根據從本季媒體所披露的民航客機遭駭及其他類似案件看來,情勢已經相當明朗:駭客正絞盡腦汁尋找更令人意想不到的方法來滲透並操控我們的日常生活中的科技產品。這意味著,一股新的威脅浪潮正在興起,它們不再只是單純地竊取資料,而是帶來真實、具體的影響,且更貼近一般家庭。
例如,我們發現針對家用路由器的攻擊以及 DNS 篡改程式的偵測數量不斷升高,尤以巴西最為嚴重,大約占第二季所有 DNS 篡改程式數量的 81%。此外,銷售櫃台系統 (PoS) 惡意程式的日益精進,同樣是企業頭痛的問題之一,但其第二季數量卻稍微下降,或許是因為已經到達了飽和點。
圖 1:今年第二季 PoS 威脅數量明顯下滑。
不過,這並不表示網路犯罪集團開始放棄他們原有的營運模式。傳統的惡意程式目前仍然流通廣泛,由於一些基本的惡意程式元件如此唾手可得,因此讓非法之徒從事網路犯罪事業更加容易。此外,第二季我們也看到了一些網路犯罪個體戶在世界各地竄起,例如巴西和加拿大。
趨勢科技於最新發表的「2015年第一季資安報告」指出,醫療產業、iOS裝置與PoS(銷售櫃台系統)為新興惡意攻擊目標,大型攻擊事件頻傳,2015年第一季就有近一億美國人的醫療個資遭外洩,而台灣也名列最常遭受PoS攻擊的第三名國家。同時,2015年惡意威脅數量也再創新高,第一季平均每月攔截到的惡意威脅數量高達47億,較去年同期增加15億,且第一季每秒平均攔截到1800個惡意威脅,比去年同期每秒增加600個!
而伴隨著行動裝置盛行,行動裝置惡意威脅的成長幅度更是以驚人速度大幅攀升,已於2015年第一季突破500萬大關。趨勢科技資安團隊也發現,惡意廣告為行動裝置排名第一的資安威脅,今年三月份Google Play曾有超過2000個App可能含有惡意廣告程式,Google已持續移除可疑App中。此外,惡意網站也為民眾常誤觸的資安地雷之一,2015年第一季全球共有800萬用戶曾造訪惡意網站,而台灣更名列最常造訪惡意網站的第四大國家。
趨勢科技全球技術長Raimund Genes表示:「雖然今年尚未過一半,但從大量、精細且複雜的惡意攻擊手法來看,所有產業與組織皆無法避免惡意攻擊,不論是企業及個人都需要更積極及主動地佈署資安防禦,以對抗不斷進化的多元型態資安攻擊,以確保財產、個人資料及智慧財產權之安全。」
第一季資安報告的主要發現包括:
在2015年一開始,趨勢科技就看到一個矛盾的情況:熱門的威脅都不是新東西,我們所看到的腳本和攻擊都使用常見的網路犯罪手法,但都還是非常有效。不管個人和組織如何做好基本的安全措施,簡單的盲點已經讓他們暴露在危險中。有誰知道線上和行動廣告、櫃檯交易甚至是基本的Word文件都還是會造成這麼大的麻煩?
加密勒索軟體侵入企業
加密勒索軟體 Ransomware的數量還在不斷上升。感染數量從2014年Q1翻了兩番,在2015年Q1到達了7,844。在上一季,加密勒索軟體已經佔據所有勒索軟體將近一半(49%)的數量。
加密勒索軟體 Ransomware數量可能會繼續上升。使用勒索軟體是用惡意軟體賺快錢的好方法。要建立一個殭屍網路、出租感染者、竊取銀行憑證並從銀行帳戶拿到錢,平均可以獲得500美金,勒索軟體更加直接。平均來說,每個惡意軟體感染可以拿到更多的錢。
– Jon Oliver(資深架構總監)
在2014年,整個技術環境出現了許多重大的新事物。這些事物讓使用者跟企業有了新能力去做之前無法想像的事情。不過這些新變化也同樣地幫助了惡意分子:威脅現在可能來自意想不到的地方,並且加強了攻擊者現有的能力。
那些關鍵發展會造成明日的威脅環境,我們如何預見其演進?底下是我們認為會出現在2015年的趨勢:
1.更多的網路犯罪集團將利用黑暗網路 (Darknet)和專門的地下論壇來分享和販售犯罪軟體。
我們已經看到網路犯罪分子利用深層網路和其他黑暗網路,以及無法追查的點對點網路(例如Tor、I2P、Freenet)來販賣和交流工具及服務。研究人員和執法單位的打擊活動及協同合作已經打亂了網路犯罪集團,讓他們具備更多理由深入地下。安全公司和執法單位需要透過提供威脅情報及對網路犯罪有單一解釋來延伸合作範圍,以幫助執法單位抓到網路犯罪份子和攻擊者,不管司法管轄區為何。
2.網路犯罪活動的熱絡將催生出功能更強、規模更 大、效果更好的駭客工具及攻擊手法。
網路犯罪份子會追逐比家庭使用者更大的目標,因為可以帶來更多的利潤。我們將會看到更多關於銀行和金融機構的資料外洩事件,客戶資料所有者仍然是非常有吸引力的目標。為此,組織和個人應該要假定會有入侵事件;企業需要持續不斷地監視網路內是否有任何威脅出現,同時個人使用者要定期變更自己的密碼以防止資料被竊取。
