信息來源：FreeBuf

沒有什么比做預(yù)測(cè)更難的了，研究人員根據(jù)過去12個(gè)月所發(fā)生的事情，安全領(lǐng)域?qū)＜业闹R(shí)和對(duì)APT攻擊的觀察研究，對(duì)未來做出如下預(yù)測(cè)。

假標(biāo)志攻擊

使用假標(biāo)志已經(jīng)成為幾個(gè)APT中的一個(gè)重要元素，通常試圖轉(zhuǎn)移安全人員對(duì)攻擊者的注意力——例如，在Lazarus惡意軟件中使用俄語(yǔ)詞匯，或WildNeutron使用羅馬尼亞語(yǔ)詞匯等。我們認(rèn)為，假標(biāo)志攻擊將進(jìn)一步發(fā)展，攻擊者不僅希望規(guī)避追蹤溯源，而且積極地將責(zé)任推給其他人。

其中也可能包括其他不相關(guān)的APT使用已建立的后門、盜竊和重復(fù)使用代碼，或者故意泄露源代碼讓其他組織使用，進(jìn)一步攪渾局面。除此之外，還應(yīng)考慮攻擊者在攻擊和橫向移動(dòng)過程中使用從其他渠道購(gòu)買的惡意軟件、腳本、公開可用的安全工具或管理員軟件，使溯源工作變得越來越困難。

從勒索軟件到目標(biāo)勒索軟件

在過去的兩年里，通用勒索軟件攻擊的數(shù)量有所下降，網(wǎng)絡(luò)犯罪分子使用勒索惡意軟件變得更具針對(duì)性，這些勒索軟件攻擊的重點(diǎn)是那些可能支付大筆款項(xiàng)以恢復(fù)數(shù)據(jù)的組織。我們稱這種技術(shù)為“目標(biāo)勒索軟件”。

在這一年中，我們記錄了幾起攻擊者使用目標(biāo)勒索軟件的案件，我們認(rèn)為未來可能會(huì)有更激進(jìn)的勒索企圖。未來可能出現(xiàn)的趨勢(shì)是，攻擊者放棄使文件無法恢復(fù)的勒索形式，會(huì)以威脅發(fā)布數(shù)據(jù)的方式代替。

除了有針對(duì)性的勒索軟件之外，網(wǎng)絡(luò)罪犯也試圖將攻擊多樣化，包括除了PC或服務(wù)器之外的其他類型的設(shè)備。例如，消費(fèi)品中的勒索軟件，如智能電視、智能手表、智能汽車/房屋/城市，勒索軟件是從受害者身上獲取經(jīng)濟(jì)利益的最有效工具。

新的網(wǎng)上銀行和支付攻擊

新的網(wǎng)絡(luò)攻擊可能會(huì)隨著新的銀行業(yè)法規(guī)出現(xiàn)，這些法規(guī)最近在整個(gè)歐盟全面生效。

PSD2（支付服務(wù)指令）規(guī)定了對(duì)提供支付服務(wù)公司的監(jiān)管要求，由于銀行將被要求向第三方開放其基礎(chǔ)設(shè)施和數(shù)據(jù)，攻擊者很可能會(huì)試圖利用新的手段濫用這些新機(jī)制。

基礎(chǔ)設(shè)施攻擊和針對(duì)非PC目標(biāo)攻擊

一段時(shí)間以來，已確定攻擊者一直在將其工具集擴(kuò)展到Windows以外，甚至PC系統(tǒng)之外：例如，VPNFilter和Slingshot，目標(biāo)網(wǎng)絡(luò)硬件。攻擊者一旦控制設(shè)備，可以極大提升攻擊者的靈活性。他們可以選擇大規(guī)模僵尸網(wǎng)絡(luò)攻擊方案，并將該網(wǎng)絡(luò)用于不同的目標(biāo)，或者可以利用僵尸網(wǎng)絡(luò)接近選定的目標(biāo)進(jìn)行更多的秘密攻擊。

有消息稱，黑客已經(jīng)滲透到全球至少10家手機(jī)電信公司的網(wǎng)絡(luò)中，并已隱藏多年。他們能夠在電信基礎(chǔ)設(shè)施上部署自己的VPN服務(wù)。物聯(lián)網(wǎng)設(shè)備的大量使用使得現(xiàn)實(shí)世界和網(wǎng)絡(luò)世界融合，為攻擊者提供了越來越多的機(jī)會(huì)。今年有報(bào)道稱，不明身份的攻擊者使用樹莓派從美國(guó)宇航局噴氣推進(jìn)實(shí)驗(yàn)室竊取了500兆數(shù)據(jù)。去年12月，英國(guó)蓋特威克機(jī)場(chǎng)（Gatwick airport）在其中一條跑道上方發(fā)現(xiàn)無人機(jī)后，因擔(dān)心發(fā)生碰撞而停飛。由于使用了無人機(jī)，該國(guó)的部分關(guān)鍵基礎(chǔ)設(shè)施陷于停頓。毫無疑問，此類攻擊的數(shù)量將會(huì)增加。

亞歐貿(mào)易路線沿線地區(qū)的攻擊增加

Clausewitz的格言“戰(zhàn)爭(zhēng)僅僅是政治通過其他方式的延續(xù)”，可以擴(kuò)展到包括網(wǎng)絡(luò)沖突，網(wǎng)絡(luò)攻擊反映了現(xiàn)實(shí)世界的緊張和沖突。比如，俄羅斯干涉美國(guó)選舉的指控，以及擔(dān)心在2020年大選前可能再次出現(xiàn)這一局面的擔(dān)憂，我們?cè)诿绹?guó)的起訴書中看到了所謂的中國(guó)黑客。

