20160804_思科_2016年中网络安全报告 .pdf

1思科 2016 年度 安全报告2执行摘要攻击者和防御者都在开发日益精尖的技术和策略。恶意攻击者正在构建强大的后端基础设施，借以发起并支持其攻击活动。网络犯罪分子在继续窃取数据和知识产权的同时，还在不断改进向受害者榨取钱财，以及逃避检测的手段。思科 2016 年度安全报告结合思科安全研究部门的研究、见解和观点，重点说明在攻击者正在采用数量庞大且不断翻新的工具来开展攻击这一趋势下，防御者在检测和阻止攻击方面所面临的挑战。本报告还将介绍 Level 3 Threat Research Labs 等外部专业机构的研究，更深入地阐明当前的威胁趋势。我们将详细列出思科研究人员整理的数据，以展示随时间推移而发生的变化，就这些数据的意义提供见解，并说明安全专业人员应该如何应对这些威胁。在本报告中，我们介绍和讨论以下内容：威胁情报本节介绍思科研究人员所发现的网络安全领域的一些最引人注目的趋势，以及有关 Web 攻击媒介、Web 攻击方法和漏洞的最新信息。此外，还包括对勒索软件等不断增长的各种威胁的更全面分析。为了对在 2015 年观察到的各种趋势做出分析，思科安全研究部门使用了全球范围的遥感勘测数据。行业见解本节探讨影响企业的各种安全趋势，包括加密技术越来越多的使用，以及由此带来的潜在安全风险。我们将分析中小企业在保护自身网络方面存在的弱点。此外，我们还将介绍针对一些特定企业进行的研究，这些企业正在依靠过时、不受支持或寿命已终止的软件来为自身 IT 基础设施提供支持。安全功能基准研究本节提供思科第二次安全功能基准研究的结果，此项研究的重点是安全专业人员对其组织内安全状态的看法。通过将 2015 年与 2014 年的调查结果进行比较，思科发现首席安全官和安全运营经理对其安全基础设施是否达到最新水平或能否抵御攻击越来越不自信。但是调查也表明，企业正在加强培训和其他安全流程，以巩固他们的网络。这次调查的结果仅在思科 2016 年度安全报告中提供。展望本节概述影响安全性的地缘政治格局。我们将讨论两项思科调查的结果，其中一项分析高管对网络安全的担忧，另一项重点分析 IT 决策者们对安全风险和可信度的看法。我们还将介绍思科在降低“检测时间”(TTD) 方面取得的最新进展，并强调转用集成威胁防御架构抵御攻击的价值。执行摘要安全专业人员必须走出传统模式，重新思考防御策略。思科 2016 年度安全报告 3目录执行摘要 . 2主要发展和发现 . 4目标明确：现代网络犯罪分子将赚钱作为首要目标 . 7威胁情报 . 9专题报道 .10思科借助行业协作击败影响广泛且盈利性强的漏洞攻击包和勒 索软件活动 .10行业合作帮助挫败互联网最大的 DDoS 僵尸网络之一 .14浏览器感染：传播广泛并且是数据泄露的一个主要原因 .16僵尸网络命令和控制：全球概况 .17消除 DNS 盲点：将 DNS 用于命令和控制的攻击.19威胁情报分析 .20Web 攻击媒介 .20Web 攻击方法 .21最新威胁信息 .23垂直行业遭受恶意软件攻击的风险 .25Web 阻止活动：地域概况 .27行业见解 .29加密：日益发展的趋势 - 也是防御者面临的挑战 .30网络犯罪分子扩大在 WordPress 上的服务器活动 .33基础设施老化：10 年累积下来的问题 .35中小企业是否是企业安全方面薄弱的一环？ .37思科安全功能基准研究 .41准备工作频增表现出信心下降 .42展望.55地缘政治角度：互联网治理格局的不确定性 .56网络安全问题重压于高管心头 .57可信度研究：为企业面临的风险和挑战带来一线曙光 .58检测时间：不断缩短空档期的竞赛 .60集成威胁防御的六个原则 .62团结就是力量：行业协作的价值 .63关于思科 .64思科 2016 年度安全报告撰稿人 .65思科合作伙伴撰稿人 .67附录 .68目录思科 2016 年度安全报告 4思科 2016 年度安全报告 威胁情报主要发展和发现5主要发展和发现通过 Level 3 Threat Research Labs 的帮助以及托管服务提供商 Limestone Networks 的合作，思科确定并击败了美国最大的 Angler 漏洞攻击包活动。