从勒索软件到匿名浏览:2014年十大高技术趋势

如果说12月份对安全世界意味着预测来年的话,同时也是对即将结束的一年进行回顾的时候。卡巴斯基实验室全球研究与分析团队为此而特别制作了一份有关《2014年互联网安全行业十大新兴趋势》的清单。 一系列高级持续威胁 2014年,众多APT攻击小组依然没有”停战”的意思。卡巴斯基实验室研究人员公布了至少6个网络攻击小组的研究分析。 “Careto”(西班牙中”面具”的意思)间谍行动于2月份重现互联网,之前已活跃了长达7年之久。Careto依靠易于修改的跨平台恶意软件工具,旨在从全球31个国家的政府机构、大使馆、能源公司、研究机构、私人股权公司以及活动家窃取敏感信息。 而多阶段的Epic Turla网络间谍攻击行动出现在1个月左右后的三月份,通过利用一系列存在于Adobe Acrobat、Windows XP以及Microsoft server 2003的零日漏洞对受害人进行有针对性的攻击,同时还采用了许多水坑式攻击,将存在于Java、Adobe Flash和Internet Explorer的漏洞作为攻击目标。 https://vine.co/v/OrlF5BPb3h3 而到了6月,另一个黑客小组在短短一周的时间内即窃取了50万欧元,作为”Luuuk”木马攻击行动的一部分,他们对一家大型欧洲银行的客户进行了针对性攻击。遗憾的是,卡巴斯基实验室并没有获得该攻击行动中的任何恶意软件样本,但他们猜测该黑客小组通过窃取用户名、密码以及一次性密码,从而查看受害人账户余额并自动执行交易。 在6月末,互联网出现了”MiniDuke”黑客行动的新版本-被称为”CosmicDuke”,将政府、外交机构、能源公司、军事集团以及电信运营商作为攻击目标。奇怪的是,这一黑客行动竟然还攻击了那些参与违禁药品(例如:类固醇和生长激素)交易的犯罪团伙。 #Kaspersky launches a project that chronicles all of the #ATPs the company has investigated https://t.co/9gj6AiRVoo

如果说12月份对安全世界意味着预测来年的话,同时也是对即将结束的一年进行回顾的时候。卡巴斯基实验室全球研究与分析团队为此而特别制作了一份有关《2014年互联网安全行业十大新兴趋势》的清单。

一系列高级持续威胁

2014年,众多APT攻击小组依然没有”停战”的意思。卡巴斯基实验室研究人员公布了至少6个网络攻击小组的研究分析。 “Careto”(西班牙中”面具”的意思)间谍行动于2月份重现互联网,之前已活跃了长达7年之久。Careto依靠易于修改的跨平台恶意软件工具,旨在从全球31个国家的政府机构、大使馆、能源公司、研究机构、私人股权公司以及活动家窃取敏感信息。

而多阶段的Epic Turla网络间谍攻击行动出现在1个月左右后的三月份,通过利用一系列存在于Adobe Acrobat、Windows XP以及Microsoft server 2003的零日漏洞对受害人进行有针对性的攻击,同时还采用了许多水坑式攻击,将存在于Java、Adobe Flash和Internet Explorer的漏洞作为攻击目标。

https://vine.co/v/OrlF5BPb3h3

而到了6月,另一个黑客小组在短短一周的时间内即窃取了50万欧元,作为”Luuuk”木马攻击行动的一部分,他们对一家大型欧洲银行的客户进行了针对性攻击。遗憾的是,卡巴斯基实验室并没有获得该攻击行动中的任何恶意软件样本,但他们猜测该黑客小组通过窃取用户名、密码以及一次性密码,从而查看受害人账户余额并自动执行交易。

在6月末,互联网出现了”MiniDuke”黑客行动的新版本-被称为”CosmicDuke”,将政府、外交机构、能源公司、军事集团以及电信运营商作为攻击目标。奇怪的是,这一黑客行动竟然还攻击了那些参与违禁药品(例如:类固醇和生长激素)交易的犯罪团伙。

卡巴斯基实验室于7月末对Crouching Yeti黑客攻击小组做了了报告,当时该小组正从叙利亚、土耳其、沙特阿拉伯、黎巴嫩、巴勒斯坦、阿联酋、以色列、摩洛哥、法国以及美国的受害目标处搜寻专利以及其他敏感信息,而IP模块则位于叙利亚、俄罗斯、篱笆能、美国以及巴西。

另一项主要的黑客行动DarkHotel的报道见于11月份,网络攻击者通过感染亚太地区酒店的网络,目的是在那些全球出差企业高管的设备上安装恶意软件。

巨大漏洞与物联网

卡巴斯基实验室研究人员预计那些相比传统计算机更贴近于我们生活的所谓”网联网”设备将出现越来越多令人不安的bug,从而对我们几乎一个人造成影响。诸如Heartbleed和Shellshock(Bashdoor)这样广泛存在的bug,其数量及影响在很长一段时间内依然未知。

