黑客的最新攻擊趨勢(shì)

對(duì)于攻擊者來說，慣于使用病毒等惡意程序?qū)ο到y(tǒng)和網(wǎng)絡(luò)進(jìn)行攻擊。隨著技術(shù)的發(fā)展，攻擊者明顯提高了惡意軟件的復(fù)雜性。例如曾經(jīng)引起全球巨大安全問題的某勒索軟件，采用加密蠕蟲技術(shù)技術(shù)可以更加輕松地進(jìn)行大范圍攻擊操作，其特點(diǎn)不僅僅是勒索錢財(cái)，而是刪除系統(tǒng)和數(shù)據(jù)，給用戶造成很大的損失。

例如WannaCrypt勒索軟件會(huì)通過釣魚網(wǎng)站或垃圾郵件，利用社會(huì)工程學(xué)技術(shù)將惡意的URL/PDF/HTA的數(shù)據(jù)發(fā)送給用戶，用戶點(diǎn)擊該URL或打開附件后，就會(huì)下載并釋放該蠕蟲。當(dāng)WannaCrypt運(yùn)行后，即開始執(zhí)行后續(xù)攻擊行為，其特點(diǎn)是釋放加密模塊，對(duì)本地文件進(jìn)行加密并進(jìn)行勒索。之后該蠕蟲會(huì)掃描局域網(wǎng)中的IP地址，利用SMB等系統(tǒng)漏洞，通過自我復(fù)制來攻擊其他主機(jī)。此外，其還會(huì)生成隨機(jī)的互聯(lián)網(wǎng)IP地址，對(duì)Internet上隨機(jī)主機(jī)進(jìn)行攻擊?？梢钥闯鲈搻阂廛浖⑨烎~、垃圾郵件、加密勒索和蠕蟲等特點(diǎn)結(jié)合在了一起，使其擁有更加危險(xiǎn)的功能。

識(shí)破黑客逃避伎倆

攻擊者會(huì)通過各種方法讓惡意程序避開用戶追蹤。例如有些木馬會(huì)利用各種沙盒逃避技術(shù)（例如只有在文件關(guān)閉時(shí)才會(huì)觸發(fā)等），讓沙盒檢測(cè)軟件對(duì)其視而不見。此外大量的使用加密技術(shù)，可以讓黑客更好的隱藏命令和控制指令。攻擊者還會(huì)采用合法的Internet服務(wù)的C2渠道來加密惡意流量。例如對(duì)于新型木馬來說，會(huì)自動(dòng)定時(shí)到GitHub端下載更新程序來強(qiáng)化該木馬的功能，同時(shí)將盜取的數(shù)據(jù)發(fā)送到GitHub云端中。

因?yàn)镚itHub、Dropbox等均是合法的Internet服務(wù)，并提供了加密傳輸功能，所以黑客可以借此混跡其中來逃避追捕。當(dāng)然，黑客也可能使用MITM插入技術(shù)，在正常訪問因特網(wǎng)服務(wù)流量中插入非法指令來避開防火墻等設(shè)備的監(jiān)控。

因 此， 將 合 法 的Internet服務(wù)變成發(fā)起惡意攻擊工具，是黑客技術(shù)發(fā)展的一大趨勢(shì)。對(duì)于很多企業(yè)來說，會(huì)依賴和使用云服務(wù)、物聯(lián)網(wǎng)和公共網(wǎng)絡(luò)。這些網(wǎng)絡(luò)網(wǎng)絡(luò)存在很多漏洞，很容易遭到黑客的攻擊。例如，黑客利用黑客可以籍此建立僵尸網(wǎng)絡(luò)，來發(fā)起更大范圍的DDoS攻擊。

強(qiáng)化安全防御手段

對(duì)于上述攻擊行為來說，必須采取對(duì)應(yīng)的手段加以防御。例如，通過實(shí)施可擴(kuò)展的一線防御工具來保護(hù)網(wǎng)絡(luò)安全。因?yàn)楹芏嗥髽I(yè)都使用基于云的網(wǎng)絡(luò)技術(shù)，所以可以利用云安全平臺(tái)，針對(duì)云端操作進(jìn)行管控和認(rèn)證，限制內(nèi)部用戶對(duì)企業(yè)公有云上的資源的訪問。通過防火墻等設(shè)備對(duì)網(wǎng)絡(luò)進(jìn)行分段來降低安全風(fēng)險(xiǎn)，針對(duì)應(yīng)用程序，系統(tǒng)和網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞的修復(fù)，防止惡意入侵。

