卡巴斯基安全公告：卡巴斯基2018威胁预测

2018年初，我们又将开始年度攻击预测。回望2017年，身为安全研究者不禁为往事而激动：一方面每个新事件都是让我们兴奋不已的竞技场，将理论问题用生活中的白话描述出来，这就需要我们了解实际的攻击面、战术，进而锤炼我们的追踪和检测技术，最终解决问题；另一方面，对高度关注用户安全态势的人来说每个事件都是灾难，不能将每个漏洞视作孤例，还要看到不安全因素累积的后果，尤其用户、电子商务、金融及政府机构等所面临的。

1.高级持续性威胁预测

1.1 2018年将会发生什么？

1.1.1 供应链攻击增多

2018年供应链攻击将增多，可从发现点和实际攻击点发起。

卡巴斯基实验室的全球研究和分析小组跟踪分析超过100个APT（高级持续性威胁）组织和行动，发现其中有部分已经是高度成熟，它们拥有多种攻击武器，如零日漏洞、无文件攻击工具，还将传统的黑客攻击与擅长渗透的成熟团队组合起来。我们经常会发现高级威胁实施者在很长一段时间针对特定目标进行攻击却无功而返，这是因为目标使用了强大的互联网安全套件、对其员工进行过教育避免成为社会工程受害者或是有意识地遵循了澳大利亚DSD的35个缓解策略（DSD TOP35）来应对APT攻击。

总的来说，攻击者技术成熟而且毅力惊人，一般不会轻易放弃，他们往往会另辟蹊径。

当所有手段都行不通时，他们就会后退一步，重新评估形势。在重新评估的过程中，威胁实施者可能会决定进行供应链攻击，因为这可能比直接攻击目标更有效。即便目标使用世界最佳防御系统，一般也会用到第三方软件，第三方软件可能更容易被攻破，从而达到侵入保护更完善的初始目标。

在2017年，我们已经看到了几起这样的案例，包括但不限于：

● Shadowpad

● CCleaner

● ExPetr / NotPetya

这类攻击很难被发现或防御，例如，在Shadowpad的案例中，攻击者在Netsarang的很多数据包中植入木马（Netsarang，一个在世界各地的银行、大型企业及一些行业的垂直领域中被广泛应用的远程控制软件）。由于原本干净的数据包和被植入木马的包之间极难区分，大多数情况下只有命令与操作控制（C&C）产生的异常流量才会露出马脚。

2017年估计不止200万台电脑接收了CCleaner受感染的更新，成为当年最大规模的攻击之一。通过对CCleaner恶意代码的分析，我们发现它与APT团体过去在“Axiom umbrella”中使用过的其他后门有所关联，如APT17（也称Aurora）。这也说明APT团体为了实现其目标愿意绕多大的弯。

我们的评估表明，目前供应链攻击可能比我们发现的要多得多，只是这些攻击还没有被发现或暴露出来。在2018年，我们预计会出现更多的供应链攻击，无论在发现的数量上还是实际发生的攻击上。针对特定区域和垂直领域中应用的专用软件进行木马感染的手段，将会和水坑攻击相似，为特定受害者精心挑选网站，这也说明特定类型的攻击者极难防范。

1.1.2 更多高端移动恶意软件

CitizenLab和Lookout在2016年8月发布了一个名为Pegasus（帕伽索斯）的高级移动端间谍平台的分析报告，Pegasus是一个叫NSO集团的以色列公司销售给政府等单位的所谓的“合法监听”软件套装。Pegasus能结合零日漏洞功能，可远程绕过当代移动操作系统（如iOS）的安全防御系统，移动系统通常较为高效，但防护能力较弱。在2017年4月，谷歌发布了其对Chrysaor这一针对安卓系统的Pegasus间谍软件的分析报告，除了Pegasus和Chrysaor这类“合法监视”间谍软件，许多其他APT组织也开发了自己的移动恶意软件植入。

由于iOS是一个通过内省（introspection）锁定的操作系统，用户不能检查手机是否被感染。虽然Android系统漏洞更多但实际好得多，这是因为Android平台上的软件（如卡巴斯基互联网安全系统）可以保证设备的完整性。

