卡巴斯基：2018年度安全大事件盘点

社会工程学仍然是各类网络攻击者的重要工具。诈骗者总是在寻找机会，通过一些热门的体育赛事来非法牟利，而世界杯就是他们的一个不错之选。在世界杯开始前的一段时间，网络犯罪分子就开始建立网络钓鱼网站，并发出与世界杯相关的信息。这些网络钓鱼邮件包括虚假的彩票中奖通知和比赛门票相关消息。诈骗者总是竭尽全力地模仿合法的世界杯合作伙伴网站，创建一个经过完美设计的网页，甚至添加了SSL证书以增加可信度。犯罪分子还通过模拟FIFA官方通知来提取数据：受害者收到一条消息，通知他们安全系统已经更新，必须重新输入所有个人数据才能避免帐户被锁定。这些消息中包含指向虚假页面的链接，诈骗者在这些虚假页面上收集受害者的个人信息。

关于网络犯罪分子利用世界杯进行欺诈的相关报告可以从这里找到。此外，我们还提供了有关如何避免网络钓鱼诈骗的提示，这些提示适用于任何网络钓鱼诈骗，而不仅仅局限于世界杯相关。

在比赛前，我们还分析了举办FIFA世界杯比赛的11个城市的无线接入点，总共包含近32000个Wi-Fi热点。在检查其加密和身份验证算法时，我们计算了WPA2加密方式和完全开放的网络数量，以及它们在所有接入点之中的占比。超过五分之一的Wi-Fi热点都使用了不可靠的网络，这意味着犯罪分子只需要身处接入点附近，就能够拦截流量并获取人们的数据。大约四分之三的接入点使用了WPA/WPA2加密，这是目前被认为最安全的加密方式之一。针对这些热点，安全防护的强度主要取决于配置，例如热点所有者所设置的密码强度。复杂的加密密钥可能需要数年才能成功破解。然而，即使是可靠的网络(例如WPA2)，也不能被认为是完全安全的。这些网络仍然容易受到暴力破解、字典破解和密钥重新配置的攻击，并且网上有大量的攻击教程和开源工具。在公共的接入点中，也可以通过中间人攻击的方式拦截来自WPA Wi-Fi的流量。

我们的报告以及如何安全使用Wi-Fi热点的建议可以在这里找到，这些建议也同样适用于任何场景，不只是世界杯。

七、工业规模的金融诈骗

今年8月，卡巴斯基实验室ICS CERT报道了一起旨在从企业(主要是制造公司)窃取资金的网络钓鱼活动。攻击者使用典型的网络钓鱼技术，诱导受害者点击受感染的附件，该附件包含在一封伪装成商业报价和其他财务文件的电子邮件之中。网络犯罪分子使用合法的远程管理应用程序TeamViewer或RMS(Remote Manipulator System)来访问设备，并扫描当前购买的相关信息，以及受害者使用的财务和会计软件的详细信息。然后，攻击者通过不同手段窃取公司的资金，例如通过替换交易中的银行账号。在8月1日发布报告时，我们已经发现至少有800台计算机感染这一威胁，这些受感染设备位于至少400个组织中，涉及到制造业、石油和天然气、冶金、工程、能源、建筑、采矿和物流等多个行业。该恶意活动自2017年10月以来就持续进行。

我们的研究发现，即使恶意组织使用简单的技术和已知的恶意软件，他们也可以借助社会工程学技巧以及将代码隐藏在目标系统中的方法，成功实现对工业公司的攻击。同时，他们使用合法的远程管理软件，来逃避反病毒解决方案的检测。

有关攻击者如何使用远程管理工具来攻陷其目标的更多信息，请参见这篇文章，以及2018年上半年针对工控系统的攻击概述。

八、勒索软件：仍然存在的威胁

在过去一年内，勒索软件攻击的数量已经发生下降。然而，这种类型的恶意软件仍然是一个严重的问题。我们持续看到了新的勒索软件家族的发展。8月初，我们的反勒索软件模块检测到了KeyPass木马。在短短两天内，我们在20多个国家发现了这种恶意软件，巴西和越南遭受的打击最为严重，但也在欧洲、非洲和远东地区发现了受害者。KeyPass可以对受感染的计算机能访问的本地驱动器和网络共享上的所有文件(不限扩展名)进行加密。同时，还忽略了一些文件，这些文件位于恶意软件中硬编码的目录中。加密文件的附加扩展名为KEYPASS，勒索提示文件名为“!!!KEYPASS_DECRYPTION_INFO!!!.txt”，保存在包含加密文件的每个目录中。该木马的作者实施了一个非常简单的方案。恶意软件使用了AES-256对称加密算法(CFB模式)，并针对所有文件使用为0的IV和相同的32字节密钥。木马在每个文件的头部进行加密，最多加密到0x500000字节(约5MB)的数据。在运行后不久，恶意软件连接到其C&C服务器，并获取当前受害者的加密密钥和感染ID。数据以JSON的形式通过纯HTTP传输。如果C&C不可用(例如被感染计算机未连接到网络，或者服务器已经被关闭)，那么恶意软件会使用硬编码的密钥和ID。在离线加密的情况下，可以轻松实现对文件的解密。

KeePass木马最值得注意的一个功能是“人工控制”。木马包含一个默认隐藏的表单，但在按下键盘上的特定按钮后可以显示该表单。这一表单允许犯罪分子通过更改加密密钥、勒索提示名称、勒索文本、受害者ID、加密文件的扩展名以及要排除的目录列表等参数，从而自定义加密过程。这种能力表明，木马背后的犯罪分子可能打算在人工攻击中使用这一软件。

然而，不仅仅是新的勒索软件家族对用户造成了威胁。在WannaCry爆发的一年半之后，该软件仍然是最广泛的加密勒索恶意软件之一，到目前为止，我们已经在全球范围内发现了74621次独立的攻击。在2018年第三季度，这些攻击占所有针对特定目标进行加密攻击的28.72%。这一比例与去年相比增加了2/3。考虑到在2017年5月病毒爆发之前，WannaCry所使用的EternalBlue补丁就已经存在，这一情况非常令人担忧。

九、Asacub和银行木马

2018年，涉及移动银行木马的攻击数量有明显增长。在今年年初，我们针对这种类型的威胁已经检测到一定数量的独特样本和受攻击用户。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!