2018 RSAC札记系列之二 | 攻击手段不断升级，安全意识亟待加强

　　参加完今年在旧金山举办的RSA大会，最大的感受是change is the only constant. 攻击者根据自己的目的和需求的变化，不断演化出新的攻击手段，攻击手段变得越来越复杂并难以察觉。

　　勒索软件攻击上升

　　4月，Verizon刚刚发布了最新的数据泄露调查报告，报告对去年的安全事件和泄露情况做了最新分析。在RSA大会上，有幸在Verizon的展台见到了DBIR的作者并进行了交流，今年的报告依旧按照事件和泄露的攻击类型及行业为维度进行分析。当问到今年的威胁攻击趋势相对去年有什么变化时，作者表示，今年比较值得关注的变化是，勒索软件攻击的比例相对去年大大提升，数量大概翻了一倍。

　　在1379例恶意软件攻击事件中，56%的勒索软件攻击排在恶意软件攻击之首，紧随其后是C2 (command and control)攻击，占恶意软件攻击的36%。受到勒索软件攻击较多的目标行业横扫了医疗(本行业勒索软件攻击占到恶意软件攻击比例的85%)、零售、教育、公共部门、金融等几乎所有行业，而攻击的资产包括了用户设备、服务器、网络等，其中以攻击用户设备为主，但攻击服务器的比例有所上升，这也表明了攻击目标从感染个人消费者的系统逐渐转向针对脆弱的组织。针对组织的勒索软件通常具有一些额外特征，比如进行身份凭据窃取以便在整个组织内传播攻击，延迟加密以便在被检出之前感染尽可能多的机器，针对企业服务器和用户系统的代码。主要的感染方式也从之前的网络驱动器下载变成了钓鱼邮件攻击，这些邮件的攻击往往更针对特定的职能，比如HR或会计。针对文件服务器或数据库的文件加密也比个人设备更具有破坏性。

　　勒索软件在1989年就已经出现，得益于比特币匿名付款的发明，以及勒索软件出现的更多变种和创新，勒索软件从2014年DBIR中最常见恶意软件中的第22位上升到去年的第5位。WannaCry, NotPetya, BadRabbit也因为其巨大的破坏力和恶劣的影响被全球主流媒体关注。勒索软件的变体从加密开始，包括对主引导记录MBR锁定，以及部分和全盘加密，使受害者在不支付赎金的情况下更难恢复系统。另外还有其他方法，比如在真实机器和虚机上的执行时间不同，非正常命令行参数，以免被沙箱检测出。

　　在勒索软件防范方面，目前的防范措施包括终端防护系统增加勒索软件样本、沙箱、威胁情报共享、与执法机构合作摧毁恶意设施等。2016年7月由四名创始成员成立了No More Ransom合作组织，经过快速发展，目前已经有全球各个国家地区的一百多家成员参与，包括安全厂商、顾问、执法机构、事件响应小组、信息共享中心和提供必要网络服务的托管公司等。这个组织的目标是教育用户并助受害者恢复加密数据而无需支付赎金给攻击者。目前组织免费为受害者提供86种解密工具。

　　免费挖矿长工

　　在最危险的新型攻击变化中，没人再想要你的数据了，该有的数据别人早就有了。所以代替在地下黑市出售你的数据，攻击者通过勒索软件的方式把你的数据又卖回给你。在你的被盗数据所有价值都已经被利用殆尽后，攻击者在下一个阶段又会做什么来牟利?随着加密电子货币如比特币被热炒，攻击者把目光聚焦到了挖矿这项计算能力上，通过在受害主机上安装挖矿程序来盗取受害者的算力，用大量主机/服务器的算力为自己挖矿。在一次攻击中，攻击者通过这种方式每个月获利大约3万美元。由于安装都是在受害者不知情的情况下进行，挖矿程序可以运行很长时间不被发现。即使被发现，一般也不会有通知，因为并没有数据泄露发生，受害者在不知不觉中变成了别人的免费长工。

　　安全意识淡薄

　　这个标题有点像普法宣传，但实际上是参加了Cisco在会场南区入口设置的Security Operations Center和tour讲解后得出的结论。Cisco的SOC团队和大会合作，在会议的一周时间里，实时获取分析并展示会场的无线数据流量和高级恶意软件等威胁情报。这个展示的目的不是为了shame people，而是为了educate people，可见发现的隐患之多。几点SOC team观察到的安全隐患有：展会期间使用POP, IMAP2, SNMPv2等较旧的协议传输未加密的Email流量占了30% - 35%，在这种情况下即使终端用户使用的密码强度很高，依然不会起作用，这样就会引起邮件数据泄露;相比去年，今年通过控制受害者的客户端来盗取计算资源，在受害者不知情的情况下进行加密货币挖矿的攻击方法也有所增加;app的认证可能安全，但认证后的数据却是透明的，对使用物联网设备的用户，攻击者会连接用户设备，比如门铃、摄像头、用户购物和出行记录来观察用户的周围环境、爱好习惯、日常生活等，是不是有些细思极恐?