我们的结论是移动端恶意软件的总数量远多于报告，由于匮乏遥测技术使得这类恶意软件难以被发现和根除。2018年将会发现更多的针对移动设备的高端APT恶意软件，由于攻击数量及安全技术的进步共同导致的。

1.1.3 更多BeEF类浏览器攻击框架工具出现

由于利益增长及操作系统中默认内置更好的安全和防御技术，在2016年和2017年零日漏洞的价格急剧攀升。例如，最新的Zerodium的报价表显示，该公司愿意出价150万美元，购买一份完整的iPhone（iOS）持续性攻击的远程越狱漏洞，这种攻击实则是指“无需用户参与就可实现的远程感染”。

部分政府客户选择出如此高价来购买这些漏洞意味着，人们越来越重视这些漏洞的保护，使其免遭意外披露。这意味着在实际攻击之前，攻击者可以进行更细致的侦察。在侦察阶段，攻击者可以明确目标使用的浏览器、操作系统、插件和其他第三方软件的实际版本，有了这些信息，威胁实施者就可以精准利用不那么敏感的“1日”或“n日”漏洞，而无需动用极其宝贵的零日漏洞。

这类分析技术会被像Turla、Sofacy以及Newsbeef（也叫Newscaster、Ajax hacking team或“Charming Kitten”）这样的APT团体所使用，但也被其他精于定制分析框架的APT团伙利用（如Scanbox及其各个变种）。考虑到这些框架的流行及对昂贵工具保护需求的激增，预计在2018年“BeEF”及其变种分析工具将大兴其市，这些团队可以是用公用框架也可能是自行开发框架。

1.1.4 更多的UEFI和BIOS攻击

可扩展固件接口（UEFI）是一种在当代PC架构上充当固件和操作系统之间的软件接口，2005年由英特尔为主参与的软硬件开发商联盟所开发，UEFI现正迅速取代传统的BIOS标准。主要是BIOS缺乏一些高级特性：如安装和运行可执行文件的能力、网络和互联网功能、加密、CPU无关架构和驱动等，这些缺陷使得UEFI应用更普遍，但在固化的BIOS时代从来没有过的漏洞也随之出现。如运行自定义可执行模块的功能就让可以直接被UEFI启动的恶意软件成为可能，而此时恶意软件防御系统甚至操作系统都还没有启动。

商业级UEFI恶意软件早在2015年Hacking team UEFI模块被发现之前就有了，有鉴于此，至今尚未发现任何重大的UEFI恶意软件也无需讶异，那是因为没有可靠的方法发现这类软件。我们认为在2018年将会有更多UEFI恶意软件被发现。

1.1.5 破坏性攻击将继续

自2016年11月始，卡巴斯基实验室发现针对中东多个目标出现了新一波的磁盘擦除器攻击（wiper attacks），此次攻击使用的恶意代码就是臭名昭著的Shamoon蠕虫的变种，而Shamoon恶意代码曾在2012年攻击过沙特阿拉伯Aramco国家石油公司（阿美石油）和卡塔尔Rasgas天然气公司。历史上最神秘的Wiper在遁迹四年后又卷土重来，Shamoon又称Disttrack是一个极具有破坏性的恶意软件家族，会擦除受害者电脑上的数据。2012年袭击发生的当天一个名为“Cutting Sword of Justice”的组织在Pastebin留言：称其实施了对沙特阿美的攻击，同时声称此次袭击是为了对抗沙特王室。

与老版本一样，2016年11月的Shamoon 2.0攻击目标是沙特各个关键和经济部门中的机构，目的是大规模破坏组织内部的信息系统。卡巴斯基实验室在调查Shamoon 2.0攻击事件时，还发现了一个之前未知的wiper恶意软件，似乎是用来攻击沙特阿拉伯组织的。我们把这种新型wiper命名为StoneDrill，很可能与Newsbeef APT团伙有关。

2017年是破坏性攻击肆虐的一年，除了Shamoon和 Stonedrill外，ExPetr/NotPetya攻 击起初认为是勒索软件攻击，实际是一次巧妙伪装的wiper攻击。ExPetr之后又是一波“勒索软件”攻击，在这种情况下受害者几乎不可能恢复数据；它们都是巧妙伪装的“wiper类的勒索软件”。鲜为人知的是，在2016年就已经出现了一波“wiper勒索软件”攻击，CloudAtlas APT利用了“wiper类的勒索软件”袭击了俄罗斯的金融机构。

