根据安全厂商的调查, 2017 年黑客的攻击手段有着一定的共同点, 他们选择通过电子邮件去发动攻击. 过去一年, 恶意邮件在整个邮件里面的比例正在逐年增长. 从 2014 年大概 200 多封邮件里面, 有 1 封是含恶意程序的. 到了 2016 年大概这个比例下降到只有 130 多封里面就含一封邮件有恶意程序.
如果仔细观察会发现, 这些邮件攻击有一些共性, 包括很多的恶意邮件里面包含发票, 付款以及请求等较为明显的字眼. 此外, 恶意邮件利用不同的语言进行传播. 需要注意的是, 钓鱼邮件所用的语言多以英文为主.
如今黑客在发送钓鱼邮件的同时, 还会发一个 word 附件. 对于一般用户来说, 带有 word 文档的邮件看起来更像正常邮件. 但是, 很多时候 word 文档中需要打开宏功能, 开启宏能够启动很多其他与系统有关的程序. 所以, 黑客比较容易先通过电子邮件进来.
过去, 黑客通过一些寻找很多不同的零日漏洞, 会找到很多不同的攻击包, 去发动相关的攻击. 但在去年, 除了用工具包的攻击比较频繁以外, 黑客那边偏向于用一些更简单的工具. 现在的电脑里面很多的程序当中的工具, 包括 PowerShell 很容易让黑客通过 word 的文档, 集成 PowerShell 的指令, 远程访问电脑.
一般企业对于 PowerShell 的认知不是很深, 认为只是一个简单的脚本, 所以他们通常会选择使用邮件网关, 还有其他 IT 安全设备保障企业安全, 反而对整个 PowerShell 的脚本没有做相关拦截.
黑客选择 PowerShell 更重要的原因在于, PowerShell 的指令在整个系统记录中是看不到的. 因此, 黑客可以轻松利用这点发动攻击. 第一, 很多时候就可以通过邮件网关侦查不出来. 第二, 执行这个相关指令以后, 进入的路径难以查询. 去年, 很多的脚本都是通过下载器的方式发动相关指令. 这些下载器的数量逐月上涨. 这些下载器脚本下载其他的病毒, 包括下载勒索软件等相关病毒, 能够加密电脑并锁定数据.
赛门铁克通过对 PowerShell 脚本的研究, 发现 95% 的 PowerShell 脚本为恶意脚本. 所以, 黑客过去一年非常愿意用这种方式发动相关针对性攻击. 针对恶意程序过去一年的发展, 在去年的 ISTR 21 报告中曾提到, 恶意程序的数量在 2015 年大约有 4.3 亿. 但在 2016 年, 所发现的恶意软件数量出现了轻微下降, 只有大概 4 亿左右. 但在这 4 亿的恶意软件里面, 90% 都是在 2016 年首次出现的.
也就是说, 黑客会将恶意程序进行更新, 重新包装之后再次发动攻击. 现在很多恶意程序都能够感知虚拟机, 4% 的恶意程序会利用云服务进行攻击, 恶意程序会使用很多的方法去躲避企业内部的电子邮件网关, 还有网络安全设备.
来源: http://netsecurity.51cto.com/art/201804/570580.htm