2020-3-16周一 安资讯

1、 络安全拐点：无恶意软件攻击主流化

过去几年，安全人员关注的焦点是 络犯罪的组织化和市场化趋势，包括各种攻击即服务（例如DDoS as a Service、RaaS勒索软件即服务等）、恶意软件产业化发展等。但是2019-2020年，老式黑客电影中常出现的场景，黑客飞速敲击键盘在命令行工具中输入字符的“手动攻击”再次回归主流！

近日据CrowdStrike、Rapid7等 络安全公司的监测分析， “无恶意软件”攻击势头正在上升成主流攻击手段，对企业安全防御者构成严重威胁和挑战。

他来了，他带着键盘来了

CrowdStrike的最新安全 告数据显示，2019年，黑客用键盘逐行输入命令的“手动攻击”反超了全球范围内由恶意软件传播引领的“现代化大规模自动化攻击”。

一段时间以来，经验丰富的 络罪犯和国家黑客一直在通过新方法来提升“杀伤力”，例如，潜入目标 络并冒充真实用户来掩盖其安全工具的活动，使用被盗的凭据并运行合法的工具来窃取数据。

在CrowdStrike的威胁事件响应 告中，此类所谓的“无恶意软件”攻击首次超越基于恶意软件的攻击，在2019年攻击事件中的占比达到51％，超过后者的49％（上图）。而在2018年和2017年，全球攻击事件中恶意软件的占比还高达60%，无恶意软件攻击的占比约40%。

用CrowdStrike的话来说，无恶意软件攻击是一种潜入受害组织的方法，它没有在计算机磁盘上使用恶意文件或文件片段。除了凭据或合法工具被盗外，这种类型的攻击还可以从内存中执行代码，并且只能通过检测异常行为的高级工具和技术，或通过威胁搜寻来检测。

也许我们可以把这种趋势解读为：APT的常态化，但无论规模还是频率和影响范围，无恶意软件攻击都要远超APT。

从Crowdstrike的2019年 络攻击TTPs统计（上图）中也可以看到，一度被脚本小子和恶意软件抢了风头的传统黑客又回来了，他们主要使用“手动模式攻击”，例如命令行界面，PowerShell以及隐藏文件和目录。这些技术在2019年观测到的许多复杂攻击中都发挥了重要作用，这些攻击的一个共同特点就是攻击中有黑客个人参与并引导。

安全专家担心，如果攻击者加倍实施无恶意软件攻击，那么企业现有的安全工具，乃至企业的整个安全防御体系将不堪重负，形同虚设。

CrowdStrike的CTO Michael Sentonas表示：

随着越来越多的攻击者找到绕过传统安全工具的方法，无恶意软件攻击正在快速增长。而且，攻击者并不满足于绕过常规的防病毒软件，他们也开始绕过下一代AV产品。这正推动无恶意软件攻击的大幅度升级。如果无恶意软件攻击占比达到60％或以上，那将是一个极为严峻的问题。

Sentonas指出，问题在于，大多数组织都没有技术能力来区分合法用户或窃取其凭据的攻击者。

手动化挑战自动化

根据CrowdStrike的 告，去年大多数无恶意软件的攻击都发生在北美（上图），四分之三的攻击并未在受害组织内部部署恶意软件。

当越来越多的攻击者开始采用“手动攻击”， 络安全业界开始流行的自动化检测和响应（例如SOAR）技术就会面临挑战。

安全公司Rapid7的研究者也发现，越来越多的攻击者渗透进目标时会放弃使用恶意软件。Rapid7的研究主管Tod Beardsley说：

攻击者正在使用有效凭据或重用其他攻击中获取的凭据，这简直防不胜防。 这不是您可以轻松地自动化编排防御的威胁。

这同时也意味着，随着手动攻击的流行，账户凭据的泄露，对企业的威胁越来越大。根据SANS针对企业安全部门的调查，失窃信息在地下黑市的交易变现与利用（暗 情 ）是未来12月内，CSO们眼中最有价值的威胁情 信息之一（下图）：

CrowdStrike首席技术官Sentonas表示：

今年将是一件有趣的事情：无恶意软件的攻击是否会继续增加，这是否与（攻击者的）驻留时间相关？如果这是未来两年到四年的 络安全趋势，那么我们就遇到大麻烦了，因为越来越多的攻击方法可以绕过安全控制机制。