傳統(tǒng)的基于靜態(tài)或動(dòng)態(tài)特征碼技術(shù)已經(jīng)無法防御新一代的病毒攻擊，所以采用下一代終端進(jìn)程管控工具，可以通過對(duì)特征和行為進(jìn)行多重分析，包括使用人工智能機(jī)器學(xué)習(xí)等手段來發(fā)現(xiàn)和識(shí)別可疑程序。對(duì)于很多安全廠商來說，在不斷提高安全產(chǎn)品性能的同時(shí)，也在不斷深入了解最新的黑客技術(shù)，針對(duì)新型的入侵方式，利用AI和機(jī)器學(xué)習(xí)等方法對(duì)其進(jìn)行深入分析，掌握最新的安全動(dòng)態(tài)，來精準(zhǔn)的獲取威脅情況信息。

因此，對(duì)于安全人員來說，及時(shí)訪問和了解這些威脅情報(bào)數(shù)據(jù)，熟悉其運(yùn)作流程，就可以更加有效的監(jiān)控相關(guān)的安全事件。

對(duì)出現(xiàn)的安全問題及時(shí)加以審核并有效加以解決，對(duì)重要的數(shù)據(jù)進(jìn)行備份可以有效應(yīng)對(duì)勒索病毒的侵襲，對(duì)安全技術(shù)實(shí)施第三方的測(cè)試審查來降低供應(yīng)鏈攻擊風(fēng)險(xiǎn)，對(duì)微服務(wù)/云服務(wù)/應(yīng)用管理系統(tǒng)進(jìn)行掃描，對(duì)安全系統(tǒng)進(jìn)行不間斷審核。因?yàn)閻阂廛浖赡軐?shù)據(jù)封裝在加密流量中，企業(yè)內(nèi)部不法員工會(huì)使用云端來竊取機(jī)密信息，因此安全人員需要使用相關(guān)工具來及時(shí)檢測(cè)這些利用加密技術(shù)進(jìn)行的破壞活動(dòng)。

惡意軟件的新特點(diǎn)

惡意軟件變得更加復(fù)雜，其類型和數(shù)量不斷膨脹，面對(duì)處于混亂狀態(tài)的安全形勢(shì)，對(duì)于安全防御提出了新的挑戰(zhàn)。對(duì)于將惡意程序和蠕蟲技術(shù)集成于一身的勒索病毒來說，可以讓黑客發(fā)起新型的自傳播式的攻擊行為。傳統(tǒng)的惡意軟件一般是通過常規(guī)下載，垃圾郵件或U盤介質(zhì)等方法進(jìn)行傳輸，用戶防御起來也比較簡單。

但是現(xiàn)在的攻擊者采用的傳播手段更加復(fù)雜，例如黑客可以在某些軟件的更新包中內(nèi)嵌惡意代碼，讓用戶在進(jìn)行正常升級(jí)過程中中招。黑客甚至可以直接修改某些系統(tǒng)的更新源文件，將其指向黑客精心設(shè)置的惡意更新源。對(duì)于Linux來說，在安裝軟件時(shí)用戶經(jīng)常會(huì)使用“Yum”或“Apt-get”等指令，在實(shí)際操作時(shí)可能會(huì)出現(xiàn)打錯(cuò)字符的情況，黑客會(huì)總結(jié)用戶經(jīng)常手誤的指令名稱，在更新源上設(shè)置對(duì)應(yīng)的下載包，利用用戶誤操作來自動(dòng)下載惡意程序。