有幾種方法可以解決這個(gè)問題。其中包括政治間諜活動(dòng)的增長(zhǎng)，因?yàn)楦鲊?guó)政府都在尋求國(guó)內(nèi)外的利益。在潛在或?qū)嶋H的經(jīng)濟(jì)危機(jī)和由此產(chǎn)生的不穩(wěn)定局勢(shì)中，也可能擴(kuò)大到技術(shù)間諜活動(dòng)。這可能導(dǎo)致亞歐貿(mào)易路線沿線的地區(qū)遭受新的襲擊，其中包括土耳其、東歐和南歐以及東非。

很有可能看到立法和政策的變化，因?yàn)檎Ｍ宄亟缍ㄊ裁词窃试S的，什么是不允許的。一方面，可以建立合理的規(guī)定政策，從而避免制裁。另一方面，可以更積極地使用技術(shù)，因?yàn)樗痉ú块T熱衷于為不同類型的“合法攔截”提供方便，以便在計(jì)算機(jī)上收集證據(jù)。犯罪集團(tuán)可能更多地使用加密技術(shù)，以及隱藏其行動(dòng)。

近年來，我們看到了一些針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊，這些攻擊通常與地緣政治相關(guān)。雖然工業(yè)設(shè)施中大多數(shù)感染設(shè)備來自“主流”惡意軟件，但這一事實(shí)本身突顯了這些設(shè)施的脆弱性。盡管針對(duì)關(guān)鍵基礎(chǔ)設(shè)施有針對(duì)性的攻擊不太可能成為一種主流犯罪活動(dòng)，但這一數(shù)字在未來還會(huì)增長(zhǎng)。在一個(gè)物理和網(wǎng)絡(luò)日益融合的世界里，地緣政治沖突正在上演，網(wǎng)絡(luò)攻擊為政府提供了一種介于外交和戰(zhàn)爭(zhēng)之間的手段。

攻擊方法越來越復(fù)雜

很難知道頂級(jí)攻擊者到底有多先進(jìn)，他們手里有什么資源。例如，幾年前我們觀察到一個(gè)無休止的零日漏洞供給，攻擊者隨時(shí)準(zhǔn)備為他們買單。今年，我們觀察到谷歌在8月份公布過去兩年中至少發(fā)現(xiàn)的14個(gè)iOS漏洞。

攻擊者還可能使用非常規(guī)方法（如使用信令數(shù)據(jù)或Wi-Fi/4G）來過濾數(shù)據(jù)，特別是在使用物理植入物時(shí)。同樣，相信未來會(huì)有更多的攻擊者使用DoH（DNS over HTTPS）來隱藏活動(dòng)。最后，有可能在未來幾個(gè)月內(nèi)，將開始發(fā)現(xiàn)更多的UEFI惡意軟件。

移動(dòng)攻擊焦點(diǎn)轉(zhuǎn)移

在過去的十年里，數(shù)字生活主要存儲(chǔ)設(shè)備已經(jīng)從個(gè)人電腦轉(zhuǎn)移到了手機(jī)。攻擊者很快就注意到了這一點(diǎn)，并開始專注于開發(fā)手機(jī)攻擊工具。雖然我們一直在預(yù)測(cè)針對(duì)手機(jī)的攻擊數(shù)量會(huì)大幅增加，但從觀察到的情況并不能反映出這一推斷。

上文連接中說到攻擊者如何利用iOS中至少14個(gè)零日漏洞來攻擊亞洲的某些少數(shù)群體，最近也看到了Facebook如何起訴以色列NSO公司，指控其濫用服務(wù)器（部署惡意軟件攔截用戶數(shù)據(jù)）。我們還看到了Android零day現(xiàn)在比iPhone更昂貴（根據(jù)Zerodium的價(jià)格表），所有這些都告訴我們攻擊者在開發(fā)這些技術(shù)方面投入了大量資金。

個(gè)人信息濫用：從深度造假到DNA泄露

之前討論過數(shù)據(jù)泄漏如何幫助攻擊者制造更具說服力的社會(huì)工程攻擊。并非每一個(gè)攻擊者都有完整的潛在受害者的資料，這使得越來越多的泄露數(shù)據(jù)非常有價(jià)值，勒索軟件攻擊也是如此。

在一個(gè)記錄數(shù)據(jù)不斷增長(zhǎng)的世界里，我們可以看到特別敏感的泄漏危險(xiǎn)，例如在生物特征數(shù)據(jù)方面。所有這些聽起來都十分超前，但它與通過社交媒體驅(qū)動(dòng)選舉廣告的技巧非常相似。這項(xiàng)技術(shù)已經(jīng)在使用中，一些攻擊者利用它只是時(shí)間問題。

總結(jié)

未來有太多的可能性，我們的預(yù)測(cè)中可能會(huì)有許多預(yù)測(cè)不到的東西，攻擊環(huán)境的復(fù)雜性提供了更多可能性。此外，沒有一個(gè)研究管對(duì)能夠完全了解APT攻擊者的行動(dòng)。我們將繼續(xù)觀察分析和預(yù)測(cè)APT的活動(dòng)，了解他們使用的方法，同時(shí)提供對(duì)最新的分析報(bào)告。