该威胁活动每天针对 90,000 名受害者发起攻击，每年为幕后的威胁发起者带来数千万美元的收入。SSHPsychos（93 组）是思科研究人员观察到的最大的分布式拒绝服务 (DDoS) 僵尸网络之一，在思科与 Level 3 Threat Research Labs 的通力合作下，此僵尸网络已被显著削弱。与前面提到的 Angler 案例研究一样，这次成功也证明了行业协作对战胜攻击者的重要性。恶意浏览器扩展程序可能是企业数据泄露的一个主要原因，也是一个普遍存在的问题。在接受调查的组织中，我们估计受到恶意浏览器扩展程序影响的企业超过 85%。在我们于 2015 年 7 月对一组机构所受影响的分析中，Bedep、Gamarue 和 Miuref 等臭名昭著的僵尸网络依然是僵尸网络命令与控制活动的主要代表。通过分析各种经验证为“已知恶意”的恶意软件，思科发现：大多数 (91.3%) 的恶意软件均使用域名服务 (DNS) 来执行攻击活动。通过对 DNS 查询进行追溯调查，思科发现在客户网络上存在活动的“恶意”DNS 解析器。客户并不知道员工们将这些解析器用作其 DNS 基础设施的组成部分。网络犯罪分子仍继续大肆利用 Adobe Flash 漏洞。但是，软件供应商正努力通过 Flash 技术来降低用户遭受恶意软件攻击的风险。通过对 2015 年的各种趋势进行观察，我们的研究人员认为 HTTPS 加密流量已经达到一个临界点，即将成为互联网流量的主要形式。尽管加密可帮助保护消费者，但也会削弱安全产品的有效性，使安全业界更加难以跟踪威胁。一些恶意软件会通过大量不同的端口发起加密通信，使得挑战进一步加剧。恶意攻击者开始利用已被入侵的基于流行 Web 开发平台 WordPress 创建的网站进行犯罪活动。他们可在这些网站上封送服务器资源并逃避检测。主要发展和发现网络犯罪分子对后端基础设施进行了改进，以更有效且利润更高的方式 展开攻击。思科 2016 年度安全报告 6基础设施老化不断加剧，导致组织愈加容易受到入侵。我们分析了互联网上 115,000 个思科设备，发现在我们抽查的设备中，有 92% 的设备正在运行存在已知漏洞的软件。此外，这项分析所涉及的现场思科设备中，有 31% 的设备已经“终止销售”，8% 的设备“寿命已终止”。“思科 2015 年安全功能基准研究”显示，在 2015 年，安全高管对其安全工具和流程的信心不如 2014 年。例如在 2015 年，59% 的组织认为他们的安全基础设施“达到了最新水平”。而在 2014 年，持有这种看法的组织占到 64%。但是，他们对安全越来越多的担忧也在促使他们改善防御。基准研究表明，中小企业使用的防御方案少于大型企业。例如，在 2015 年，48% 的中小企业表示已使用 Web 安全方案，而在 2014 年这一比例为 59%。此外，在 2015 年，29% 的中小企业表示已使用修补和配置工具，而在 2014 年这一比例为 39%。这方面的不足会使中小企业的企业客户面临风险，因为攻击者攻击中小企业的网络会更容易。从 2015 年 5 月开始，思科已经将网络中已知威胁的检测时间 (TTD) 平均值降至大约 17 小时，不到一天。这远远低于业界当前的 TTD 估计值，即 100 至 200 天。主要发展和发现思科 2016 年度安全报告 7思科 2016 年度安全报告 威胁情报目标明确： 现代网络犯罪分子将赚钱作为 首要目标8目标明确以前，很多网络犯罪分子潜伏于互联网中。他们仅对企业网络进行短暂入侵并发起漏洞攻击，以此尝试躲过检测。如今，一些胆大妄为的网络犯罪分子已开始入侵合法的在线资源。