沙盒技術(shù)可以有效識(shí)別惡意軟件,但越來越多的惡意軟件通過使用文檔關(guān)閉觸發(fā)技術(shù)來規(guī)避沙盒的檢測(cè)。此外，黑客還會(huì)通過偽裝存在惡意負(fù)載的文件來避開沙盒的檢測(cè)。例如攻擊者會(huì)將存問題的Word文件內(nèi)嵌到PDF文檔中，沙盒雖然可以對(duì)PDF進(jìn)行檢測(cè)，但是對(duì)于內(nèi)嵌的Word文件卻不能進(jìn)行有效分析。因此，使用包含內(nèi)容感知功能的沙盒軟件，可以讓利用這些惡意策略的不法文件漏出馬腳。

對(duì)于正規(guī)廠商的商業(yè)軟件來說，出現(xiàn)安全問題，會(huì)及時(shí)發(fā)布補(bǔ)丁包進(jìn)行修復(fù)。但對(duì)于開源軟件來說，即使出現(xiàn)安全漏洞，安全更新發(fā)布的也會(huì)很緩慢。而且開源軟件經(jīng)常大量使用第三方的控件，這大大增加了安全風(fēng)險(xiǎn)的發(fā)生率。對(duì)于黑客來說，可以在其中任何一個(gè)環(huán)節(jié)（例如更新源、補(bǔ)丁包、第三方控件等）進(jìn)行惡意破壞，就會(huì)讓惡意程序大行其道。對(duì)于修改更新源，篡改更新包等基于供應(yīng)鏈的攻擊方式，其危害性很大，但是卻經(jīng)常被用戶所忽視。

對(duì)于安全人員來說，應(yīng)保證使用的軟件和硬件來自安全可靠的組織和企業(yè)。用戶在使用更新源和更新包之前需要對(duì)其進(jìn)行檢測(cè)，來發(fā)現(xiàn)其中是否存在惡意代碼，否則這種基于供應(yīng)鏈的攻擊形式會(huì)讓用戶防不勝防。對(duì)于勒索軟件來說，其目標(biāo)不僅僅是普通用戶，還包括開發(fā)及運(yùn)行平臺(tái)，因?yàn)楝F(xiàn)在的開發(fā)者往往基于云端操作，大量的數(shù)據(jù)（包括郵件、網(wǎng)站、財(cái)務(wù)系統(tǒng)、辦公系統(tǒng)、數(shù)據(jù)庫等）保存在云中，很多開發(fā)及運(yùn)行平臺(tái)在為外界服務(wù)，黑客可以針對(duì)這些云端數(shù)據(jù)進(jìn)行攻擊加密和勒索。所以需要采取諸如及時(shí)修復(fù)和更新開發(fā)運(yùn)行技術(shù)，積極掃描漏洞，實(shí)現(xiàn)更加嚴(yán)格的安全部署方案，對(duì)公共基礎(chǔ)設(shè)備加以關(guān)注等。

警惕加密流量中“濁流”

據(jù)統(tǒng)計(jì)，現(xiàn)在網(wǎng)上50%的流量均處于加密狀態(tài)，這給黑客進(jìn)行隱藏命令與控制行為帶了極大的便利。據(jù)分析，現(xiàn)在的惡意軟件大約70%都經(jīng)過了加密處理，這樣就可以逃避安全監(jiān)測(cè)。

更危險(xiǎn)的是，如果相關(guān)安全公司的私鑰和證書被黑客竊取的話，其危害性將更大。面對(duì)這種復(fù)雜的安全局勢(shì)，比較好的應(yīng)對(duì)策略是使用人工智能和機(jī)器學(xué)習(xí)來識(shí)別海量加密流量中惡意攻擊活動(dòng)的異常模式。

使用之前的靜態(tài)簽名和動(dòng)態(tài)簽名技術(shù)，只能實(shí)現(xiàn)手工定義，沒有泛化或者泛化能力有限，無法可靠阻止大多數(shù)網(wǎng)絡(luò)攻擊。利用機(jī)器學(xué)習(xí)，可以執(zhí)行行為簽名處理，即分析軟件的異常行為，能夠基于惡意軟件的的相似性進(jìn)行泛化。通過對(duì)大量正常流量的學(xué)習(xí)來檢測(cè)惡意流量的特征，并基于常見可疑行為進(jìn)行泛化來捕獲可疑流量的通用特征。對(duì)可疑軟件的異常行為進(jìn)行分析和泛化，可有效發(fā)現(xiàn)各種危險(xiǎn)漏洞。