3.隨著行動裝置漏洞逐漸成為重要的裝置感染途 徑,漏洞攻擊套件將開始鎖定 Android 平台。
隨著Android威脅的成長,我們將會在未來幾年看到更多行動裝置、應用程式和平台的漏洞被發現。網路犯罪份子會將目標放在這些行動裝置內所儲存的資料。此外,攻擊者可能會利用Android作業系統的碎片化,使用類似黑洞漏洞攻擊包(BHEK)的工具。類似勒索軟體的的傳統威脅也會出現在行動環境上。
4.鎖定目標攻擊將變得和一般網路犯罪一樣普遍
高調APT攻擊/目標攻擊活動的成功突顯出網路攻擊是搜集情報的有用手段。根據這一點,我們將會看到來自其他國家的針對性攻擊,而不僅僅是常說的那些攻擊來源國家。我們將會看到更多元化的目標和攻擊源頭,也會看到具備不同目的的威脅分子出現。雖然威脅份子的動機可能多樣化,他們將會繼續的竊取極機密的政府、資料、財務資訊、智慧財產、產業藍圖以及其它各種資訊。社群媒體會是針對性攻擊的一個新切入點。
在2014年4月到6月出現的各種資安事件,從資料外洩和DDoS攻擊到惡意軟體進化及對隱私的威脅,在在強調了企業需要打造更具策略性的回應機制來處理及預測安全威脅。
這一季內有許多種威脅事件。重大的漏洞問題 – Heartbleed心淌血漏洞,出現在被廣泛應用的加密程式庫OpenSSL。看到了高科技公司及連鎖餐廳輪流成為資料外洩事件的受害者。看到了微軟停止支援後最後一次提供Windows XP修補程式。看到了美國和歐洲司法系統所做出的幾個影響今後如何處理和保護資料的重大決定。
威脅情勢的其他部分繼續成為更大的問題。無論是網路銀行惡意軟體或行動惡意軟體都持續地影響許多使用者:
圖1:網路銀行惡意軟體偵測數量
日本地區本季網路銀行惡意程式數量大增,因為該地區在五月份偵測到大量的 VAWTRAK
變種。 在本季之前,該惡意程式並未被視為網路銀行惡意程式,但其近期的變種已增加了竊取銀行登入帳號密碼和信用卡資訊的功能。
此外,有關 Emmental 行動(「不留痕跡」的惡意程式,專門鎖定行動網路銀行使用者)的研究也顯示電腦和行動裝置的威脅如何搭配得天衣無縫,讓網路銀行惡意程式偵測數量
網路銀行使用者損失慘重。 策劃該行動的網路犯罪集團,專門鎖定使用簡訊傳送連線階段雙重認證密碼的銀行。該行動使用了在地化的垃圾郵件、非常駐的惡意程式、惡意網域名稱服務 (DNS) 伺服器、網路釣魚頁面、 Android 惡意程式、幕後操縱伺服器、還有真正的後端伺服器,整起行動相當複雜。
圖2:行動惡意軟體的累積威脅數量
第二季勒索軟體 Ransomware在本季持續散布並不斷進化,衍生出專門攻擊 Android 平台的 ANDROIDOS_ LOCKER.A 惡意程式,該程式的介面會霸占未鎖定的螢幕,而且會防止使用者將它解除安裝。 此外,從 ANDROIDOS_LOCKER.HBT 也可看出行動裝置勒索程式學了不少電腦惡意程式的技巧,包括透過 Tor 洋蔥路由器與幕後操縱 (C&C) 伺服器通訊。受感染的裝置將被要求支付大約 30 美元的贖金來解除裝置鎖定。若不願支付贖金,則必須冒著行動裝置資料全被銷毀的風險。
此外,假防毒軟體又回來了,這次是以名為「Virus Shield」的 App 程式在 Google
Play™ 商店上架販售。假 App 程式 ANDROIDOS_FAKEAV.B 在一週內累積 10,000 次下載,甚至登上熱門付費程式排行榜。
網路犯罪者在 NTP 這個較不常用的 HTTP 通訊協定身上發現了一種校對時間之外的全新用法。本季,我們見到了一波專門針對該通訊協定漏洞的 DDoS 反射攻擊 (Reflection Attack)。這些攻擊利用已遭入侵的網路對目標發送海量的回覆封包和錯誤訊息。
安全性不足的預設伺服器設定會讓網路成為 DDoS 反射攻擊的來源。此外,由於許多伺服器都未變更過預設的服務組態設定,因此駭客才能快快樂樂地運用這項技巧來攻擊選定的目標。
但令人驚訝的是,這項攻擊早在 13 年前就已經有預防方法,那就是:BCP 38 (第 38 號當前最佳實務)。假使安全真的是 IT 系統管理員的優先要務的話,那麼這類攻擊根本就不應該發生。
當萬物聯網IoE(Internet of Everything)正待崛起,美國著名研究機構更看到比現今經濟大上30倍的發展契機;引領企業資安布局的您,該如何預見具前瞻價值的資安趨勢,為「萬物可聯網‧無處不資安」的時代及早準備?【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】