他们会大量消耗服务器容量，窃取数据，甚至挟持网络受害者的信息，然后向其索取赎金。这些攻击活动俨然已将防御者和攻击者之间的战争急剧升级。如果攻击者可以在网络上发现更多可以利用的信息源，那么所造成的影响将呈指数级增长。在本报告中，思科安全研究人员重点介绍威胁发起者用于构建稳定的基础设施，以实施更强大、更有效的攻击活动的策略。攻击者不断采用更高效的方法以提升收益，很多攻击者特别关注利用服务器资源。勒索软件的激增就是一个最好的例证（请参阅第 10 页）。勒索软件为犯罪分子提供了一种直接向用户榨取更多金钱的简单方法。通过开展攻击活动，在只有极少阻碍甚至没有任何阻碍的情况下每天攻击数万用户，攻击者所获得的“报酬”丰厚得让人震惊。除了开发更好的方法来牟取利益，攻击者还开始侵占合法资源，作为发起攻击的跳板。某些勒索软件变体的创建者以及其他漏洞攻击包的开发者正在将流量切换至遭受过黑客攻击的 WordPress 网站，作为躲避检测和使用服务器空间的一种方法（请参阅第 33 页）。 SSHPsychos 是思科研究人员迄今为止发现的最大的僵尸网络之一，其作案者在标准网络上运行僵尸网络，几乎没有什么干扰，直到思科和 Level 3 Threat Research Labs 携手合作说服运营商阻止此僵尸网络创建者的流量，一举将其击败。目标明确： 现代网络犯罪分子将赚钱作为 首要目标思科 2016 年度安全报告 9威胁情报10思科 2016 年度安全报告 威胁情报Angler 漏洞攻击包是市场上使用量最大而且最有效的漏洞攻击包之一。它与多个臭名昭著的恶意广告和勒索软件攻击活动有关，是导致勒索软件活动总体呈激增态势的一个主要因素，我们的威胁研究人员最近几年来一直在密切监控勒索软件活动。犯罪分子使用勒索软件将用户文件加密，然后向用户索要赎金（通常在 300 美元到 500 美元不等），再向用户提供解密密钥。正如思科 2015 年年中安全报告中所指出的，比特币等加密货币和 Tor 等匿名网络使犯罪分子可以更容易进入恶意软件市场并快速开始获得收入。恶意软件的泛滥与两大有利因素相关：一是威胁发起者只需执行少量维护操作，二是由于用户直接向攻击者支付加密货币，攻击者可以很快取得收入。通过对 Angler 和相关勒索软件趋势进行研究，思科已经确定一些漏洞攻击包操作者将大量全球代理服务器用于 Agler，而这些服务器由 Limestone Networks 运营。这种使用服务器的手法有力地证明了我们的研究人员在近来的影子经济中持续观察到的另一种趋势：威胁发起者混合使用合法资源和恶意资源混合来执行攻击活动。在这种情况下，支持 Angler 的 IP 基础设施规模不是很大。每天处于活动状态的系统数量通常为 8 到 12 个之间。大多数系统仅在某一天处于活动状态。图 1 显示思科在 2015 年 7 月观察到的唯一 IP 地址的数量。思科发现 Angler 操作者实际上在以线性方式滚动 IP 地址，以隐藏其威胁活动，防止其牟利活动出现任何中断。专题报道思科借助行业协作击败影响广泛且盈利性强的漏洞攻击包和勒索软件攻击活动威胁情报思科在收集并分析了全球范围的遥感勘测数据的基础上编制了这份报告。 我们针对已发现的威胁（如恶意软件流量）进行持续研究和分析，能够帮 助人们了解未来可能出现的犯罪行为，且有助于检测威胁。来源：思科安全研究部门Figure X. Angler IP Addresses by Date, July 20152015 年 7 月16IP 地址数量介于 8-12 之间1284311152010图 1. 2015 年 7 月按日期划分的 Angler IP 地址的数量分享11思科 2016 年度安全报告 威胁情报如图 2 所示，Angler 从某个 IP 地址（此处为 74.63.217.218）开始。当系统攻击用户并遇到“干扰”（防御程序开始执行检测）时，攻击者会切换至邻近的 IP 地址 (74.63.217.219)。