本實現(xiàn)漏洞利用。因此，我們對漏洞進行了更深入的分析，發(fā)現(xiàn)感染鏈包含以下步驟。受害者首先收到惡意的Microsoft Word文檔，在打開之后，將會下載漏洞的第二階段，是一個包含VBScript代碼的HTML頁面。該頁面將會觸發(fā)UAF漏洞并執(zhí)行ShellCode。盡管最初的攻擊向量是Word文檔，但該漏洞實際上是位于VBScript中。這是我們第一次看到用于在Word中加載IE漏洞的URL Moniker，我們相信這種技術(shù)在以后會被攻擊者嚴重濫用，因為這種技術(shù)允許攻擊者強制加載IE，并忽略默認瀏覽器設(shè)置。漏洞利用工具包的作者很可能會在通過瀏覽器的攻擊和通過Word文檔的魚叉式網(wǎng)絡(luò)釣魚攻擊中濫用這一漏洞。為了防范這種攻擊方式，我們應(yīng)該應(yīng)用最新的安全更新，并使用具有行為檢測功能的安全解決方案。

8月，我們的AEP（自動漏洞利用防御）技術(shù)檢測到一種新型網(wǎng)絡(luò)攻擊，試圖在Windows驅(qū)動程序文件win32k.sys中使用0day漏洞。我們向Microsoft通報了這一問題，并且Microsoft在10月9日披露了這一漏洞（CVE-2018-8453）并發(fā)布了更新。這是一個非常危險的漏洞，攻擊者可以控制受感染的計算機。該漏洞被用于針對中東組織的特定目標攻擊活動中，我們發(fā)現(xiàn)了近12臺被感染的計算機，我們認為這些攻擊是由FruityArmor惡意組織發(fā)動的。

10月下旬，我們向Microsoft報告了另一個漏洞，這次是win32k.sys的0day特權(quán)提升漏洞，攻擊者可以利用該漏洞來獲取創(chuàng)建系統(tǒng)持久性所需的特權(quán)。這種漏洞也被用于針對中東組織的攻擊之中。Microsoft在11月13日發(fā)布了該漏洞的更新（CVE-2018-8589）。我們還通過主動檢測技術(shù)（卡巴斯基反目標攻擊平臺的高級沙盒、反惡意軟件引擎和AEP技術(shù)）成功檢測出這一威脅。

五、瀏覽器擴展：擴大網(wǎng)絡(luò)犯罪分子的范圍

瀏覽器擴展可以隱藏難看的廣告、翻譯文本、幫助我們在網(wǎng)上商店選擇想要的商品等，使我們的生活更加輕松。但不幸的是，還有一些惡意擴展被用于廣告轟炸、收集用戶活動的相關(guān)信息，以及竊取財產(chǎn)。今年早些時候，一個惡意瀏覽器擴展引起了我們的注意，因為該擴展與一些可疑的域名進行了通信。惡意擴展名稱為DesbloquearConteúdo（葡萄牙語：解鎖內(nèi)容），主要針對巴西地區(qū)使用網(wǎng)上銀行服務(wù)的客戶，收集其登錄信息和密碼，以便攻擊者訪問受害者的銀行賬戶。

9月，黑客發(fā)布了來自至少81000個Facebook帳戶的私人信息，聲稱這只是1.2億帳戶信息泄露的冰山一角。在暗網(wǎng)的廣告中，攻擊者以每個帳戶10美分的價格來提供這些竊取的信息。BBC俄羅斯服務(wù)和網(wǎng)絡(luò)安全公司Digital Shadows調(diào)查了這起攻擊事件。他們發(fā)現(xiàn)在81000個帳戶中，大多數(shù)來自烏克蘭和俄羅斯，但其他國家的帳戶也包含在內(nèi)，包括英國、美國和巴西。Facebook認為這些信息是通過惡意瀏覽器擴展程序竊取的。

惡意擴展非常罕見，但我們需要認真防范這些威脅，因為它們可能會造成潛在的損害。用戶應(yīng)該只在Chrome網(wǎng)上應(yīng)用商店或其他官方服務(wù)中安裝具有大量安裝數(shù)和評論數(shù)的經(jīng)過驗證的擴展程序。即便應(yīng)用商店的運營者已經(jīng)實施了保護措施，但惡意擴展還是有可能被成功發(fā)布。因此，建議用戶額外使用互聯(lián)網(wǎng)安全產(chǎn)品，安全產(chǎn)品將能夠檢測出可疑的擴展程序。

