根据安全厂商的调查,2017年黑客的攻击手段有着一定的共同点,他们选择通过电子邮件去发动攻击。过去一年,恶意邮件在整个邮件里面的比例正在逐年增长。从2014年大概200多封邮件里面,有1封是含恶意程序的。到了2016年大概这个比例下降到只有130多封里面就含一封邮件有恶意程序。
如果仔细观察会发现,这些邮件攻击有一些共性,包括很多的恶意邮件里面包含发票、付款以及请求等较为明显的字眼。此外,恶意邮件利用不同的语言进行传播。需要注意的是,钓鱼邮件所用的语言多以英文为主。
如今黑客在发送钓鱼邮件的同时,还会发一个word附件。对于一般用户来说,带有word文档的邮件看起来更像正常邮件。但是,很多时候word文档中需要打开宏功能,开启宏能够启动很多其他与系统有关的程序。所以,黑客比较容易先通过电子邮件进来。
过去,黑客通过一些寻找很多不同的零日漏洞,会找到很多不同的攻击包,去发动相关的攻击。但在去年,除了用工具包的攻击比较频繁以外,黑客那边偏向于用一些更简单的工具。现在的电脑里面很多的程序当中的工具,包括PowerShell很容易让黑客通过word的文档,集成PowerShell的指令,远程访问电脑。
一般企业对于PowerShell的认知不是很深,认为只是一个简单的脚本,所以他们通常会选择使用邮件网关,还有其他IT安全设备保障企业安全,反而对整个PowerShell的脚本没有做相关拦截。
黑客选择PowerShell更重要的原因在于,PowerShell的指令在整个系统记录中是看不到的。因此,黑客可以轻松利用这点发动攻击。第一,很多时候就可以通过邮件网关侦查不出来。第二,执行这个相关指令以后,进入的路径难以查询。去年,很多的脚本都是通过下载器的方式发动相关指令。这些下载器的数量逐月上涨。这些下载器脚本下载其他的病毒,包括下载勒索软件等相关病毒,能够加密电脑并锁定数据。
赛门铁克通过对PowerShell脚本的研究,发现95%的PowerShell脚本为恶意脚本。所以,黑客过去一年非常愿意用这种方式发动相关针对性攻击。针对恶意程序过去一年的发展,在去年的ISTR 21报告中曾提到,恶意程序的数量在2015年大约有4.3亿。但在2016年,所发现的恶意软件数量出现了轻微下降,只有大概4亿左右。但在这4亿的恶意软件里面,90%都是在2016年首次出现的。
也就是说,黑客会将恶意程序进行更新,重新包装之后再次发动攻击。现在很多恶意程序都能够感知虚拟机,4%的恶意程序会利用云服务进行攻击,恶意程序会使用很多的方法去躲避企业内部的电子邮件网关,还有网络安全设备。