人的因素

安全业界普遍认为，无恶意软件攻击防御的关键是“人的因素”。

Rapid 7的Beardsley认为，面对自动化安全运营和防御技术难以招架的手动攻击威胁，组织需要重视“人的因素”，授权最终用户成为安全文化的一部分（安全是每个人的责任，而不仅仅是企业安全人员的责任）。

安全厂商Sophos的首席研究科学家Chester Wisniewski认为：

现在，有更多的攻击者是人。因此对合法工具的恶意用途检测尤为关键。例如，如果发现Nmap 络监视工具在DMZ中的Web服务器上运行，那应该是一个危险信 。没有人可以在DMZ的服务器上运行它。

Wisniewski指出，如果合法的安全工具在常规使用时间（范围）以外运行，则构成安全事件。我们必须清楚，你可能不是唯一使用这些工具的人，使用者也可能是坏人。

2、信安标委：《 络安全标准实践指南—远程办公安全防护》

关于发布《 络安全标准实践指南—远程办公安全防护》的通知

信安秘字[2020] 12

各有关单位：

全国信息安全标准化技术委员会秘书处针对远程办公安全问题，组织相关厂商和安全专家，编制了《 络安全标准实践指南—远程办公安全防护》（以下简称《实践指南》）。

《实践指南》给出了远程办公的典型应用场景，分析了远程办公可能面临的办公系统自身安全、数据安全、设备安全和个人信息保护等风险，针对远程办公系统的使用方和用户，分别给出了安全控制措施建议。其中，使用方应在管理和技术两方面开展安全防护，健全远程办公管理制度，加强运维管理，强化安全措施。用户应提高自身安全意识，重点针对设备、数据、环境等方面的安全风险进行防护。《实践指南》全文请点击附件下载。

附件： 《 络安全标准实践指南—远程办公安全防护》.pdf

全国信息安全标准化技术委员会秘书处

2020年3月13日

3、美陆军开发可检测系统后门攻击的新型软件

供稿人：徐婧

4、一波未平一波又起：公主邮轮承认公司存在数据泄露问题

据外媒 道， 在两艘邮轮爆发了新冠病毒后被迫在全球范围内停止运营的Princess Cruises（公主邮轮）目前已证实存在数据泄露问题。据信，这份发布在其 站上的通知实际上是在3月初发布的。该份通知称，公司在2019年4月至7月的4个月时间内发现了大量未经授权的电子邮件账 登入，其中一些包含了职工、邮轮工作人员和客人的个人信息。

资料图

Princess Cruises指出，姓名、地址、 会安全 码和政府证件如护照 码和驾驶执照 码以及财务和健康信息都可能被窃取。但这家公司表示，潜在的影响数据并不是针对每位客人。

另外这家公司表示，他们是在2019年5月发现了这一 络可疑活动。目前并不清楚为何该它花费了近一年时间才披露这一漏洞。对此，该公司发言人没有立即回应置评请求。

拥有Princess品牌的嘉年华邮轮公司(Carnival)本周股价下跌了逾30%，此前这家公司宣布将暂停旗下18艘邮轮的营运。该公司在日本和最近的美加州分别发生了两起涉及载有数十名新冠病毒感染者的事件。

此外，Princess Cruises也没有说明是在哪个司法管辖区 告了这一数据泄露事件。如果是在欧洲，则会因违反欧洲数据保护规定而会被处以高达其年营业额4%的罚款处罚。

5、全球疫情蔓延的当下，VPN漏洞或成国家级黑客攻击的重头戏

【导读】利用VPN漏洞发动攻击，似乎越发成为疫情当下黑客入侵企业，布局全球 络态势的新手段。前段时间，国外某研究机构发布一份 告，重磅爆出伊朗“Fox Kitten”的 络间谍计划——利用未修补的VPN漏洞作为切入点，向全球政府和企业植入后门，引发安全界广泛热议。而今天，在新冠疫情全球范围爆发，“全球戒严”势在必行的当下，高度密切关注利用VPN漏洞发动全球性 络攻击显得尤为重要。

VPN（Virtual Private Network）：在公用 络上建立专用 络，通过对数据包的加密和数据包目标地址的转换实现远程访问，在企业政府机构远程办公中起着举足轻重的地位。而这也意味着，一旦VPN漏洞被黑客利用攻击，企业将面临巨大威胁 。