六、世界杯期間的欺詐行為

社會工程學(xué)仍然是各類網(wǎng)絡(luò)攻擊者的重要工具。詐騙者總是在尋找機會，通過一些熱門的體育賽事來非法牟利，而世界杯就是他們的一個不錯之選。在世界杯開始前的一段時間，網(wǎng)絡(luò)犯罪分子就開始建立網(wǎng)絡(luò)釣魚網(wǎng)站，并發(fā)出與世界杯相關(guān)的信息。這些網(wǎng)絡(luò)釣魚郵件包括虛假的彩票中獎通知和比賽門票相關(guān)消息。詐騙者總是竭盡全力地模仿合法的世界杯合作伙伴網(wǎng)站，創(chuàng)建一個經(jīng)過完美設(shè)計的網(wǎng)頁，甚至添加了SSL證書以增加可信度。犯罪分子還通過模擬FIFA官方通知來提取數(shù)據(jù)：受害者收到一條消息，通知他們安全系統(tǒng)已經(jīng)更新，必須重新輸入所有個人數(shù)據(jù)才能避免帳戶被鎖定。這些消息中包含指向虛假頁面的鏈接，詐騙者在這些虛假頁面上收集受害者的個人信息。

關(guān)于網(wǎng)絡(luò)犯罪分子利用世界杯進行欺詐的相關(guān)報告可以從這里找到。此外，我們還提供了有關(guān)如何避免網(wǎng)絡(luò)釣魚詐騙的提示，這些提示適用于任何網(wǎng)絡(luò)釣魚詐騙，而不僅僅局限于世界杯相關(guān)。

在比賽前，我們還分析了舉辦FIFA世界杯比賽的11個城市的無線接入點，總共包含近32000個Wi-Fi熱點。在檢查其加密和身份驗證算法時，我們計算了WPA2加密方式和完全開放的網(wǎng)絡(luò)數(shù)量，以及它們在所有接入點之中的占比。超過五分之一的Wi-Fi熱點都使用了不可靠的網(wǎng)絡(luò)，這意味著犯罪分子只需要身處接入點附近，就能夠攔截流量并獲取人們的數(shù)據(jù)。大約四分之三的接入點使用了WPA/WPA2加密，這是目前被認為最安全的加密方式之一。針對這些熱點，安全防護的強度主要取決于配置，例如熱點所有者所設(shè)置的密碼強度。復(fù)雜的加密密鑰可能需要數(shù)年才能成功破解。然而，即使是可靠的網(wǎng)絡(luò)（例如WPA2），也不能被認為是完全安全的。這些網(wǎng)絡(luò)仍然容易受到暴力破解、字典破解和密鑰重新配置的攻擊，并且網(wǎng)上有大量的攻擊教程和開源工具。在公共的接入點中，也可以通過中間人攻擊的方式攔截來自WPA Wi-Fi的流量。

我們的報告以及如何安全使用Wi-Fi熱點的建議可以在這里找到，這些建議也同樣適用于任何場景，不只是世界杯。

七、工業(yè)規(guī)模的金融詐騙

今年8月，卡巴斯基實驗室ICS CERT報道了一起旨在從企業(yè)（主要是制造公司）竊取資金的網(wǎng)絡(luò)釣魚活動。攻擊者使用典型的網(wǎng)絡(luò)釣魚技術(shù)，誘導(dǎo)受害者點擊受感染的附件，該附件包含在一封偽裝成商業(yè)報價和其他財務(wù)文件的電子郵件之中。網(wǎng)絡(luò)犯罪分子使用合法的遠程管理應(yīng)用程序TeamViewer或RMS（Remote Manipulator System）來訪問設(shè)備，并掃描當前購買的相關(guān)信息，以及受害者使用的財務(wù)和會計軟件的詳細信息。然后，攻擊者通過不同手段竊取公司的資金，例如通過替換交易中的銀行賬號。在8月1日發(fā)布報告時，我們已經(jīng)發(fā)現(xiàn)至少有800臺計算機感染這一威脅，這些受感染設(shè)備位于至少400個組織中，涉及到制造業(yè)、石油和天然氣、冶金、工程、能源、建筑、采礦和物流等多個行業(yè)。該惡意活動自2017年10月以來就持續(xù)進行。

