Symantec 2019《網絡安全威脅報告》：網上表格攻擊牟取數百萬美元暴利

企業趨勢資訊保安 by Ken Li on 1 三月, 2019

網絡安全供應商 Symantec 發佈第 24 期《網絡安全威脅報告》（ISTR）。報告顯示，隨著勒索軟件和騎劫掘礦帶來的收益不斷減少，網絡犯罪分子正在伺機尋找其他的方法來牟取利益，如騎劫網上表格攻擊（Formjacking）正成為網絡罪犯牟取暴利的最新途徑。

▲ Symantec 大中華區首席營運官羅少輝

Symantec 2019 年《網絡安全威脅報告》綜合介紹了當今網絡威脅態勢，並對全球威脅活動、網絡攻擊動向和攻擊動機提供洞察。報告基於賽門鐵克全球情報網絡資料進行了分析，該網絡記錄了全球超過 157 個國家和地區的 1.23 億個監測終端報告的攻擊事件，平均每天攔截 1.42 億次網絡攻擊。本年度報告的主要發現包括：

騎劫網上表格攻擊：網絡罪犯牟取暴利的最新途徑

騎劫網上表格攻擊的原理很簡單——其本質就是虛擬磁帶側錄器掃描。網絡犯罪分子通過將惡意程式碼植入零售商網站以竊取購物者的信用卡資訊。全球平均每個月都有超過 4,800 個不同的網站遭到騎劫網上表格代碼入侵。2018 年賽門鐵克共攔截超過 370 萬次騎劫網上表格端點攻擊，其中有近三分之一都被監測到發生在全年最繁忙的網購高峰期：11 月和 12 月。

最近幾個月，包括 Ticketmaster 和英國航空公司在內的眾多知名零售商的線上支付網站均遭到了騎劫網上表格的攻擊，據 Symantec 研究顯示，廣泛受到網絡攻擊的基本上是中小型零售商。據保守估計，去年犯罪分子通過在暗網兜售消費者個人及財務資訊，牟取了數千萬美元的不義之財，這些消費者資訊均通過信用卡詐騙獲得。

一張信用卡資訊在地下銷售論壇上最高可叫賣到 45 美元，而犯罪份子只要從每個植入代碼的網站竊取 10 張信用卡資訊並出售，每月收益便可高達 220 萬美元。英國航空公司（British Airways）的信用卡洩露資訊超過 38 萬條，僅這次攻擊就可能讓犯罪分子淨賺 1,700 多萬美元。

騎劫掘礦攻擊和勒索軟件的收益縮水

近年來，勒索軟件和騎劫掘礦攻擊成為網絡犯罪分子牟取快速利益的慣用手段，騎劫掘礦攻擊是指利用從消費者和企業處竊取的處理能力和雲端 CPU 資源來挖掘加密貨幣。

然而在 2018 年，隨著加密貨幣的價值下跌以及雲端和移動計算的採用率普及增加，讓這些攻擊者們變得力不從心，相關攻擊活動和回報隨之下降。自 2013 年以來，勒索軟件的感染率首次下降 20%。但是企業不應該鬆懈—2018 年企業勒索軟件感染率跳漲 12%，與整體下降趨勢相反，這顯示出勒索軟件對企業的威脅還在持續增加。事實上，超過 80%的勒索軟件感染會影響到企業。

騎劫掘礦活動在去年年初時達到頂峰，但在 2018 年全年整體下滑 52%。儘管加密貨幣價值下跌 90%，黑客利潤大幅縮水，但由於騎劫掘礦門檻較低，開銷最小且具有匿名性，它仍然備受攻擊者的青睞。

PC 安全問題將在雲端重現

企業在最初採用 PC 時都出現過安全問題，如今這一現象又將在雲端重現。單個錯誤配置的雲主機或存儲實例將會給企業帶來數百萬美元的損失，或者讓其陷入違規危機。僅去年一年，就有超過 7,000 萬條記錄從配置不當的 S3 公有雲儲存中被盜或洩漏。此外，攻擊者還有很多工具，可用於識別互聯網上錯誤配置的雲資源。

最新發現的硬體晶片漏洞（包括 Meltdown、Spectre 和 Foreshadow）雲服務面臨被利用的風險，攻擊者趁機利用這些漏洞進入伺服器上受保護的記憶體空間，從而竊取同一實體伺服器上其他企業的資源。

供應鏈漏洞助長更隱蔽、更兇猛的攻擊

供應鏈攻擊和「就地取材」式（LotL）的攻擊目前已經成為現代威脅環境的主流模式，在網絡犯罪份子和有針對性的攻擊團隊中應用十分廣泛。事實上，供應鏈攻擊在 2018 年飆增 78%。

LotL 無檔攻擊戰術可讓攻擊者保持低調，並將其活動隱藏在大量合法進程中。例如，去年惡意 PowerShell 指令碼的使用增加了 1,000%。Symantec 每個月攔截 115,000 個惡意 PowerShell 指令碼，但實際上還不到 PowerShell 整體使用率的 1%。阻止所有 PowerShell 活動的企業也會受到影響，這進一步說明了為什麼 LotL 技術已成為許多攻擊者的首選策略。

除了 LotL 和軟件供應鏈中的漏洞外，如今攻擊者更加頻繁地使用魚叉式網絡釣魚等傳統攻擊方法來入侵組織。雖然收集情報是目標性攻擊的主要動機，但是 2018 年使用惡意軟件破壞和擾亂商業運營的攻擊團隊數量增加了 25%。