2019年，大量企业的 VPN 服务器中被指存在重大漏洞，加剧了VPN 络安全的严防态势。然而，利用VPN漏洞发动攻击来的比预想要快，而这一次便直指全球。

伊朗借VPN启动“Fox Kitten”间谍计划

全球范围内重新布局 络攻击战略

今年2月，国外某安全机构爆出一个名为“Fox Kitten”的 络间谍计划。 告称：该计划可追溯至2017年，由伊朗国家级黑客组织运作，利用未修补的虚拟专用 漏洞作为切入点，悄悄助力伊朗在世界各地政府和企业组织中获得持久立足点。而相关“潜伏与立足”，直到 道前似乎大部分都还没有被发现。

而关于该“间谍计划”，研究员评论道： “我们估计，这份 告中披露的战役是伊朗迄今所揭示的最连续，最全面的战役之一。”而后还指出，伊朗APT组织的影响力与能力可能被低估了。

智库梳理相关信息，归纳了其四大特色，发现 “Fox Kitten”计划确有其震撼之处。

特色一：布局全球并以关键基础设施为目标，渗透各国核心新基建

“Fox Kitten” 络间谍计划主要针对以色列组织，但也渗透到包括美国和澳大利亚在内的至少10个其他国家的目标。攻击者在信息技术公司、公用事业提供商、国防承包商、石油公司和航空业公司中取得了立足点。可以说，涵盖了IT、电信、石油和天然气、航空、安全领域的公司和政府机构等诸多关键领域。

虽然，这次计划的主要目的是在很长一段时间内进行间谍活动和窃取信息。然而，攻击者也将攻击基础设施留在原地，以便快速有效地分发破坏性恶意软件。

特色二：伊朗三大“APT组织”组合出击、协调作战

虽然是被用作侦察基础设施，但此次“间谍计划”动用了伊朗三大APT组织—— “Elfin”、“OilRig”和 Chafer，并将其捆绑组合出击。

Elfin是一个更加隐蔽的 络间谍组织，主要针对美国、韩国和沙特阿拉伯的航空和石化目标；

OilRig的活动在很大程度上与APT33重叠，但该组织更专注于中东，并因使用虚假的LinkedIn个人资料和邀请传递恶意软件；

Chafer是一个专注于窃取个人信息的组织，它建立了一个以电信和旅游业为重点的广泛的全球 络。

而以上三个组织还均以利用新的VPN漏洞而闻名。因而即使过去它们分散作战、互不干扰，但此次，三大APT组织参与共同发起了这项针对全球的VPN服务器攻击活动。

特色三：多个VPN服务器漏洞重磅出击，令美国FBI发布警

而在工具利用上，伊朗黑客已将Pulse Secure VPN(CVE-2019-11510)、FortinetFortiOS VPN(CVE-2018-13379)、Palo Alto NetworksVPN(CVE-2019-1579)以及Citrix VPN(CVE-2019-19781)等漏洞定位为入侵大型公司的工具。

今年1月10日，美国 络安全和基础设施安全局(CISA)警告企业，修补其Pulse Secure VPN服务器以防止利用漏洞CVE-2019-11510的攻击。随即美国联邦调查局（FBI）也发布安全警 ，指责国家级（伊朗）黑客利用Pulse Secure VPN服务器的严重漏洞，破坏了美国市政府和美国金融公司的 络。

特色四：最新VPN漏洞24小时内，即可被伊朗“攻下”利用

“天下武功，唯快不破”，或许伊朗黑客组织深谙此道。所以，当新的漏洞披露之后，他们总能在几小时内迅速地加以部署，抢在补丁发布之前，利用该漏洞对目标系统发起致命一击。

据资料显示，他们不仅能够成功获取对目标核心系统的访问权限，丢弃其他恶意软件，并在 络上横向传播，与此同时，还特别擅长掩盖他们的踪迹，并在他们泄露信息时对其存在保密。

从以上四大特色来看，这项针对全球VPN服务器的Fox Kitten计划，无疑是伊朗布局全球 络攻击态势的绝佳切入点。

全球新冠疫情浪潮之下

未来VPN或将沦为 络空间致命武器

尽管当前来看，“Fox Kitten” 络间谍计划被认为在执行侦察与监控，但在‘得天独厚“的入侵优势下，可以大胆猜测，未来“Fox Kitten”或许会将VPN漏洞武器化，进一步部署更强杀伤力的 络攻击。

第一，部署数据擦除恶意软件

通常，数据擦除软件会通过擦除用户设备，使其无法访问所需要的应用程序和数据，并进一步攻击共享 络中的文件，云服务上存储的数据。而目前，伊朗黑客组织可能早已在相关目标上，部署了破坏公司 络和业务运营的数据擦除恶意软件，而此举足以导致企业和政府的运营的停摆。

