威胁面前怕“翻车”？不要忘了看“后视镜”！|《思科2019年网络安全报告》系列

Emotet 已经发展成为当今影响力最大的威胁系列之一。Emotet 的成功在于它的演进方式。

它开始时只是 “微不足道” 的银行木马，后来威胁发起者迅速转向使这种威胁成为能够执行各种不同攻击的模块化平台。

如今，曾经将其视为竞争对手的其他威胁系列纷纷用它来传播自己的恶意软件。随着威胁形势再次发生变化，Emotet 似乎正在成为众人瞩目的焦点。

Emotet 的主要目的是想方设法通过受感染的计算机获利，方法就是利用模块。起初，这种威胁主要窃取银行信息：用户名、密码、邮箱地址和其他财务详情。随着时间的推移，Emotet 开始向更广泛的受众传播。

过去十年中，出现了许多与物联网 (IoT) 相关的威胁。无论大家喜欢与否，从智能助手到连接互联网的医院设备，物联网早已渗透到我们的家庭和企业中。

遗憾的是，在许多情况下，在此过程中，大家都忽略了适当的安全措施。因此，我们看到恶意攻击者针对此类设备发起攻击。

但是，没有哪种威胁的破坏力能超过 VPNFilter。这种威胁以多家制造商提供的大量路由器为目标，可能利用未打补丁的漏洞来侵入这些路由器。其目的之一似乎是从被它感染病毒的网络中泄漏敏感数据，但它还包含一个模块化系统，能够发起更多攻击，这就特别令人担忧。

VPNFilter 威胁分为三大“阶段”:在设备中建立持久控制-实现 VPNFilter 恶意目标的核心部分-提供插件以辅助执行进一步的恶意操作。

总而言之，分布在 54 个国家/地区的至少 50 万台设备感染了这种威胁。在近期，VPNFilter 仍然是几乎不可避免的恶意软件。

移动设备管理 (MDM) 功能对企业来说是一个福音。利用它，组织可以更充分地控制其网络中的设备。然而，正如我们在 2018 年发现的那样，它也为资金充足的恶意攻击者打开了大门。

毫无疑问，MDM 是一种强大的工具。强大到足以让攻击者都想要利用它：攻击者设法将恶意配置文件放到设备上并推送各种应用，目的是拦截数据，窃取短信，下载照片和联系人，以及跟踪设备的位置等，是一种强有力的攻击方法。

这些应用包括 WhatsApp 和 Telegram 等流行应用的修改版本，其中添加或者 “搭载” 了额外的功能，让攻击者可以监控每台受感染设备上的对话。

这些设备如何陷入这种攻击仍然是一个迷。攻击者可能对这些设备进行了物理访问，趁机安装了一个赋予他们控制权限的配置文件。

但是，攻击者也可能使用社交工程手段诱骗用户安装这种配置文件。他们可能通过邮件或短信向用户发送恶意警报，试图欺骗用户，让他们以为自己需要安装这种恶意配置文件。

到目前为止，2018 年最突出的以牟利为目的的威胁形式是恶意加密货币挖矿。

对于攻击者而言，这几乎是完美的犯罪：挖矿软件经常在用户不知情的情况下在后台工作，窃取他们的计算能力，为攻击者创造收入。

加密货币挖矿，不论是否恶意，都可以带来丰厚的收益。在过去几年和 2018 年上半年，加密货币的价值不断攀升。

正如其他任何与软件相关的有价事物一样，加密货币也引起了恶意攻击者的关注。另一方面，勒索软件的效益却大不如从前，这进一步促使攻击者转向加密货币。

不过，也许最令人担忧的问题是，用户并不知道系统被恶意加密货币挖矿软件感染，他们在不知情的情况下运行网络时，这些恶意软件可能会导致网络配置或整体安全策略出现安全漏洞。而此类漏洞很容易被攻击者利用，谋取其他利益。

在 2018 年韩国平昌冬季奥运会开幕式期间，体育场和媒体区域的 Wi-Fi 突然中断，并且官方网站也受到了网络中断的影响。

这样大规模的网络中断被查明是一款名为“奥运会毁灭者”的恶意软件引起的。这种恶意软件具有高度破坏性，可以根据所入侵的环境进行定制，并且专门用于摧毁信息，由此带来数据隐私风险、品牌声誉受损以及客户满意度下降的风险。

长期调查表明该恶意软件有两个特征：

1) 它是一种擦除器恶意软件，目的是破坏资产（而不是作为勒索软件执行攻击）。

2) 更有趣的是，它经过精心设计以隐藏其来源并欺骗研究人员。这波高级攻击结合了复杂的恶意软件技术与狡猾的策略。

根据平昌袭击事件的后果，我们分析认为最可能的情况是，这种威胁像蠕虫一样传播：快速且具有高度破坏性。该威胁文件会窃取密码，清除备份数据，并以存储在服务器上的数据为目标，在非常短的时间内造成巨大的破坏。

思科网络安全报告系列

过去十年中，思科发布了大量权威的安全和威胁情报信息，深入地介绍了威胁形势及其对组织的影响，以及防范数据泄露不利影响的最佳实践。

2019 年以 “思科网络安全报告系列” 为主题发布了一系列基于研究的数据驱动出版物。目前，已推出的报告有：

数据隐私基准研究

威胁报告

首席信息安全官（CISO）基准研究报告

点击报告名称可以查看相关文章哦