我們的研究發(fā)現(xiàn)，即使惡意組織使用簡單的技術(shù)和已知的惡意軟件，他們也可以借助社會工程學(xué)技巧以及將代碼隱藏在目標系統(tǒng)中的方法，成功實現(xiàn)對工業(yè)公司的攻擊。同時，他們使用合法的遠程管理軟件，來逃避反病毒解決方案的檢測。

有關(guān)攻擊者如何使用遠程管理工具來攻陷其目標的更多信息，請參見這篇文章，以及2018年上半年針對工控系統(tǒng)的攻擊概述。

八、勒索軟件：仍然存在的威脅

在過去一年內(nèi)，勒索軟件攻擊的數(shù)量已經(jīng)發(fā)生下降。然而，這種類型的惡意軟件仍然是一個嚴重的問題。我們持續(xù)看到了新的勒索軟件家族的發(fā)展。8月初，我們的反勒索軟件模塊檢測到了KeyPass木馬。在短短兩天內(nèi)，我們在20多個國家發(fā)現(xiàn)了這種惡意軟件，巴西和越南遭受的打擊最為嚴重，但也在歐洲、非洲和遠東地區(qū)發(fā)現(xiàn)了受害者。KeyPass可以對受感染的計算機能訪問的本地驅(qū)動器和網(wǎng)絡(luò)共享上的所有文件（不限擴展名）進行加密。同時，還忽略了一些文件，這些文件位于惡意軟件中硬編碼的目錄中。加密文件的附加擴展名為KEYPASS，勒索提示文件名為“!!!KEYPASS_DECRYPTION_INFO!!!.txt”，保存在包含加密文件的每個目錄中。該木馬的作者實施了一個非常簡單的方案。惡意軟件使用了AES-256對稱加密算法（CFB模式），并針對所有文件使用為0的IV和相同的32字節(jié)密鑰。木馬在每個文件的頭部進行加密，最多加密到0x500000字節(jié)（約5MB）的數(shù)據(jù)。在運行后不久，惡意軟件連接到其C&C服務(wù)器，并獲取當前受害者的加密密鑰和感染ID。數(shù)據(jù)以JSON的形式通過純HTTP傳輸。如果C&C不可用（例如被感染計算機未連接到網(wǎng)絡(luò)，或者服務(wù)器已經(jīng)被關(guān)閉），那么惡意軟件會使用硬編碼的密鑰和ID。在離線加密的情況下，可以輕松實現(xiàn)對文件的解密。

KeePass木馬最值得注意的一個功能是“人工控制”。木馬包含一個默認隱藏的表單，但在按下鍵盤上的特定按鈕后可以顯示該表單。這一表單允許犯罪分子通過更改加密密鑰、勒索提示名稱、勒索文本、受害者ID、加密文件的擴展名以及要排除的目錄列表等參數(shù)，從而自定義加密過程。這種能力表明，木馬背后的犯罪分子可能打算在人工攻擊中使用這一軟件。

然而，不僅僅是新的勒索軟件家族對用戶造成了威脅。在WannaCry爆發(fā)的一年半之后，該軟件仍然是最廣泛的加密勒索惡意軟件之一，到目前為止，我們已經(jīng)在全球范圍內(nèi)發(fā)現(xiàn)了74621次獨立的攻擊。在2018年第三季度，這些攻擊占所有針對特定目標進行加密攻擊的28.72%。這一比例與去年相比增加了2/3。考慮到在2017年5月病毒爆發(fā)之前，WannaCry所使用的EternalBlue補丁就已經(jīng)存在，這一情況非常令人擔憂。

九、Asacub和銀行木馬

2018年，涉及移動銀行木馬的攻擊數(shù)量有明顯增長。在今年年初，我們針對這種類型的威脅已經(jīng)檢測到一定數(shù)量的獨特樣本和受攻擊用戶。

然而，在第二季度，這一情況發(fā)生了巨大變化。我們檢測到的移動銀行木馬和受攻擊用戶的數(shù)量突破記錄。盡管主要原因還是在于Asacub和Hqwar，但這一數(shù)字發(fā)送巨大回升的根本原因還不清楚。根據(jù)我們的數(shù)據(jù)，Asacub幕后團隊已經(jīng)運營了超過3年。

Asacub是從一個短信木馬演變而來的，它在最開始就擁有防止刪除、攔截來電和攔截短信的技術(shù)。作者隨后將程序邏輯復(fù)雜化，并開始大規(guī)模分發(fā)惡意軟件。所選擇的載體與最初的載體相同，都是通過SMS短信方式借助社會工程學(xué)實現(xiàn)分發(fā)。