2012年，伊朗对阵沙特阿美时，曾利用Shamoon恶意软件攻陷了石油巨头约75%的电脑；而2019年9月，两种新型数据擦除恶意软件ZeroCleare和Dustman也被指与伊朗黑客有关。

第二，对企业客户进行供应链攻击

与此同时，伊朗黑客还可能利用对受感染公司的访问权，进而对其客户进行供应链攻击。

这一推断在FBI向美国私营部门发出的安全通告中得到了论证。通告显示：“软件供应链公司正在遭受持续攻击，包括支持全球能源产出、传输和分发的工控系统的实体“。

FBI的同一警 还指出，这些攻击中部署的恶意软件与伊朗APT33组织先前使用的代码之间存在关联，强烈暗示伊朗黑客可能是这些攻击的幕后黑手。

第三，“攻陷VPN->横向移动”策略，发动更大范围的攻击

2019年12月下旬，巴林国家石油公司Bapco遭遇的一次数据擦除恶意软件攻击中，黑客通过VPN服务器攻击取得了Bapco 络的访问权，从而将数据擦除器加载到了中央防病毒软件中，并进一步分发到了所有计算机，而此策略正与此次 告中披露的“攻陷VPN->横向移动”策略如出一辙。

伊朗国家级APT，这个有着“世界顶级 络杀器”称 ，并曾成功将沙特、阿联酋、卡塔尔等各国油气和石油公司系统斩于马下的黑客组织，在面对全球 络战态势的严峻的当下，为争夺未来国际 络战场的主动权，都在擅用自身VPN攻击优势，谋求全球 络安全攻防战略的长线布局。

在全球新冠疫情肆虐、“全球戒严”的当下，不止于谨防“Fox Kitten” 络间谍计划，VPN作为其中远程办公生命体的核心血液，或许早已成为更多国家级黑客组织预利用的对象。故而，此时此刻，基于VPN建立的安全服务显得格外重要。

6、 告称美国83%联 医疗成像设备易受黑客攻击

易科技讯3月14日消息，据国外媒体 道，一项新的研究显示，美国绝大多数的医疗成像设备容易受到黑客攻击，一大原因是操作系统老旧，不受支持。

根据Palo Alto Networks旗下Unit 42 Threat安全团队发布的《2020年物联 威胁 告》，多达83%的联 医疗成像设备(如乳房X光造影机、MRI核磁共振成像机等等)存在安全隐患。这一比例明显高于2018年的56%。

Palo Alto Networks杰出工程师王梅(May Wang音译)将该比例的上升归因于微软不再支持Windows 7。虽然医疗设备的生命周期很长，但如果它们不定期更新到操作系统的最新版本，或者运行不受支持的操作系统，那么黑客就能乘虚而入，利用漏洞窃取数据，渗透到医院 络，扰乱医疗工作。

王梅说，“这就好比你的房子侧面一直有一扇坏了的窗户——你完全无法知道什么时候会有人溜进来，防不胜防。”

恶意软件Conficker卷土重来

王梅指出，医院在 络安全方面通常落后于其他行业，因此它们特别容易受到各种攻击。例如，该 告详细描述了已有12年历史的恶意软件Conficker是如何卷土重来的。

在 告中提到的一家未具名医院，一台乳腺X线机出现了异常流量。在短短几天的时间里，IT团队确定Conficker蠕虫感染了医院 络上的其他医疗设备，包括另一台乳腺X线机、一台放射机、一台数字成像设备以及其他的设备。

Conficker在2008年首次被检测到，当时它利用了Windows XP和较老的微软操作系统中的漏洞。该蠕虫会感染设备，并将它们添加到僵尸 络中，然后继续寻求感染其它的设备。到2009年，这种蠕虫感染了大约1500万台电脑，波及医院、政府机构和企业。

2015年，估计有40万台机器感染了Conficker蠕虫。2020年的 告说，这个数字现在可能是50万。

在上面提到的那家医院，重新启动设备并不起作用，因为引发Conficker感染的漏洞没有修补。最终，该医院不得不让设备下线，给它们安装重要的安全补丁，然后慢慢将它们一个接一个地重新上线。 告称，该医院当时宕机了一个星期。