#卡巴斯基实验室报告#:现代家庭极易遭受黑客入侵

尽管这些看似未来主义的设备(例如:联网家用电器和IP启用的恒温控制器)的普及率依然相对较低,但类似于智能电视、路由器、移动设备、传统电脑和游戏系统的联网设备在现代家庭则十分普遍。这些设备中所存在漏洞与其他操作系统、软件或应用程序并无二异,同时像Heartbleed和Bash这样的漏洞可能会存在于设备长达数年之久,却不为用户所发现。关键问题是,这些设备相比传统计算机和软件平台而言,通常更难以更新。正如卡巴斯基的David Jacoby在今年早些时候所意识到的,现代家庭极易遭受黑客入侵

移动恶意软件数量依然呈上升趋势

自2004年到2013年的十年间,卡巴斯基实验室总共分析了约200,000个移动恶意软件样本。但仅2014年一年,卡巴斯基实验室就分析了295,539个样本。大多数移动威胁旨在通过盗取银行登录凭证,最终窃取资金。然而在2014年,卡巴斯基研究人员注意到在互联网上还出现了移动勒索软件以及伪造的反病毒恶意软件。此外,苹果的iOS移动操作系统成为了WireLurker恶意软件的攻击目标,还被一致认为是首个能够对未越狱iOS设备进行黑客攻击的恶意软件。

有关勒索软件的话题…

无论是阻止访问用户设备,还是对受感染机器内的所有文件进行加密,勒索软件在2014年可谓是”风光无限”。CryptoLockerCoinVault、ZeroLocker以及其它许多恶意软件试图让受害用户支付赎金(通常以比特币形式),以使其计算机重新恢复工作。一些专家认为勒索软件的未来将”一片光明”,但依然有方法可以战而胜之:

“勒索软件能长久运行下去的前提条件是受害人愿意支付赎金。”卡巴斯基研究团队解释道。”我们的建议是千万不要支付赎金!你只需要定期备份你的数据。如此的话,就算不幸成为了勒索软件程序的受害者(或出现阻止你访问文件的硬盘问题),你依然不会丢失宝贵的数据。”

ATM机盗刷

机制和恶意软件旨在从ATM机窃取资金或客户敏感资金信息,这早已不是什么新鲜事了,但针对ATM机的盗刷器在2014年的确”风光无限”。其中尤其复杂的案例非”Tyupkin“恶意软件莫属。来自亚洲、欧洲和拉丁美洲的犯罪分子首先获得物理访问ATM机的权限,随后通过一张CD盘载入Tyupkin恶意软件。最终,受感染机器一旦重启后即完全在网络攻击者的掌控之下。从那里,藏于整个计划背后的犯罪分子向其同伴发送信息,从而在ATM机输入唯一代码并提取现金。但只能在特定时间段进行,以防止诈骗行动被识破。”近年来持续上升的ATM攻击案例主要原因是犯罪分子采用了更加成熟的方法,比如使用物理盗刷器从银行卡中窃取数据,而这些卡可运用于已被篡改的ATM机。不幸的是,众多ATM机依然运行着存在已知安全漏洞的系统。这将物理安全的重要性提上日程;我们将敦促所有银行检查其ATM机的物理安全性。”

每一个XP系统bug都是零日漏洞

微软不再为Windows XP提供技术支持。这意味着在微软每月用于发布安全漏洞补丁的补丁星期二公告中,不再有任何针对Windows XP系统bug的补丁。换句话说,这意味着从2014年4月8日起往后,每一个Windows XP漏洞都是零日漏洞。之所以受影响范围极广,因为Windows XP依然占据着近14%的台式机操作系统市场份额。除了个人用户以外,例如ATM机、重要基础设施系统、医疗设备甚至是许多银行和医生办公室所用的计算机依然运行着XP系统,同时还处理着高度敏感数据和操作。因此,随着XP在2014年失去微软技术支持,很可能将在未来继续成为黑客们的关注目标。

#卡巴斯基报告#:从2014年4月8日往后,每一个Windows XP漏洞都是#零日漏洞#

Tor网络

匿名浏览服务Tor无疑在2014年成为了主流。研究人员表示Tor使用量在2014年暴增的很大一部分原因是NSA泄密者爱德华•斯诺登控诉政府监控互联网的启示,使得人们提高了对于个人隐私问题的重视。不幸的是,Tor网络同样是滋生网络犯罪行为的”温床”。同样可在Tor网络内运行的服务器,被称为”隐藏服务”。这些隐藏服务向市场提供各类非法商品与服务。事实上,只要你能想得到的东西,都可以通过浏览地下市场的Tor网络买到。

https://instagram.com/p/wgxMB1P0AF/

无法在道德上评判的软件

很可惜,我们无法将软件简单地分为好程序和坏程序两种。专为合法目的而开发的软件为网络犯罪分子滥用的风险也时有发生。

“很可惜,我们无法将软件简单地分为好程序和坏程序两种。”卡巴斯基研究人员写到。”专为合法目的而开发的软件为网络犯罪分子滥用的风险也时有发生。在2014年2月份举行的卡巴斯基安全分析师峰会上,我们详细论述了对防盗技术(存在于常用笔记本电脑和一些台式电脑的固件内)的错误实施,很可能会成为网络犯罪分子手中的强大武器。”