當木馬感染的設(shè)備開始傳播感染時，就會呈現(xiàn)出滾雪球的增長趨勢，Asacub通過自我傳播，擴散到受害者的全部聯(lián)系人名單。

十、智能不一定意味著安全

如今，我們被智能設(shè)備所包圍，包括日常家用物品，例如電視、智能電表、恒溫器、嬰兒監(jiān)視器和兒童玩具等。但智能設(shè)備的范疇還包含汽車、醫(yī)療設(shè)備、閉路電視攝像機和停車咪表。隨著智能化的進一步提升，智能城市也相繼出現(xiàn)。然而，如今的智能時代為攻擊者提供了更大的攻擊面。要保護傳統(tǒng)計算機的安全非常困難，但如果要保護物聯(lián)網(wǎng)（IoT）的安全，則又是難上加難。由于缺乏標準化，安全人員往往會忽視其安全性，或者將安全性視為開發(fā)之后需要考量的因素之一。有很多例子可以佐證這一觀點。

2月，我們探討了智能中心（Smart Hub）的安全性問題。通過智能中心，用戶可以控制家中其他智能設(shè)備的操作，發(fā)出命令并接收消息。智能中心可以通過觸摸屏、移動應(yīng)用程序或Web界面進行控制。如果它遭受攻擊，可能會出現(xiàn)單點故障。盡管我們的研究人員分析的智能中心沒有明顯漏洞，但其中還是存在足以獲取遠程訪問權(quán)限的邏輯漏洞。

卡巴斯基實驗室ICS CERT的研究人員針對一款流行的智能攝像頭進行了分析，并研究該設(shè)備是如何防止入侵的。智能攝像頭現(xiàn)在已經(jīng)成為日常生活中的一部分，有許多智能攝像頭都連到云端，用于遠程監(jiān)控特定位置（查看寵物、進行安全監(jiān)控等）。我們的研究人員所分析的設(shè)備被當做通用攝像頭來銷售，可以用作嬰兒監(jiān)視器，也可以作為安全系統(tǒng)的一部分。該攝像頭具有夜視能力，可以跟隨移動的物體，并支持將視頻傳輸?shù)街悄苁謾C或平板電腦，可以通過內(nèi)置揚聲器播放聲音。但不幸的是，這一智能攝像頭居然有13個漏洞，幾乎與它的功能一樣多，可以允許攻擊者更改管理員密碼、在設(shè)備上執(zhí)行任意代碼、構(gòu)建被攻陷攝像頭的僵尸網(wǎng)絡(luò)或者完全阻止攝像頭運行。

這些安全問題不止存在于面向消費者的設(shè)備之中。今年年初，我們的全球研究和分析團隊研究員與Azimuth Security的Amihai Neiderman共同發(fā)現(xiàn)了一個加油站自動化設(shè)備的漏洞。該設(shè)備直接連接到互聯(lián)網(wǎng)，負責管理加油站的每一個組件，包括加油機器和支付終端。更令人擔憂的是，外部人員可以使用默認憑據(jù)訪問設(shè)備的Web界面。經(jīng)過進一步的研究顯示，攻擊者可以關(guān)閉所有加油系統(tǒng)、導(dǎo)致燃油泄漏、修改價格、繞過支付終端、獲取車輛牌照和駕駛員身份、在控制器單元上執(zhí)行代碼，甚至可以在加油站的網(wǎng)絡(luò)上自由移動。

如今，技術(shù)正在推動醫(yī)療保健的改革，它有助于提升醫(yī)療質(zhì)量，并降低醫(yī)療和護理服務(wù)的成本，同時還可以讓患者和公民更好地管理他們的醫(yī)療保健信息，賦予護理人員全力，并有助于新藥和治療方法的研究。然而，新的醫(yī)療技術(shù)和移動工作實踐所產(chǎn)生的數(shù)據(jù)要比以往任何時候都多，同時也為數(shù)據(jù)丟失或數(shù)據(jù)竊取提供了更多的機會。在過去的幾年中，我們已經(jīng)多次提出了這一問題。我們持續(xù)跟蹤網(wǎng)絡(luò)犯罪分子的活動軌跡，了解他們?nèi)绾螡B透醫(yī)療網(wǎng)絡(luò)，如何找到公開醫(yī)療資源的數(shù)據(jù)以及如何將其泄露出去。9月，我們檢查了醫(yī)療領(lǐng)域的安全性，發(fā)現(xiàn)超過60%醫(yī)療機構(gòu)的計算機上存在某種惡意軟件。此外，針對制藥行業(yè)的攻擊仍在持續(xù)增長。關(guān)鍵是，醫(yī)療機構(gòu)應(yīng)該刪除不再需要的個人醫(yī)療數(shù)據(jù)，及時更新軟件，并刪除不再需要的應(yīng)用程序的所有終端，不要將重要的醫(yī)療設(shè)備連接到主LAN上。在這里可以找到我們的詳細建議。