这种活动在单个托管服务提供商提供的 IP 空间近乎连续的地址块中一直持续。思科分析了这些 IP 信息，以确定其自治系统编号 (ASN) 以及与这些 IP 地址相关的提供商。我们确定与 Angler 相关的大多数流量来自两个合法托管服务提供商：Limestone Networks 和 Hetzner 运营的服务器（图 3）。在 7 月一个月内，他们在总流量中所占的比例接近 75%。思科首先联系了 Limestone Networks，结果发现此提供商承 载了全球最多的 Angler。Limestone 公司欣然同意对此给予 合作。由于攻击者使用虚假的姓名和信用卡随机分批向该公司 购买价值数千美元的服务器，该公司每个月都要处理大量信用卡退单。74.63.217.218Limestone Network IP 地址2015 年 7 月74.63.217.21974.63.217.22074.63.217.22174.63.217.22274.63.237.17874.63.237.18174.63.237.17974.63.237.18074.63.237.18228来源：思科安全研究部门34567图 2. 支持 Angler 的低 IP 基础设施图 3. 2015 年 7 月按提供商划分的 Angler HTTP 请求 来源：思科安全研究部门Figure X. Angler HTTP Requests by Provider, July 2015提供商 A提供商 B提供商 C提供商 D提供商 E提供商 F提供商 G提供商 H提供商 I提供商 J提供商 K提供商 L10,0006000请求数(Limestone Networks)(Hetzner)占全部所 测量流量 的 75%分享12思科 2016 年度安全报告 威胁情报攻击者购买服务器的方式使得该公司难以将欺诈活动与单个行 为人关联。例如，攻击者可能在某天购买三四台服务器，然后 第二天用不同的姓名和信用卡购买三四台服务器。这样，当防 御者发现了受入侵的服务器并且使之离线时，攻击者仍可以从 一个 IP 地址切换至下一个 IP 地址。为了调查此活动，思科向 Level 3 Threat Research Labs 和 OpenDNS（思科旗下公司）寻求帮助。Level 3 Threat Research Labs 能够提供更全面的全球性威胁见解，让思科 能够更深入了解威胁范围及其在高峰状态下的影响范围。同 时，OpenDNS 针对与威胁相关的域活动提供了独特呈现方 式，让思科可以更全面了解攻击者如何采用域遮蔽等技术。然后，思科威胁研究人员具体调查了用户如何遇到 Angler 并 继而感染恶意负载。研究人员观察发现到一些流行网站通过恶 意广告将用户重定向至 Angler 漏洞攻击包。这些虚假广告被 投放到数百个主要的新闻、房地产和流行文化网站上。这些类 型的网站在安全业界通常被视为“已知可信”网站。此外，思科威胁研究人员还发现无数看似毫无关系的小网站也 在执行同类重定向操作，包括美国某家乡村报纸上刊发的某个 人的讣告，也被嵌入重定向链接。后面这一策略很可能是针对 老年人而设计的。老年人这一群体通常更可能使用 Microsoft Internet Explorer 等默认网络浏览器，而且他们了解需要定期 修补 Adobe Flash 漏洞的可能性更小。这种 Angler 活动的另一个显著特点是其唯一引用站点数量之 大及其使用频率之低（图 4）。我们发现了超过 15,000 个唯 一站点将用户推送至 Angler 漏洞攻击包，其中 99.8% 的站点 使用频率低于 10 次。因此，大多数引用站点仅在很短时间内 处于活动状态，然后在对若干用户发起针对性攻击之后就被删 除。