對(duì)Web攻擊的識(shí)別和防護(hù)

Web攻擊是黑客最常用的活動(dòng)方式之一。Web攻擊主要針對(duì)服務(wù)器和客戶進(jìn)行，對(duì)于服務(wù)器端來說，因?yàn)楹芏鄥f(xié)議實(shí)際上沒有標(biāo)準(zhǔn)化，加之為了實(shí)現(xiàn)各種功能，會(huì)在服務(wù)軟件中添加各種模塊，就會(huì)出現(xiàn)許多潛在的漏洞?？蛻舳送狈Ρ匾陌踩庾R(shí)，易遭黑客攻擊。

對(duì)于Web攻擊來說，主要針對(duì)的是微軟IE瀏覽器。不管威脅形式如何變化，惡意和垃圾郵件堪稱黑客發(fā)布惡意程序的主要工具。

社會(huì)工程學(xué)是黑客常用的手法之一，其威脅是不可忽視的。很多黑客技術(shù)會(huì)隨著時(shí)代發(fā)展而消失，但社會(huì)工程學(xué)只能越來越得到黑客的重視。和傳統(tǒng)的釣魚模式不同，現(xiàn)在黑客組織經(jīng)常使用魚叉式釣魚模式，即對(duì)目標(biāo)對(duì)象進(jìn)行精準(zhǔn)的分析，了解其特點(diǎn)和愛好，通過精心設(shè)計(jì)的情節(jié)，對(duì)目標(biāo)進(jìn)行釣魚操作，其成功率往往很高。

網(wǎng)絡(luò)釣魚顯著特點(diǎn)是使用的域名數(shù)量較少，但是使用的網(wǎng)址數(shù)量卻很龐大。即通過隱私服務(wù)注冊(cè)域名來隱藏域名注冊(cè)信息，這對(duì)實(shí)際的追蹤帶來了不便。黑客可能使用短網(wǎng)址技術(shù)來偽裝非法的網(wǎng)址，讓用戶難以識(shí)別。對(duì)于安全防御來說，重點(diǎn)關(guān)注的應(yīng)該是對(duì)移動(dòng)設(shè)備的保護(hù)，對(duì)公共云中數(shù)據(jù)的保護(hù)，以及對(duì)用戶行為的保護(hù)等。

對(duì)云服務(wù)進(jìn)行安全保護(hù)

現(xiàn)在很多應(yīng)用和數(shù)據(jù)都遷移到了云端，讓傳統(tǒng)安全技術(shù)難以對(duì)不斷擴(kuò)展的云服務(wù)和物聯(lián)網(wǎng)環(huán)境進(jìn)行安全管控。因?yàn)檫@些云服務(wù)是合法的，不可能被全部阻止，和云服務(wù)相關(guān)的數(shù)據(jù)均進(jìn)行了加密處理，造成難以檢測(cè)的情況。這些云服務(wù)的歸屬變得復(fù)雜化，攻擊者無需注冊(cè)域名。

為了應(yīng)對(duì)這些威脅，比較有效的方法是對(duì)威脅信息進(jìn)行情報(bào)分析，了解相關(guān)惡意流量的特點(diǎn)，熟悉其滲透的方式，之后有針對(duì)性的進(jìn)行APT的防御措施，包括事件關(guān)聯(lián)、沙箱檢測(cè)、終端和網(wǎng)關(guān)威脅防御等。通過對(duì)惡意軟件的行為和控制的安全檢測(cè)，來抵御潛在的風(fēng)險(xiǎn)。

攻擊者可能會(huì)申請(qǐng)很多域名，但是IP地址資源卻比較有限，因此黑客可以大量重復(fù)的使用不同域名，但是其只能重復(fù)使用少量的IP地址，而IP地址可以供多個(gè)域名使用的。因此只要對(duì)這些IP地址進(jìn)行封堵，就可以有效防御其攻擊。