今年，我們還研究了用于動物的智能設(shè)備，特別是用于監(jiān)控寵物位置的追蹤器。這些小工具可以訪問寵物主人的家庭網(wǎng)絡(luò)和電話，以及獲取寵物的位置。我們的研究人員研究了幾種市面上流行的追蹤器，其中4款使用BLE藍牙技術(shù)與用戶的智能手機進行通信，僅有1款被正確配置，其他3款可以接收并執(zhí)行任何人的命令。同時，追蹤器也可以被禁用，或者對用戶隱藏，攻擊者所需要做的僅僅是靠近追蹤器。其中，只有一個經(jīng)過測試的Android應(yīng)用程序會驗證其服務(wù)器的證書，而不僅僅依賴于系統(tǒng)安全。因此，這些安全性薄弱的產(chǎn)品容易受到中間人（MitM）攻擊，攻擊者可以誘導(dǎo)受害者安裝他們的證書，從而攔截傳輸?shù)臄?shù)據(jù)。

我們的一些研究人員還研究了人類可穿戴設(shè)備，特別是智能手表和健身追蹤器。我們發(fā)現(xiàn)，通過在智能手機上安裝間諜應(yīng)用程序，可以將內(nèi)置運動傳感器（加速度計和陀螺儀）的數(shù)據(jù)發(fā)送到遠程服務(wù)器，并使用這些數(shù)據(jù)拼湊出佩戴者的行為，例如走路、坐著、打字等。我們從基于Android的智能手機開始，編寫了一個簡單的應(yīng)用程序來處理和傳遞數(shù)據(jù)，然后研究我們可以從這些數(shù)據(jù)中獲取什么。結(jié)果表明，不僅可以確定佩戴者是坐著還是走路，并且還能弄清楚佩戴者是散步還是乘坐地鐵，因為這兩種狀態(tài)對應(yīng)的加速度計模式略有不同。當佩戴者打字時，也很容易判斷出來。但是，如果想要發(fā)現(xiàn)他們輸入的內(nèi)容，這非常困難，并且需要重復(fù)輸入文本。我們的研究人員能以96%的準確度恢復(fù)出計算機密碼，能以87%的準確度恢復(fù)出ATM密碼。但是，由于缺乏關(guān)于受害者何時輸入此類信息的可預(yù)測性，獲取其他信息（例如：信用卡號或CVC碼）將更加困難。

近年來，汽車共享服務(wù)有所增長。這些服務(wù)為大城市中的出行人群提供了便利。但是，也隨之產(chǎn)生了安全問題，就是使用這些服務(wù)的用戶個人信息是否安全？7月，我們測試了13個應(yīng)用程序，其結(jié)果并不樂觀。顯然，應(yīng)用程序開發(fā)人員在最初設(shè)計和創(chuàng)建基礎(chǔ)架構(gòu)時，都沒有充分考慮到當前移動平臺的威脅。最簡單的，目前只有1個服務(wù)會向客戶發(fā)送有關(guān)嘗試從其他設(shè)備登錄帳戶的通知。從安全角度來看，我們分析的大多數(shù)應(yīng)用程序的安全性都非常差，需要進行改進。而且，許多應(yīng)用程序不僅看起來非常相似，實際上就是使用了相同的代碼。讀者可以在這里閱讀我們的報告，其中包括為汽車共享服務(wù)客戶提供的安全建議，以及為汽車共享應(yīng)用程序開發(fā)人員提供的建議。