在我们 2015 年 7 月的分析中，我们注意到其活动高峰与 各种 Hacking Team 零日漏洞（CVE-2015-5119、 CVE-2015-5122）同步。1 思科确定通过这种特殊操作传输的 Angler 负载中大约 60% 都是 在传输某种类型的勒索软件变体（大多数是 Cryptowall 3.0）。 其他类型的负载包括 Bedep，这是安装点击欺诈攻击活动恶意 软件常用的一种恶意软件下载程序。（请参阅“浏览器感染： 传播广泛并且是数据泄露的一个主要原因”第 16 页。) 这两 种类型的恶意软件都旨在帮助攻击者从受攻击的用户身上非常 快速、轻松甚至毫不费力地获取大量收入。图 4. 2015 年 7 月按日期划分的唯一引用站点2015 年 7 月31115来源：思科安全研究部门Figure X. Unique Referers by Day, July 2015驱动流量攻击服务器的唯一站点的数量活动高峰与零日漏洞攻击同步0¹“Adobe 修复 Hacking Team 的 Flash 播放器零日攻击”，作者：Eduard Kovacs，SecurityWeek，2015 年 7 月 8 日 http:/www.securityweek.com/adobe-patches-hacking-teams-flash-player-zero-day 。13思科 2016 年度安全报告 威胁情报根据思科的研究，在这一特定攻击活动中承担约一半 Angler 漏洞攻击包活动的主要攻击者，平均每天攻击多达 90,000 名受害者。以此估算，此攻击活动使攻击者每年可获得 3,000 万美元以上的收入。据推测，在 Hetzner 之外的网络也会达到类似的成功率。这意味着在思科执行观察分析这一时段，威胁发起者利用 Limestone Networks 和 Hetzner 服务器发起了约一半的全球 Angler 攻击活动。思科研究人员估计此项攻击操作每年能够产生 6,000 万美元的总收入。Angler 收入X90K 每台服务器 每天受到的 目标攻击数 10%遭受漏洞攻击62%交付勒索软件2.9%支付赎金300 美元9515 个用户每月支付赎金平均赎金金额147 每月重定向 服务器数3400 万美元 每个攻击活动勒索软件 获得的总年收入40%受到入侵 =来源：思科安全研究部门targets per day90Kof Angler infections delivered ransomware62% unique IP addresses were served exploits in a single day 分享14思科 2016 年度安全报告 威胁情报思科同时发现用户连接的服务器实际上并没有承载任何恶意 Angler 活动。它们只是充当管道。用户会进入重定向链并提交登陆页面的 GET 请求，这样就会登录到代理服务器。代理服务器会将流量路由至某个不同国家/地区或不同提供商的漏洞攻击服务器。在我们的研究中，我们发现一个漏洞攻击服务器会与多个代理服务器关联。（请参见图 5。）思科已明确有一个状态服务器在处理运行状况监控等任务。状态服务器监控的每个代理服务器都有一对唯一 URL。如果路径受到查询，状态服务器会返回 HTTP 状态代码“204”消息。攻击者可以唯一标识每个代理服务器，并确保其不仅在运行，而且未受到防御者干预。利用另一个 URL，攻击者可以从代理服务器收集日志并确定其网络运行效率。行业协作是思科能够调查 Angler 漏洞攻击包活动的一个关键要素。思科通过合作最终停止了重定向至美国某个运营商的 Angler 代理服务器，并且让人们开始注意这个每天都在影响数千用户的高度复杂的网络犯罪活动。思科与 Limestone Networks 紧密合作，在新服务器上线时进行识别，然后进行密切监控，确保记录下这些服务器。不久，攻击者就远离了 Limestone Networks，随后全球 Angler 活动也有所减少。