黑客为何攻击医院

Palo Alto Networks的 告还警告称，黑客会对利润丰厚的个人数据发起新的攻击。

数据安全公司Mimecast的企业安全主管马修·加德纳（Matthew Gardiner）在接受杂志时表示，“医疗机构存有高度机密和敏感的个人信息，这些信息对于不法分子尤其具有吸引力。从本质上讲，那是信息宝库，既可以用来直接变现，也可以用于身份盗窃或其他的后续攻击。”

Mimecast周二发布的研究 告显示，去年高达90%的医疗机构受到过电子邮件攻击。其中，四分之一的医疗机构称，其遭受的攻击极具破坏性。甚至有医疗机构因为 络攻击而不得不关闭。

对于资金并不充裕的医院来说，有两个选择：购买新的成像机，或者投资升级医院防火墙来帮助缓解这类攻击。

王梅称，攻击者知道医院系统升级缓慢，因而往往利用这一点来谋利。“企业的系统宕机意味着金钱损失，而医院的系统宕机则意味着生命损失。医疗机构往往会通过向勒索软件支付赎金来重新获得对系统和数据的控制。”

预防措施

医院现在可以采取一些措施来缓解这种威胁。

王梅建议医疗机构定期扫描它们的 络，看看哪些物联 设备处于联 状态。任何不属于 络上的或者不在使用状态的设备都应该断开连接。其他的设备应定期更新，以确保修补任何的漏洞。最后，物联 医疗设备应该与常规 络分离。

“正如我们的 告所显示的，在72%的医疗机构里，物联 医疗设备没有与常规 络分离，”王梅说道，“这意味着，攻击一旦渗透到物联 医疗设备，那么除了可能从医疗设备本身窃取患者数据外，攻击者还可能会渗透到医院的主 络，窃取更多的患者数据。”（乐邦）

7、2020年将首次爆发全球性 络战？

在冲突不断升温、缺乏规则的 络空间，以攻击破坏关键基础设施为目标的 络战将会在全球扩散。

新冠肺炎疫情升至全球“大流行”，另外一场战役同样日趋激烈。被誉为末日博士的著名经济学家努里尔·鲁比尼（Nouriel Roubini）预测，2020年将首次爆发全球性的 络战。

3月11日，一家美国政府机构发布 告称，美国面临灾难性的 络攻击风险，呼吁进行广泛的 络安全变革。

同一天，国内某 络安全权威人士透露，台湾某些特种部门，利用疫情对大陆发动大规模 络攻击行动。 奇安信安全专家从1月25日组建的抗疫情 团，至今已经发现了5起以上国家级APT组织针对我国的攻击事件。

由国家支持的 络攻击日趋频繁，攻击目标由情 窃取为主延伸到破坏关键基础设施。

混乱和持久的破坏

3月11日，美国政府资助的 络空间日光浴委员会发布名为《来自未来的警告》 告，宣称美国面临灾难性的 络攻击风险，并发布 络战争的末日计划。

络空间日光浴委员会认为，对美国国家关键基础设施和经济体系的 重大 络攻击将造成混乱和持久的破坏，其破坏程度超过加利福尼亚州的大火、中西部的洪水和东南部的飓风所造成的破坏。

该份 告首次提出“分层 络威慑”的新战略，融合了“向前防御”的理念，以减少非重大 络攻击频率和危害。

基于美国《2019财年国防授权法案》成立的“ 络空间日光浴委员会”，意图复制艾森豪威尔的“日光浴计划”，出台一份清晰、连贯的 络计划，以阻止和保卫美国免受 络攻击。这一计划颇有复制冷战初期对苏遏制战略的味道，或标志着美开启 络冷战的序幕。

在2020年的世界经济论坛上，安全专家表达了对 络冷战加剧的忧虑。多国参与的全面 络战，似乎是好莱坞大片描述的场景，但世界范围内国家支持的 络攻击日益复杂和激进，已不能再排除针对国家关键基础设施攻击的全面 络战争。

有末日博士之称的努里尔·鲁比尼（Nouriel Roubini）近日预测， 2020年将首次爆发全球性的 络战。 作为纽约大学斯特恩商学院教授和著名经济学家，鲁比尼曾经成功预测2008年房产泡沫。他认为在美国试图削弱对手之际，非对称性的 络战似乎是对手的最佳选择。