例如在云端可以針對(duì)該特點(diǎn)進(jìn)行收集情報(bào)，進(jìn)行大數(shù)據(jù)分析之類的工作。黑客除了使用公共云服務(wù)來傳播木馬等惡意軟件外，企業(yè)內(nèi)部人員往往會(huì)將各種數(shù)據(jù)存放在云端，雖然這方便了用戶的使用，不過也帶來了不可忽視的安全問題。

例如，云服務(wù)提供商無法完全保證數(shù)據(jù)的安全性，無法實(shí)現(xiàn)諸如基于活動(dòng)目錄之類的認(rèn)證機(jī)制，這就會(huì)造成企業(yè)的敏感數(shù)據(jù)存在被竊取、毀壞或泄露的情況。隨著越來越多的基礎(chǔ)設(shè)施遷移到云中，使用云訪問訪問安全代理安全代理技術(shù)可以為云環(huán)境增加更好的安全性。這樣，企業(yè)內(nèi)部用戶必須借助于該代理進(jìn)行認(rèn)證及權(quán)限控制和記錄等操作，之后通過該代理才可以訪問云端數(shù)據(jù)。如果數(shù)據(jù)丟失的話，還可以進(jìn)行恢復(fù)。

警惕黑客侵襲物聯(lián)網(wǎng)

對(duì)于物聯(lián)網(wǎng)來說，其中的很多設(shè)備（例如網(wǎng)絡(luò)攝像頭、打印機(jī)、智能音箱等）處于不間斷運(yùn)行狀態(tài)，基本上不會(huì)進(jìn)行升級(jí)，因此存在在很多的漏洞和弱密碼。黑客利用這些物聯(lián)網(wǎng)設(shè)備可以構(gòu)建起僵尸網(wǎng)絡(luò)，發(fā)起DDoS攻擊。DDoS攻擊分為基于應(yīng)用和網(wǎng)絡(luò)的攻擊，前者為主要攻擊形式。現(xiàn)在的DDoS攻擊具有短期突發(fā)，攻擊頻繁且復(fù)雜等特點(diǎn)。

因?yàn)橛行┚W(wǎng)站（包括云服務(wù)提供商）對(duì)于可用性和延時(shí)性非常敏感，對(duì)于上述DDoS攻擊無法應(yīng)對(duì)。此外，黑客利用反射放大攻擊（包括DNS放大反射、NTP反射和SSDP反射等），可以有效的隱藏攻擊者。此類攻擊往往依靠UDP協(xié)議進(jìn)行，只要是UDP服務(wù)，幾乎都可能被用來實(shí)現(xiàn)DDoS攻擊。該類攻擊必須依靠地址欺騙技術(shù)，有些網(wǎng)絡(luò)（例如教育網(wǎng)）對(duì)地址欺騙防護(hù)比較差，這給黑客造成很大的便利。

在攻擊者的眼中，除了常規(guī)的攻擊目標(biāo)外，一些基礎(chǔ)設(shè)施單位（例如發(fā)電廠等），因?yàn)楣た叵到y(tǒng)漏洞等問題，使其也處于黑客的攻擊范圍內(nèi)。在這些工控網(wǎng)絡(luò)中同樣存在嚴(yán)重的安全問題，其內(nèi)部很多設(shè)備極易遭到攻擊。為提高安全性，必須將這些網(wǎng)絡(luò)隔離開來，并實(shí)行嚴(yán)格管控，包括及時(shí)更新系統(tǒng)和應(yīng)用補(bǔ)丁更新，控制移動(dòng)存儲(chǔ)設(shè)備的使用，禁止使用弱密碼，及時(shí)備份重要數(shù)據(jù)等。

防范泄露路徑問題

在很多企業(yè)內(nèi)部可能存在泄露路徑的問題。所謂泄露路徑，指的是在企業(yè)內(nèi)存在某些未知的設(shè)備，并且由此發(fā)生了一些不正常的在允許策略之外的通訊，出現(xiàn)了管理員并不知道的網(wǎng)絡(luò)流量。

當(dāng)然，如果路由器或交換機(jī)配置不當(dāng)，也會(huì)產(chǎn)生泄露路徑問題。如果這些流量被發(fā)送到Internet上，就很可能被黑客竊取。