行业合作帮助挫败互联网最大的 DDoS 僵 尸网络之一集成威胁防御技术通常可以在大规模攻击影响企业网络之前予以制止。但是，在很多情况下，击溃一次潜在的大规模攻击不仅需要技术防御，而且需要运营商、安全供应商和行业团体之间相互合作。随着犯罪分子越来越注重以牟利为目的开展活动，技术行业需要通过更好的合作来消灭犯罪攻击活动。SSHPsychos（又称为 93 组）是思科安全研究人员曾观察到的最大 DDoS 僵尸网络之一，经过思科与 Level 3 Threat Research Labs 的合作，这一僵尸网络已经被显著削弱。图 5. Angler 后端基础设施用户状态服务器代理服务器漏洞攻击服务器请求页面转至代理 服务器代理服务器从漏洞攻击服务器 （端口 81）获得数据漏洞攻击服务器向状态服务器 发送 HTTP 请求日志数据汇 总被推送至 主服务器状态服务器跟踪 HTTP 请求/状态来源：思科安全研究部门主服务器有关思科如何阻断 Angler 漏洞攻击包所产生的大量国际性收入流的更多信息，请参阅思科安全博客文章“威胁聚焦：思科 Talos 挫败大规模国际漏洞攻击包仅仅利用勒索软件每年产生 6,000 万美元收入”。分享15思科 2016 年度安全报告 威胁情报独特的威胁 出于一些原因，SSHPsychos DDoS 网络可被视为一种独特的威胁。因为它可以利用互联网上分布的数万台设备，所以能够发起无法按设备逐一解决的分布式拒绝服务 (DDoS) 攻击。在这种情况下，攻击者就开始利用涉及安全外壳 (SSH) 流量的暴力破解攻击创建僵尸网络（图 6）。SSH 协议用于允许安全通信，通常用于系统远程管理。根据思科和 Level 3 的分析，有时候，SSHPsychos 占到了全球所有互联网 SSH 流量的 35% 以上（图 7）。SSHPsychos 可在中国和美国两个国家运行。这种暴力破解登录尝试使用 300,000 个密码，源自位于中国的某个托管服务提供商。当攻击者能够通过正确猜测的根密码登录时，暴力破解攻击就停止了。24 小时后，攻击者会从一个美国 IP 地址登录并在受影响设备上安装 DDoS Rootkit。这显然是减少引起网络管理员怀疑的一种策略。僵尸网络的目标不断变化，但是在很多情况下都是大型互联网服务提供商 (ISP)。扫描仪完成成功登录恶意软件主机SSH 暴力破解攻击尝试 （30 万个唯一密码）目标网络来源：思科安全研究部门图 6. SSHPsychos 使用暴力破解攻击 图 7. SSHPsychos 在高峰期间占全球互联网流量的 35% 50K100K150K暴力破解攻击尝试数2 月3 月4 月SSHPsychos 103.41.125.0/23SSHPsychos 43.255.190.0/23SSHPsychos 103.41.124.0/23来源：思科安全研究部门分享16思科 2016 年度安全报告 威胁情报与安全专家协作由于 DDoS 网络规模很大，我们的研究人员认为其造成的损失将难以控制。我们必须与能够有效地从互联网上消除暴力破解团体的组织合作。但是，主干网运营商都对过滤客户的内容犹豫不决。思科于是联系了 Level 3 Threat Research Labs。Level 3 分析了被认为存在 SSHPsychos 的网段或 IP 地址范围的流量 (103.41.124.0/23)。经过确认，发现往返于该地址的流量都是非法流量。他们在自己的网络中将这些网络流量进行空路由。然后，他们联系了相关域的运营商，要求他们删除这些网络流量。这项工作的效果立竿见影（图 8）。原网络几乎没再出现任何新活动。然而，在网 43.255.190.0/23 上的一个新网络出现了大量 SSH 暴力破解攻击流量。其行为与 SSHPsychos 的相关行为相同。在突然再度出现这种类似 SSHPsychos 的流量之后，思科和 Level 3 决定对 103.41.124.0/23 以及新网段 43.255.190.0/23 采取行动。