首次成为安理会议题

在3月初的联合国安理会闭门会议上，美国，英国和爱沙尼亚谴责了俄罗斯军事情 部门去年针对格鲁吉亚的 络攻击。 络攻击首次成为安理会的特别议题。

2019年10月，格鲁吉亚遭遇该国史上最大规模的 络攻击，超过15000个政府机构、银行、法院、媒体和企业的 站被破坏和关闭。

英国情 机构认为，这些攻击是由俄罗斯军事情 部门操纵的黑客组织发起的，目的是破坏格鲁吉亚的稳定。未来可能会有更大范围的攻击活动。

这一名为“沙虫”的 神秘黑客小组（Sandworm）也被称为BlackEnergy，TeleBots和Voodoo Bear。安全专家认为，它也是2015年至2017年针对乌克兰一系列 络攻击的幕后黑手，这些攻击导致两次电 中断，以及针对基辅地铁和乌克兰敖德萨国际机场的的勒索软件攻击。

2017年对乌克兰的NotPetya攻击事件，可以说是 对乌克兰互联 的一次地毯式轰炸，被称为史上破坏力最大的 络攻击事件。在全球造成了100亿美元的巨大损失，但大部分损失还是在乌克兰：“ 300家公司、22家银行、四家医院、多个机场，以及几乎每个政府机构。”安全公司还指控Sandworm攻击了美国和法国的大选，以及2018年韩国冬季奥运会。

安全专家对Sandworm的深入研究发现，这一黑客组织具有广泛的破坏能力和范围——从关键基础设施到世界各地的政治活动。

相互攻击日趋频繁

3月9日，负责监督欧洲高压电力基础设施运行的组织ENTSO-E宣称遭遇黑客入侵。欧洲 络安全合作组织(ENCS)称，这将增加欧洲电力传输系统运营商被攻击的风险，从而可以导致大规模的停电。

就在上个月，美国国土安全部（DHS）透露，一家美国天然气公司因勒索病毒攻击而关闭了天然气管道的运营。

络安全公司CrowdStrike对2019年国家背景 络攻击分析显示，传统情 收集需求仍然是主要动机。但在今年的世界经济论坛上，安全专家认为， 公用事业和关键基础设施日益成为 络攻击的主要目标。攻击的目的也从间谍活动转变为制造停电和混乱。

早在2018年，美国能源部负责 络安全的助理部长卡伦·埃文斯（Karen Evans）在出席国会能源听证会时就曾表示，能源基础设施已成为 络攻击者的主要目标。

2019年3月，美国电 爆发了首例有记录的破坏性“ 络事件”；而就在两个月前，时任美国国家情 总监Dan Coats刚刚警告称， 俄罗斯黑客能够令美国电 “至少中断几个小时”。2019年6月，南非电力公司遭遇勒索软件攻击导致南非最大城市约翰内斯堡市电力中断。2015年和2016年对乌克兰电 的类似 络攻击，曾造成25万人遭遇长达数小时的停电事故。

在冲突不断升温、缺乏规则的 络空间，各国彼此间的攻击行为将日趋频繁。据《纽约时 》2019年6月 道， 美国 络司令部连续数月多次入侵俄罗斯的电力基础设施，并部署了可造成严重破坏的恶意软件，以遏制俄罗斯潜在的 络攻击。

关键设施控制 络的数字化和互联 连接不断提高，防护不足的电 与能源设施成为最薄弱环节，所面临黑客攻击风险也与日俱增。但各国关键设施机构显然还没有为这种日益严重的 络攻击做好准备。

战争不再宣告

一些人认为 络战永远不会发生，但在RSA大会期间进行的调查显示， 88%的安全人则认为国家支持的 络战争已在进行中。

近年来，美国，以色列和乌克兰都声称成为 络战的目标，这些国家均以各种方式进行了 复。与传统的军事行动不同， 络攻击可以从任何距离发动，极难确定地追溯到其实施者，从而加大了打击 复的难度。

美国智库兰德公司认为，俄罗斯的 络攻击似乎是对美国关键基础设施的最大威胁。根据DHS和FBI的 道，至少从2011年起，俄罗斯就对美国关键基础设施进行了蓄意入侵。这些系统不仅包括政府实体和能源基础设施，还包括商业设施、水厂和航空机构。

美国智库兰德公司认为，对于今天未宣布的与俄罗斯的（热烈） 络战，果断而积极的进攻行动（以及增强的防御行动）可能是美国进行反击并取得胜利的一种方式。

实际上，据《泰晤士 》 道 ，至少从2012年开始，双方就一直瞄准对方的基础设施。《纽约时 》 道显示，美国现在正通过对俄罗斯发电厂的袭击，积极回应俄罗斯对美国基础设施的入侵。