在2018年，作为最可见的网络战，我们预计破坏性攻击的数量将继续上升。

然而理想丰满，现实骨感。第一节比赛，辽宁就领先山东队13分之多。去年还是总冠军级别的球队在新科冠军面前毫无一战之力。

1.1.6 更多加密体系被颠覆

2017年3月，由美国国家安全局（NSA）开发的物联网加密方案提案遭到质疑，Simon和Speck提出的不同版本ISO的批准也被撤回并再次推迟。

2016年8月，瞻博网络（Juniper Networks）宣布在其NetScreen防火墙中发现了两个神秘的后门，其中最有趣的可能是对Dual_EC随机数生成器(双椭圆曲线确定性随机比特生成器)用到的常数极其细微的变化，这将使聪明的攻击者解密通过NetScreen设备的VPN数据流。最初的Dual_EC算法是由NSA设计经由NIST推广的，早在2013年路透社的一份报道指出NSA付给RSA公司1千万美元，希望作为潜在解密方法希望RSA在产品中应用有漏洞的算法。尽管早在2007年建立后门的理论可能性就已经确定，但有几家公司（包括瞻博）通过设置一套不同的常数来使用Dual_EC算法，在理论上这是安全的。实际上一些APT攻击看不惯这组不同的常数，攻击了瞻博产品并更改了这些常数，除了控制外还可解密VPN连接。

这些动作最终被发现，2017年9月，一个国际密码学专家小组迫使NSA放弃了两种新的加密算法，当时NSA希望将它们标准化。

2017年10月，新闻爆出英飞凌（infineon）在硬件芯片中使用的密码库有缺陷，该芯片用于生成RSA素数表。尽管这一缺陷似乎是无意的，但它确实让人们对日常生活中使用的加密技术到底有多安全产生疑问，无论是智能卡、无线网络还是加密网络传输。在2018年，我们预计标准本身或特定实施中，将会有更严重的加密漏洞被发现并修补（但愿如此）。

1.1.7 电子商务身份识别陷入危机

过去的几年中个人信息（PII）大规模泄露的灾难性事件越来越多。据报道最近的一次Equifax泄露就影响了1.455亿美国人。虽然多数人对于信息泄露已经麻木，但我们一定要知道，大规模的PII泄露将危及电子商务的基础，以及政府用互联网处理重要文件的便利性。确实欺诈和身份盗用这些问题已经存在了很长时间，但是当最基本的识别信息被广泛的扩散，以至于最后根本就不可靠的时候该怎么办？商业和政府机构（特别是在美国）将面临一种选择，是不再用互联网这一现代措施方便的进行管理，还是推广其他多种因素的解决方案。也许到目前为止，像ApplePay这样的替代选择将会成为一种保护身份和交易的时尚方式，但同时，在使繁琐的官僚程序现代化和降低运营成本方面，互联网可发挥的关键作用将减弱。

1.1.8 更多路由器和调制解调器被攻破

另一种常被忽视的漏洞就是路由器和调制解调器。无论是在家还是在企业，这两种硬件都无处不在，它们对日常运作至关重要，且常常负责运行那些未被修复和监视的专有软件。设计这些小计算机本来目的就是为了链接互联网，它们位于抵挡攻击者获得长期且隐秘的网络访问权的关键位置。此外，正如在报告《最近一些非常酷的研究》中所说的那样，在某些情况下，攻击者甚至可以伪装成不同的互联网用户，使追踪者彻底迷失方向。在人们对误导和假标志越来越感兴趣的这一时期，这是个不小的壮举。对这些设备进行更严格的审查，一定会有一些有趣的发现。