消除 SSHPsychos 使用的网段并未永久地禁止 DDoS 网络，但是明显削弱了其创建者执行其运营活动的能力，至少暂时阻止了 SSHPsychos 传播至其他新设备。因为网络犯罪分子会构建大型攻击网络，安全行业在面临 SSHPsychos 之类的威胁时必须探索各种协作方式。当网络犯罪分子在旨在仅承载合法流量的网络上发起漏洞攻击时，顶级域提供商、ISP、托管服务提供商、DNS 解析运营商和安全供应商再也不能袖手旁观。换句话说，当犯罪分子开始明目张胆地传输恶意流量时，整个行业都必须清除连接这些合法网络的恶意通道。浏览器感染：传播广泛并且是数据泄露的 一个主要原因安全团队通常将浏览器插件视为严重性较低的一种威胁。然而，他们应该更加注重监控这些插件，以便可以尽快确定这些类型的感染并进行补救。这个问题之所以如此紧迫，是因为我们的研究发现，浏览器感染的传播速度远远超出很多组织的想象。从 2015 年 1 月至 10 月，我们检查了 26 个系列的恶意浏览器插件（图 9）。纵观这几个月浏览器感染的模式，其感染数量似乎总体上呈下降趋势。0180K暴力破解攻击尝试数思科与 Level 3 合作120K60K6 月7 月来源：思科安全研究部门图 8. SSHPsychos 流量在干预之后显著下降要了解关于思科和 Level 3 Threat Research Labs 应对 SSHPsychos 威胁的更多信息，请阅读思科安 全博客文章“威胁聚焦：SSHPsychos”。图 9. 2015 年 1 月到 10 月的浏览器感染情况1 月0.5%百分比0.3%0浏览器感染检测7 月4 月2015 年10 月来源：思科安全研究部门40%17思科 2016 年度安全报告 威胁情报但是，该模式只是表面现象。这几个月来 HTTPS 流量不断增加，由于加密导致无法查看 URL 信息，使得我们难以确定通常与我们所跟踪的 26 个系列的浏览器相关的威胁指标。 （有关加密及其给防御者带来的挑战的更多信息，请参阅“加密：日益发展的趋势 - 也是防御者面临的挑战”第 30 页。）恶意浏览器扩展程序会盗取信息，而且会成为数据泄露的主要原因。每当用户使用被入侵的浏览器打开一个新网页时，恶意浏览器扩展程序都会收集数据。它们不仅会窃取用户访问的每个内部或外部网页的基本详细信息，而且还会收集 URL 中嵌入的高度敏感的信息。这些敏感信息可能包括用户凭证、客户数据和关于组织内部 API 和基础设施的详细信息。多功能恶意浏览器扩展程序通过软件捆绑包或广告软件传输。它们被设计为通过多种方式攻击用户，牟取暴利。在一个感染的浏览器上，恶意浏览器扩展程序会导致用户点击陈列式广告或弹窗等恶意广告。它们还可以通过引诱用户点击已感染链接或下载在恶意广告中遇到的已感染文件，传播恶意软件。它们可以劫持用户的浏览器请求，然后将恶意网页注入搜索引擎结果页面。在我们抽查的 45 家公司中，我们发现在我们执行观察的每个月中，超过 85% 的组织都受到了恶意浏览器扩展程序的影响，这项发现突显了这些恶意活动的规模之大。由于受感染的浏览器通常会被视为相对较小的威胁，因此会持续数天甚至更长时间在未被检出或未予解决的情况下继续运行，从而为攻击者提供了更多的时间和机会来执行其攻击活动（请参阅“检测时间：不断缩短空档期的竞赛”第 60 页）。因此，我们建议安全团队应花时间利用更多资源来监控此风险，以及考虑日益增多的自动化功能，以帮助确定威胁优先级。僵尸网络命令和控制：全球概况 僵尸网络是感染了恶意软件的计算机网络。攻击者可以将这些 计算机作为一个整体进行控制并命令他们执行特定任务，例如 发送垃圾邮件或发起 DDoS 攻击。这些年来，其规模和数量 都一直在增长。要更好地从全球范围了解当前的威胁格局，从 2015 年 4 月至 10 月，我们分析了 121 家公司的网络，寻找 八大常见僵尸网络的踪迹。