2019年6月，国家安全顾问约翰·博尔顿（John Bolton）公开表示，自2018年以来，美国已加强了进攻性 络攻击。博尔顿说，这样做给对手的信息是“你要付出代价”。

伊朗与美国之间的 络冲突一直在持续。在取消了针对伊朗的袭击后，2019年6月，美军对伊朗的核心指挥系统发起了攻击，以 复伊朗击落美国无人机的行动。据未具名的美国官员告诉媒体，美军的秘密袭击对伊朗造成了毁灭性影响。这意味着 络战与军事行动的结合日益紧密，从而将 络战带入一个新阶段：物理空间的攻击可能引发 络空间的 复，反之亦然。

由于缺乏国际规范，许多 络攻击属于引发全面战争门槛以下的灰色地带，美国日益强调“向前防御”理念和进攻性攻击，增加了国家间爆发 络空间冲突的风险。

奥地利诗人英格堡·巴赫曼（Ingeborg Bachmann）说：“战争不再宣告。” 络战正在将这句诗转变为现实。

8、2019年移动恶意软件总结 告

个人信息窃取 stalkerware

过去一年，针对移动设备用户的个人数据攻击增加了50%：从2018年的40386个受攻击的唯一用户增加到2019年的67500个。

个人信息窃取恶意软件可分为两大类：Trackers和成熟的跟踪应用程序。

Trackers通常关注两点：受害者的坐标和短信。许多类似的免费应用可以在谷歌官方商城中找到。谷歌Play2018年底改变政策后，大多数此类恶意软件被删除。然而仍可在开发者和第三方 站上找到。如果应用程序安装在设备上，用户位置和相关数据就可以被第三方访问。这些第三方不一定只是跟踪用户的第三方，有可能因为服务安全性较低，导致数据允许任何人访问。

成熟的跟踪应用程序的情况不同：Google Play上没有这样的应用程序，但它们得到了开发人员的积极维护。此类软件属于间谍软件，可以在设备上采集几乎所有的数据：照片（包括整个档案和个人照片，例如，在某个位置拍摄的照片）、电话、文本、位置信息、屏幕点击（键盘记录）等等。

许多应用程序利用root权限从 交 络和即时消息程序中提取消息历史记录。如果无法获得所需的访问权限，软件会利用窗口截图、记录屏幕点击等方式来获取信息。商业间谍软件应用程序Monitor Minor就是一个例子。

广告app

2019年，发现广告软件威胁的数量显著增加，其目的是在移动设备上获取个人数据。统计显示，2019年被广告软件攻击的用户数量与2018年基本持平。

检测到的广告软件安装包数量比2018年翻了一番。

广告软件安装包是自动生成的，但由于某种原因没有达到目标受众。它们可能在生成后立即被检测到，无法进一步传播。通常这样的应用程序不包含任何有用的东西，只是一个广告软件模块，因此受害者会立即删除它们。

这是广告软件连续第二年出现在前三大威胁之中。按2019年受到攻击的用户数量计算，前十大移动威胁中有四个是广告软件类应用。

2019年，移动广告软件开发商不仅生成了数万个软件包，在技术上也做了提升，特别是绕过了操作系统的限制。例如，出于节省电池的原因，Android对应用程序后台操作设置了某些限制，这对广告软件产生了负面影响。KeepMusic广告软件为了绕过这些限制，软件不会像恶意软件那样请求权限，程序开始循环静音播放一个MP3文件。操作系统发现音乐播放器正在运行，就不会终止KeepMusic后台进程。

盗取访问权限

2019年，出现了第一个移动金融恶意软件样本（AndroidOS.Gustuff.a），通过两种方法来从银行账户中窃取资金：

通过受害者手机短信：木马会感染设备，并向特定的银行电话 码发送带有转账请求的文本。然后，银行会自动将资金从设备所有者的帐户转移到收件人。

通过窃取 上银行凭证：这是近年来主导的方法，攻击者在受害者的设备上显示假冒的银行登录页面，收集受害者的凭据。在这种情况下攻击者需要自己进行交易，在自己的移动设备或浏览器上使用应用程序。

2019年， 络罪犯掌握了第三种方法：通过操纵银行应用程序进行盗窃。首先，受害者被说服运行应用程序并登录，例如，伪造的推送通知，受害者点击通知后会打开银行应用程序，此时攻击者也有权进行访问。