智能設(shè)備的使用數(shù)量不斷增加。有預(yù)測表明，到2020年，智能設(shè)備的數(shù)量將會超過世界人口的數(shù)倍。然而，一些廠商仍然沒有優(yōu)先考慮設(shè)備的安全性，沒有提醒用戶在初始設(shè)置階段就更改默認密碼，沒有關(guān)于新固件版本發(fā)布的提醒。對于普通用戶來說，更新過程可能非常復(fù)雜。這樣就使得物聯(lián)網(wǎng)設(shè)備成為網(wǎng)絡(luò)犯罪分子的首要目標。這些設(shè)備比PC更容易感染，在家庭基礎(chǔ)設(shè)施中往往發(fā)揮重要作用：負責管理互聯(lián)網(wǎng)流量、管理視頻監(jiān)控、控制空調(diào)等家用設(shè)備。智能設(shè)備的惡意軟件不僅在數(shù)量上有所增加，在質(zhì)量上也有所提升。越來越多的漏洞被網(wǎng)絡(luò)犯罪分子利用，同時還利用受感染的設(shè)備來發(fā)動DDoS攻擊、竊取個人數(shù)據(jù)和挖掘加密貨幣。9月，我們發(fā)布了一份關(guān)于物聯(lián)網(wǎng)威脅的報告，從今年開始我們已經(jīng)在季度和年末的統(tǒng)計報告中包含有關(guān)物聯(lián)網(wǎng)攻擊的數(shù)據(jù)。

對于廠商來說，改進安全方案非常重要，應(yīng)該確保在設(shè)計產(chǎn)品時就充分考慮安全性。一些國家的政府正在努力加強廠商在設(shè)計環(huán)節(jié)的安全性，正在引入相應(yīng)的指導(dǎo)方針。10月，英國政府退出了消費者物聯(lián)網(wǎng)安全實踐守則。德國政府也在最近公布了其關(guān)于寬帶路由器最低標準的建議。

消費者在購買任何連網(wǎng)設(shè)備前，也應(yīng)該首先考慮安全性。

1. 考慮是否真正需要這個設(shè)備，如果需要，請檢查可用的功能，并禁用掉任何不需要的功能，以此減少攻擊面。

2. 在線查看關(guān)于任何已經(jīng)上報的漏洞的信息。

3. 檢查是否可以更新設(shè)備上的固件。

4. 確保更改默認密碼，并將其替換為唯一的復(fù)雜密碼。

5. 不要在網(wǎng)上共享與設(shè)備相關(guān)的序列號、IP地址和其他敏感數(shù)據(jù)。

十一、我們的數(shù)據(jù)掌握在別人手中

個人數(shù)據(jù)是一種有價值的信息。在新聞中，各種數(shù)據(jù)泄露事件接連不斷發(fā)生，涉及到Under Armour、FIFA、Adidas、Ticketmaster、T-Mobile、Reddit、British Airways和Cathay Pacific。

Cambridge Analytica違規(guī)使用Facebook數(shù)據(jù)的丑聞提醒人們，個人信息不僅僅對于網(wǎng)絡(luò)犯罪分子來說具有價值。在許多情況下，個人數(shù)據(jù)是人們?yōu)楂@得產(chǎn)品或服務(wù)所支付的價格，例如使用“免費”瀏覽器、“免費”電子郵件帳戶、“免費”社交網(wǎng)絡(luò)賬戶等。但并非都是如此。如今，我們已經(jīng)逐漸被智能設(shè)備包圍，這些設(shè)備可以收集我們生活的細節(jié)。今年早些時候，一名記者將她的公寓變成了智能家居設(shè)備組成的公寓，以便衡量這些設(shè)備的廠商所收集的數(shù)據(jù)量。由于我們通常會為這類設(shè)備付費，因此數(shù)據(jù)的收集很難被視為使用這些服務(wù)所要支付的價格。

一些數(shù)據(jù)泄露事件的發(fā)生，導(dǎo)致受影響的公司遭受罰款（例如，英國信息專員辦公室對Equifax和Facebook進行了罰款）。然而，這些罰款都是在歐盟通用數(shù)據(jù)保護條例（GDPR）正式生效之前進行的，在該法案生效后，針對任何嚴重違規(guī)行為的處罰力度可能要大得多。

當然，不存在100%的安全性。但是任何持有個人數(shù)據(jù)的組織都有責任采取有效措施來保護這些個人數(shù)據(jù)。如果因違規(guī)行為導(dǎo)致個人數(shù)據(jù)被盜，那么公司應(yīng)該及時提醒客戶，從而使客戶能夠采取有效措施來盡可能降低受到的損害。

作為普通用戶，我們無法采取措施來防止廠商的數(shù)據(jù)泄露，但可以加強我們的帳戶安全，特別是針對每個帳戶使用不同的密碼，同時開啟雙因素身份認證。

來源：工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)中心