我们将数据归一化，以提供僵尸网 络活动的总体概况信息（图 10）。我们发现在此期间，Gamarue（一种模块化、多功能信息窃取 恶意软件，已经横行多年）是最常见的命令和控制威胁。僵尸网络活动量4000 4 月5 月6 月7 月8 月9 月10 月2015 年Miuref其他GamarueVawtrakBedepCryptowall来源：思科安全研究部门图 10. 各项威胁的增长（感染用户的比例）18思科 2016 年度安全报告 威胁情报7 月份我们发现与勒索软件 Cryptowall 3.0 相关的感染数量出现显著高峰。这主要是 Angler 漏洞攻击包导致的，已知其会投放 Cryptowall 负载。据思科 2015 年年中安全报告所报告，Angler 和其他漏洞攻击包的创建者都很快利用了 Adobe Flash 的“修补缺口”，即 Adobe 发行更新的时间与用户实际进行升级的时间之间的间隔。² 思科威胁研究人员认为 2015 年 7 月出现的威胁高峰是 Flash 零日漏洞 CVE-2015-5119 导致的，此漏洞是 Hacking Team 泄露的一部分。³ Angler 漏洞攻击包还传输 Bedep 特洛伊木马，用以执行点击欺诈攻击活动。7 月该威胁的爆发量也略有上升（图 11）。Bedep、Gamarue 和 Miuref（可执行点击欺诈的另一特洛伊木马和浏览器劫持程序）占我们所分析的用户群所遭受的僵尸网络命令和控制活动的 65% 以上。Bedep 感染的比例在我们分析的时间段内保持相对稳定。然而，我们发现 Miuref 感染看似有所减少。我们认为其原因是 HTTPS 流量增加，帮助隐藏了 Miuref 的感染指标。图 12 显示引起我们监控期间大多数感染的僵尸网络的类型。 Gamarue 和 Sality 等多功能僵尸网络是罪魁祸首，其次是点击欺诈僵尸网络。第三个是银行木马，监控表明此类威胁虽然由来已久，但是仍然很广泛。僵尸网络感染 数量比较2000100由于零日漏洞攻击而达到峰值4 月5 月6 月7 月8 月9 月10 月2015 年MiurefGamarueVawtrakBedepCryptowall来源：思科安全研究部门图 11. 根据感染用户数量的每月威胁覆盖率4 月5 月6 月01007 月8 月9 月10 月2015 年点击欺诈僵尸网络勒索软件多功能僵尸网络银行木马来源：思科安全研究部门占僵尸网络类型的百分比图 12. 根据威胁类别的每月威胁覆盖率 ² 思科 2015 年年中安全报告：http:/www.cisco.com/web/offers/lp/2015-midyear-security-report/index.html 。 ³ “Adobe 修复 Hacking Team 的 Flash 播放器零日攻击”，作者：Eduard Kovacs，SecurityWeek，2015 年 7 月 8 日： http:/www.securityweek.com/adobe-patches-hacking-teams-flash-player-zero-day 。分享19思科 2016 年度安全报告 威胁情报思科对于经验证为“已知恶意”的恶意软件的分析发现大多数 (91.3%) 的恶意软件都使用域名服务 (DNS) 来执行以下三种活动之一：获得命令和控制窃取数据重定向流量为得出这一比例，我们从我们拥有的各种沙盒发掘了各种样本行为。我们从要分析的样本中删除了经确定不以任何方式使用 DNS 或仅将其用于执行互联网“运行状况检查”的恶意软件。剩余的恶意软件都在使用 DNS 连接经验证为恶意或被视为可疑的站点。尽管攻击者依靠 DNS 帮助进一步开展恶意软件攻击活动，但是很少有公司会出于安全目的监控 DNS（或出于任何原因而监控 DNS）。这种缺乏监控的情况使得 DNS 成为攻击者的一个理想渠道。根据我们最近执行