访问权限的滥用对用户的个人数据构成了严重威胁。以前 络犯罪者为了窃取个人信息不得不覆盖窗口并请求一堆权限，现在受害者自己将所有必要的数据输出到屏幕或以表格形式输入，攻击者可以很容易地收集到这些数据。如果恶意软件需要更多权限，可以自己打开设置并获得必要的权限。

Google Play

将恶意软件放入Android应用商店比利用 会工程学攻击受害者有更好的效果。这种方法还有更多优势：

绕过安卓内置的防病毒保护SafetyNet：如果用户从Google Play下载应用程序，那么在没有其他请求的情况下系统安装它的可能性非常高。在这种情况下，唯一能保护用户免受攻击的只有第三方安全解决方案。克服心理障碍：官方应用商店比第三方“市场”享有更大的信任度，可用于更高效地分发软件。以受害者为目标，没有不必要的花费：Google Play可以用来托管假冒软件，在谷歌Play上已经检测到许多针对特定人群的恶意程序。

数据分析

连续三年恶意安装包数量总体下降，这种情况与移动攻击数量相似：在2018年观察到攻击总数为1.165亿次，在2019年，这一数字降至8000万次。

这一数字可追溯到前一年，Asacub银行木马爆发前。攻击数量与被攻击用户的数量相关，观察到类似情况。

被攻击用户数量Top 10国家地区：

2019年，伊朗（60.64%）连续第三年高居榜首。该国最常见的威胁软件有：Trojan.AndroidOS.Hiddapp.bn、adware.AndroidOS.Agent.fa和RiskTool.AndroidOS.Dnotua.yfe。巴基斯坦（44.43%）从第七位上升到第二位，主要是由于受广告软件攻击的用户数量上升。

威胁种类

MobiDash（20.45%）和Ewind（16.34%）也有显著增长。2018年占据领先地位的Agent家族（15.27%）跌至第四位。

与2018年相比移动木马数量锐减，已经连续两年出现下降趋势，Hqwar家族的降幅最为显著：从2018年的14.1万件降至2019年的2.2万件。木马类威胁的比例上升了6个百分点，其中最常见的两个恶意软件家族是Boogr和Hiddapp。移动勒索软件木马的份额略有增加。前三名为Svpeng, Congur, Fusob。

TOP20移动恶意软件

前20名移动恶意软件中的第一名与前几年一样，是DangerousObject.Multi.Generic（49.15%），排在第二位的是Trojan.AndroidOS.Boogr.gsh（10.95%）。第三、第六和第十六位是由HIDDAP家族的成员占据。第五位和第十三位是Necro家族。第七位和第十位是银行业木马Asacub家族，年初该家族仍在积极传播恶意软件，从2019年3月开始，这个家族的活动有所下降。

第八位和第十四位是Hqwar家族。他们的活动从2018年的8万名受攻击用户大幅下降至2019年的2.8万名。

排在第九位的是Lezok家族AndroidOS.Lezok.p（1.76%）。该特洛伊木马通常在系统目录中以PhoneServer、GeocodeService和类似名称命名。

手机银行木马

2019年检测到69777个手机银行木马安装包，是去年的一半。由于其他类别和系列移动恶意软件的活动减少，银行木马在所有检测到的威胁中所占的份额略有增加。

银行木马检测到的安装包数量以及攻击数量受到Asacub木马活动的影响，该活动从2019年4月开始急剧下降。

银行木马攻击TOP10国家地区

银行木马TOP10家族

移动勒索木马

2019年共检测勒索木马安装包68362个，比上年增加8186个。整个2019年新勒索软件有所下降。

类似的情况也出现在被攻击用户上。在2019年初，受到攻击的用户数量达到了最高峰12004人，到年底这一数字下降了2.6倍。

勒索木马攻击TOP10国家地区

美国连续第三年排名第一。

总结

2019年出现了一些高度复杂的手机银行威胁，特别是可以干扰银行应用程序正常运行的恶意软件。这种趋势极有可能持续到2020年，有可能出现更多的高科技银行木马。

在2019年，移动跟踪武器攻击变得更加频繁，其目的是监测和收集有关受害者的信息。2020年这类威胁的数量很可能会增加，受攻击的用户数量也会相应增加。

从统计数据来看，广告软件在 络犯罪中越来越受欢迎。今后很可能会遇到此类威胁的新家族成员，最坏的情况是攻击者在受害者的设备上预装广告软件模块。