卡巴斯基：2018年度安全大事件盘点

从技术上讲，这三起恶意活动都经过精心设计，其主要目的相似，都是监视特定的受害者。这些攻击的主要目的是从移动设备中窃取所有可用的个人数据，包括呼叫、信息、地理定位等。甚至一些恶意软件还具有通过麦克风进行窃听的功能。针对一些毫无防备的目标，他们的智能手机直接成为了攻击者最佳的窃听和信息收集工具。

网络犯罪分子特别针对流行的即时通信服务进行信息窃取，现在这些服务已经在很大程度上取代了传统的通信方式。在某些情况下，攻击者能够使用木马实现在设备上的本地特权提升，从而实现几乎没有限制的远程监控访问以及设备管理。

在这三个恶意程序中，有两个程序具有记录键盘输入的功能，网络犯罪分子记录用户的每次击键。值得注意的是，要记录键盘输入，攻击者甚至都不需要提升权限。

从地理位置来看，受害者位于各个国家：Skygofree针对意大利用户，BusyGasper针对俄罗斯特定用户，Zoopark主要在中东运营。

同样值得注意的是，与间谍活动相关的犯罪分子越来越青睐于移动平台，因为移动平台提供了更多的个人信息。

四、漏洞利用

利用软件和硬件中存在的漏洞，仍然是攻击者攻陷各种设备的主要手段。

今年早些时候，有两个影响Intel CPU的高危漏洞，分别是Meltdown和Spectre，这两个漏洞分别允许攻击者从任何进程和自身进程中读取内存。这些漏洞自2011年以来一直存在。Meltdown(CVE-2017-5754)会影响Intel CPU并允许攻击者从主机上的任何进程读取数据。尽管需要执行代码，但可以通过各种方式来实现，举例来说，可以通过软件漏洞或访问加载包含Meltdown攻击相关JavaScript代码的恶意网站。一旦该漏洞被成功利用，攻击者就可以读取内存中的所有数据(包括密码、加密密钥、PIN等)。厂商很快就发布了流行操作系统适用的㐉。但在1月3日发布的Microsoft补丁与所有反病毒程序不兼容，可能会导致BSoD(蓝屏)。因此，只有在反病毒软件首次设置特定注册表项时，才能安装更新，从而指示不存在兼容性问题。Spectre(CVE-2017-5753和VCE-2017-5715)与Meltdown不同，该漏洞也存在于其他架构中(例如AMD和ARM)。此外，Spectre只能读取漏洞利用进程的内存空间，而不能读取任意进程的内存空间。更重要的是，除了一些浏览器采用了防范措施之外，Spectre还没有通用的解决方案。在报告漏洞之后的几周内，可以很明显地看出这些漏洞不易被修复。大部分发布的补丁都是减少攻击面，减少漏洞利用的已知方法，但并没有完全消除风险。由于这个漏洞会严重影响CPU的正常工作，很明显厂商在未来的几年内都要努力应对新的漏洞利用方式。事实上，这一过程并不需要几年的时间。在今年7月，Intel为Spectre变种(CVE-2017-5753)相关的新型处理器漏洞支付了10万美元的漏洞赏金。Spectre 1.1(CVE-2018-3693)可用于创建预测的缓冲区溢出。Spectre 1.2允许攻击者覆盖制度数据和代码指针，从而破坏不强制执行读写保护的CPU上的沙箱。麻省理工学院研究员Vladimir Kiriansky和独立研究员Carl Waldspurger发现了这些新的漏洞。

4月18日，有人向VirusTotal上传了一个新的漏洞利用工具。该文件被多家安全厂商检测，包括卡巴斯基实验室在内，我们借助通用启发式逻辑来检测一些较旧的Microsoft Word文档。事实证明，这是Internet Explorer(CVE-2018-8174)的一个新的0day漏洞，Microsoft在5月8日实现了修复。我们在沙箱系统中运行样本后，发现该样本成功针对应用了最新补丁的Microsoft Word版本实现漏洞利用。因此，我们对漏洞进行了更深入的分析，发现感染链包含以下步骤。受害者首先收到恶意的Microsoft Word文档，在打开之后，将会下载漏洞的第二阶段，是一个包含VBScript代码的HTML页面。该页面将会触发UAF漏洞并执行ShellCode。尽管最初的攻击向量是Word文档，但该漏洞实际上是位于VBScript中。这是我们第一次看到用于在Word中加载IE漏洞的URL Moniker，我们相信这种技术在以后会被攻击者严重滥用，因为这种技术允许攻击者强制加载IE，并忽略默认浏览器设置。漏洞利用工具包的作者很可能会在通过浏览器的攻击和通过Word文档的鱼叉式网络钓鱼攻击中滥用这一漏洞。为了防范这种攻击方式，我们应该应用最新的安全更新，并使用具有行为检测功能的安全解决方案。

8月，我们的AEP(自动漏洞利用防御)技术检测到一种新型网络攻击，试图在Windows驱动程序文件win32k.sys中使用0day漏洞。我们向Microsoft通报了这一问题，并且Microsoft在10月9日披露了这一漏洞(CVE-2018-8453)并发布了更新。这是一个非常危险的漏洞，攻击者可以控制受感染的计算机。该漏洞被用于针对中东组织的特定目标攻击活动中，我们发现了近12台被感染的计算机，，我们认为这些攻击是由FruityArmor恶意组织发动的。

10月下旬，我们向Microsoft报告了另一个漏洞，这次是win32k.sys的0day特权提升漏洞，攻击者可以利用该漏洞来获取创建系统持久性所需的特权。这种漏洞也被用于针对中东组织的攻击之中。Microsoft在11月13日发布了该漏洞的更新(CVE-2018-8589)。我们还通过主动检测技术(卡巴斯基反目标攻击平台的高级沙盒、反恶意软件引擎和AEP技术)成功检测出这一威胁。

五、浏览器扩展：扩大网络犯罪分子的范围

浏览器扩展可以隐藏难看的广告、翻译文本、帮助我们在网上商店选择想要的商品等，使我们的生活更加轻松。但不幸的是，还有一些恶意扩展被用于广告轰炸、收集用户活动的相关信息，以及窃取财产。今年早些时候，一个恶意浏览器扩展引起了我们的注意，因为该扩展与一些可疑的域名进行了通信。恶意扩展名称为DesbloquearConteúdo(葡萄牙语：解锁内容)，主要针对巴西地区使用网上银行服务的客户，收集其登录信息和密码，以便攻击者访问受害者的银行账户。

9月，黑客发布了来自至少81000个Facebook帐户的私人信息，声称这只是1.2亿帐户信息泄露的冰山一角。在暗网的广告中，攻击者以每个帐户10美分的价格来提供这些窃取的信息。BBC俄罗斯服务和网络安全公司Digital Shadows调查了这起攻击事件。他们发现在81000个帐户中，大多数来自乌克兰和俄罗斯，但其他国家的帐户也包含在内，包括英国、美国和巴西。Facebook认为这些信息是通过恶意浏览器扩展程序窃取的。

（编辑：青岛站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!