的确,我为今年的Black Hat安全会议撰写一篇有关《神秘计算机后门》的文章,在该文中揭示了一个有趣的现象:抱有不良目的的人完全可以利用善意软件的合法目的以实施犯罪行为。

然而,反过来”合法“软件的行为也同样存在道德伦理问题。其中一个例子就是由一家叫做Hacking Team的意大利公司所开发的”远程控制系统”(RCS)。RCS及诸如此类的平台在技术上合法,但专制政府会使用这些工具在国内外对异见分子和公民权利团体进行暗中监控。

卡巴斯基实验室研究人员坚持其政策:一旦发现任何恶意软件攻击即予以删除和修复,而无论其来源或使用目的。

“隐私”对比”安全”

我们因对个人隐私的渴望而不断抗争,但在某种程度上却无法维持下去,原因在于我们不想让麻烦的安全功能妨碍我们使用。今年早些时候所发生的iCloud名人照片外泄事件就是一个很好的例子:如果所有iCloud账户都能采用高强度且唯一的密码,那根本不会产生任何的照片泄漏事件。此外,如果苹果能提供通用的双重认证功能,同时这一事件中的受害人也能部署这一保护措施的话,诸如名人照片泄漏事件这样的案例将根本不可能发生。然而,部署高强度密码或启用双重认证对于”无法信赖”的消费者而言,显然加重了其安全负担。

https://instagram.com/p/vRJXxkP0Dm/

粗略地修复安全漏洞并将责任归咎于消费者显然缺乏说服力,那些提供在线服务的高科技公司需要将安全功能置于其中。这也是为什么苹果和Google相继宣布对移动设备默认加密以及推特推出全新的”Digits”认证服务的原因,该服务通过短信方式向用户发送一次性密码,都是2014年安全行业朝着正确方向发展的积极措施。

执法部门学习如何抓获网络犯罪分子

最后但同样重要的是,2014年为执法机构带来了希望,尽管有关监控不力的新闻时有报道,但依然出色完成了不被讨好且异常艰巨的任务。卡巴斯基GReAT研究人员表示2014年国际刑警在网络安全领域取得了成功。

全球各国警察部队通过联手合作,共同捣毁了”GameOver Zeus”僵尸网络,就这一点而言,”GameOver Zeus”无愧于市场上最大的网络犯罪工具。网络犯罪分子使用GameOver不仅作为窃取银行登录凭证的木马病毒使用,同时还是一个专门出售名声狼藉的crypto locker恶意软件的销售平台。

卡巴斯基实验室在与多国执法机构共同参与的”Shylock”木马病毒清除行动中做出了自己的贡献,”Shylock”木马通过部署浏览器中间人攻击以窃取网银客户的登录凭证。就在最近,代号为”Operation Onymous”的行动彻底关闭了在Tor网络中经营的黑市。

卡巴斯基中国地区每周病毒播报(2014年12月1日–2014年12月7日)

本周受关注恶意软件: 病毒名:Trojan-Ransom.Win32.Fury.a 文件大小: 67584字节 创建文件: %appdata%UpdSysDrv32Xz32[8位随机字母].exe 创建注册表: HKEY_LOCAL_MACHINE]SOFTWAREMicrosoftWindows UpdSysDrvNamxz32=”[8位随机字母].exe” [HKEY_CURRENT_USER]SoftwareMicrosoftWindowsCurrentVersionRun UpdSysDrvX32z32=”%appdata%UpdSysDrv32Xz32[8位随机字母].exe” 主要行为: 这是一个木马程序,运用了PE映像切换的技术,将恶意代码注入到系统程序”svchost.exe”。首先,它会通过挂起的方式打开系统进程”svchost.exe”,然后通过ZwMapViewOfSection、ZwUnmapViewOfSection、ZwCreateSection等Native API将svchost.exe映射在内存中并修改了svchost.exe的入口点,使其跳转到恶意代码的入口。然后,它会利用ZwResumeThread恢复挂起的svchost.exe进程,使恶意代码被运行。恶意代码运行后,会从远程地址下载其他恶意程序;遍历所有硬盘并加密以下后缀名的文件”*.odp|*.xls|*.mdb|*.wb2|*.cdr|*.cr2|*.orf|*.srw|*.p7b|*.odm |*.accdb|*.mdf|*.dng|*.dcr|*.raf|*.x3f|*.p7c|*.odc|…”,然后弹出带有支付地址的锁屏窗口,提示用户支付相应费用来换取解密文件,从而达到敲诈勒索的目的。 专家预防建议: 建立良好的安全习惯,不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

提示