2015年第三季資安威脅總評: 駭客已悄悄將PoS攻擊目標移轉到中小企業 (SMB)

2015 年第三季 (七至九月) 出現了不少重大資安威脅，例如：銷售櫃台系統 (PoS) 惡意程式、系統漏洞以及 Pawn Storm攻擊行動。我們在第三季資訊安全總評季報「危險迫在眉睫：今日的漏洞將為明日的攻擊揭開序幕」當中詳細說明了這些威脅。

在 PoS 惡意程式方面，我們看到這一季的攻擊數量明顯增加。不過，駭客卻已悄悄將目標移轉到中小企業 (SMB)。這一季，整體攻擊量較 2015 年第二季 (四至六月) 幾乎翻了一倍。本季，中小企業占全球所有 PoS 惡意程式偵測數量的 45%，其次是一般消費者，占 27%，大型企業則只占 19%。這現象反映出這類獲利導向的攻擊目前共通的局勢，那就是：中小企業已成為駭客的「理想目標」，一方面中小企業可提供比一般消費者更高的獲利，另一方面卻比大型企業相對缺乏資源，無法建置進階的安全防護措施。而在美國，2015 年 10 月 11 日的 EMV 信用卡設備建置期限，似乎也扮演了一項重要因素，因為大型機構大多擁有足夠的資源來升級設備以支援 EMV 技術，中小企業則不然。

第三季同樣也是系統漏洞情況嚴重的一季。本季出現了多個零時差漏洞，主要原因是 Hacking Team 駭客公司在七月發生資料外洩，導致該公司將近 400GB 的內部資料外流。而這批資料當中即包含了多個 Hacking Team 資料外洩所發現的系統漏洞 (這些漏洞很可能也已用於他們所開發的間諜工具當中)。這批資料外流之後，漏洞研究人員 (包括趨勢科技在內) 紛紛迅速投入研究，希望找出其中所包含的漏洞，並且盡快找出解決方法。全部加起來， Hacking Team 資料外洩外流的資料總共被找到五個新的未修補漏洞，其中三個是由趨勢科技研究人員所發現。它們主要是Adobe Flash 的漏洞，但 Microsoft Windows 也無法倖免。不幸的是，駭客們也掌握了這批資料，同時也很快就將某些漏洞收錄至漏洞攻擊套件當中，其中最知名的就是 Angler 漏洞攻擊套件，該套件在這起資料外洩發生幾天之後就收錄了其中一個 Adobe Flash 漏洞。

Android 平台本季同樣也出現一些重大漏洞，研究人員 (包括趨勢科技在內) 發現 Android 的多媒體內容處理機制含有多個嚴重漏洞。其中最知名的就是 Stagefright 漏洞，該漏洞使得全球大約 95% 的 Android 裝置都受到影響。全部加起來，Android 多媒體內容處理機制在第三季總共被發現五個不同漏洞，而且還在陸續增加。我們的研究人員發現了三個有關 Android 多媒體內容處理機制的新漏洞，這些漏洞都已在最新的 Android 安全更新當中解決。

Pawn Storm攻擊行動在第三季依然活躍，再加上第三季的零時差漏洞問題，使得資安情勢雪上加霜。趨勢科技前瞻威脅研究 (FTR) 團隊的漏洞研究人員在 Pawn Storm 的攻擊當中發現了兩年來第一個 Java 零時差漏洞。趨勢科技已和 Oracle 合作迅速解決了這項問題，但卻也突顯出 Flash 和 Java 兩項技術依然是駭客主要的攻擊目標。不僅如此，Pawn Storm更刻意讓我們、也讓全世界知道我們正在監視他們，因為他們在第三季將其某些幕後操縱 (C&C) 流量重導致我們所擁有的 IP 位址來傳遞這項訊息。

漏洞情勢的升高，也助長了漏洞攻擊套件的活動。尤其，Angler 漏洞攻擊套件更是在本季積極展現實力。該套件占了所有漏洞攻擊套件 (2015 年為止共 13 套) 本季絕大部分針對新漏洞的攻擊，而且也是最快收錄 Hacking Team 資料外洩新漏洞的套件。此外，該套件的數量在本季也有大幅成長，其相關網址數量較第二季成長了 34%，來到 240 萬之譜。

以上摘要說明這份威脅總評季報當中所探討的趨勢，完整的報告還有更多詳細內容及其他攻擊發展趨勢。

如果這份季報可以帶給我們什麼啟示，那就是：漏洞將再度成為駭客最關注的焦點。不論是Windows 平台相關漏洞 (如 Oracle Java 和 Abobe Flash) 或是 Android 平台漏洞，都將成為駭客的關注焦點，而且不論是大規模的廣泛性攻擊 (利用漏洞攻擊套件) 或是鎖定特定目標的針對性攻擊 (如 Pawn Storm 攻擊行動) 都將應用到這些漏洞。放眼未來，一套規劃完善的安全防禦應完整納入各種防護，例如：趨勢科技Deep Security、趨勢科技 OfficeScan 搭配Vulnerability Protection 漏洞防護(防範 PC 平台的傳統漏洞攻擊)、趨勢科技PC-cillin雲端版、趨勢科技 Smart Protection Suites、Worry-Free Business Security (內含可防範網站攻擊的瀏覽器漏洞防護)、安全達人免費 APP(保護 Android 平台)，以及趨勢科技 Deep Discovery (內建沙盒模擬分析以及 Script Analyzer 程序碼分析引擎，可立即防範前述多項攻擊)。

原文出處：2015 Third Quarter Security Threat Roundup |作者：Christopher Budd (全球威脅通訊)