為了修復(fù)泄露路徑，管理員必須充分知曉企業(yè)中存在哪些設(shè)備，洞悉網(wǎng)絡(luò)流量的走向。將位置的設(shè)備以及不正常的流量找出來，這樣就可以封堵這些泄露路徑。

如今一些下一代防火墻就提供了安全可視化技術(shù)，讓管理員可以深入了解全網(wǎng)情況，以便于其快速發(fā)現(xiàn)泄露路徑。

隨著網(wǎng)絡(luò)安全的發(fā)展，諸如移動(dòng)安全性、加密和隱私保護(hù)、防火墻管理、終端保護(hù)、多因素身份驗(yàn)證、終端設(shè)備調(diào)查分析、云訪問安全代理、Web應(yīng)用防火墻、入侵防御等安全管控技術(shù)在對(duì)抗黑客入侵方面也正在發(fā)揮著越來越大的作用。

修復(fù)安全漏洞 封堵入侵通道

黑客之所以可以猖狂的發(fā)起攻擊，在很大程度上依靠的是各種安全漏洞。因此，及時(shí)有效的修復(fù)漏洞是極為必要的。

例如對(duì)于WannaCry勒索病毒來說，從漏洞的披露到大面積爆發(fā)，存在很長的時(shí)間，但是因?yàn)樾迯?fù)不及時(shí)，依然讓其造成了大面積的破壞。對(duì)于某些漏洞（例如請(qǐng)求TCP時(shí)間戳請(qǐng)求、弱HTTPS緩存策略等）來說，其嚴(yán)重性較低，但風(fēng)險(xiǎn)較高，不容易引起用戶的重視，往往長期不對(duì)其進(jìn)行修復(fù)。

當(dāng)然，對(duì)于有些漏洞來說，想在30天之內(nèi)進(jìn)行修復(fù)其實(shí)是比較困難的。例如對(duì)于Apache Struts緩沖區(qū)溢出漏洞，是普遍存在的安全漏洞，這很容易導(dǎo)致用戶數(shù)據(jù)被竊取。對(duì)于Java Web框架來說，幾乎每年都會(huì)出現(xiàn)漏洞等。此外，對(duì)于緩沖區(qū)錯(cuò)誤、輸入驗(yàn)證、權(quán)限和訪問控制、信息泄露、密碼問題、OS命令注入、連接跟隨等方面，往往存在容易被黑客利用的漏洞。尤其對(duì)于一些開源軟件來說，漏洞不僅存在而且難以及時(shí)修補(bǔ)。即使存在相應(yīng)補(bǔ)丁包，也很難在不影響業(yè)務(wù)的情況下快速修復(fù)漏洞。在發(fā)現(xiàn)漏洞和修補(bǔ)完成之間存在巨大的時(shí)間差，黑客完全可以利用從容的對(duì)目標(biāo)發(fā)起攻擊。

最新研究證實(shí)，除了常見的系統(tǒng)和程序漏洞外，在物聯(lián)網(wǎng)和第三方軟件庫中存在數(shù)量眾多的安全漏洞。因此，加強(qiáng)對(duì)于第三方軟件庫的安全管控，及時(shí)打上補(bǔ)丁，確認(rèn)第三方軟件的安全性，對(duì)于網(wǎng)絡(luò)安全意義重大。

在執(zhí)行更新過程中，要盡可能通過加密通道進(jìn)行，而且需要確保軟件經(jīng)過了數(shù)字簽名處理。值得警惕的是，在處理器硬件層面也存在某些安全漏洞例，例如Meltdown（熔毀）和Spectre（幽靈）等漏洞，讓攻擊者甚至可以讀取處理器內(nèi)部的數(shù)據(jù)。當(dāng)然，這需要在特定的情況下使用特定的攻擊工具，黑客才可以得手。但是，重視和關(guān)注此類漏洞，對(duì)于網(wǎng)絡(luò)安全是不可忽視的。例如，安全人員應(yīng)及時(shí)清查各種控制設(shè)備，記錄其使用配置信息等。