1.1.9 社会混乱的媒介

除了过去一年信息战引起的泄露和政治事件之外，社交媒体出乎意料的扮演起了政治化的作用。无论是政治权威人士的网络言论，还是南方公园（South Park）的编剧们对Facebook首席执行官戏谑的嘲讽，人们的目光都不约而同的转向了各社交媒体巨头，要求对试图大范围影响社会的虚假用户和机器人进行某种程度的事实核查和鉴别。令人遗憾的是，这些将成功建立在诸如“每日活跃用户”这样的量化指标上的网络，他们显然没有什么动机去真正清除它们的机器人用户群。即使这些机器人有着明显的目的或独立研究人员已经发现了它们的痕迹并展开了追踪。我们认为如果放任这种行为持续滥用，大型机器人网络将成为政治化的反派角色，社交媒体将会受到抵制，这些深感厌恶的用户会急切地寻找这些陶醉在滥用带来利润和点击率的巨头们的替代。

1.2 结论

2017年，我们做出《妥协指标（IOC）已死》的报告，2018年我们认为高级威胁者将发挥他们的新特长、打磨他们的新工具并通过上文描述的可怕方式进行攻击。每年的主题和趋势都不是孤立的，它们互为基础，无论是个人、企业还是政府，各种类型的用户都将面临更严峻的威胁。唯一的解决办法，就是对准确威胁情报的共享和正确应用。

这些预测涵盖了高级且有目标的威胁的趋势，而各行业部门也将面临各自截然不同的挑战，因此2018年我们希望给予关注。

2.行业和技术预测

2.1 引言

我们生活在一个互联的世界里，数字技术已经成为个人和组织日常生活的一部分。这带来了新的漏洞和威胁。目前，一些行业部门比其他行业更容易受到攻击。在我们的行业和技术预测中，我们选择了一些高危领域，提出了未来可能存在的一些关键风险及其潜在影响。

2.2 汽车产业威胁预测

2.2.1 2017年行业状况

现代汽车不只是电动汽车，每次更新换代，它们的联网程度就会随之增加，采用更智能的技术，使它们更有效率、更舒适且更安全。联网汽车市场的五年复合增长率为45%，是汽车市场整体增速的10倍。

为实现安全和监控，某些地区（如欧盟或俄罗斯）普遍使用双向连接系统（eCall、ERAGLONASS），现在主要的汽车制造商都允许用户通过网站或移动应用与汽车进行远程交互。

远程故障诊断、远程信息处理和联网信息娱乐极大地增强了驾驶员的安全和享受，同时也给汽车行业带来了新的挑战，因为这些技术使车辆变成了网络攻击的主要目标。汽车系统受到侵入或安全、隐私和财务等被侵犯的风险越来越大，这就要求制造商了解并应用IT安全，近年来发生的几起事件都揭示了联网汽车的脆弱性。

2.2.2 2018年预测

Gartner预测到2020年将有2.5亿辆联网汽车上路，还有些人认为届时有98%的汽车都将接入互联网。我们现在及将来面临的威胁不应当被孤立地看待，它们具有延续性，更多的车辆联网带来攻击面、攻击机会骤增。

明年汽车部门将面临的威胁包括：

厂商在市场竞争压力下缺乏安全意识或专业知识不足产生漏洞。联网移动服务范围持续扩大，开发和交付这些服务的供应商数量也随之增长。不同品质的产品/供应商的供给增加，面临竞争激烈的市场，难免会有安全忽视乃至敞口，让攻击者有机可乘。

产品和服务复杂性带来的漏洞。汽车产业制造商关注为客户提供多样化的互连服务，每一个环节都存在被攻击者快速利用的可能性，他们只要发现一个不安全的切入点，如手机蓝牙或音乐下载系统，就可能控制关键的电子模块如刹车或引擎等，最终造成恶果。

没有绝对零缺陷的代码——有bug，就会被利用。当今车辆已经运行了超过一亿行代码，这本身就为网络罪犯提供了广阔的攻击面。随着更多的联网元件被安装到车辆中，代码的数量还会激增，Bug的风险随之增长。包括特斯拉在内的部分汽车厂商已经采取特定的缺陷奖励计划来解决这个问题。

此外，软件由不同的开发人员编写，被不同的供应商所安装，向不同的管理平台报告，没有一个参与方能够看到，更无法管控车辆的所有源代码。这可以使攻击者更容易地绕过检测。

应用程序是网络罪犯的福音。用户可以通过下载越来越多的智能手机应用程序，其中很多是由汽车制造商提供的，来远程解锁他们的汽车、检查引擎状态或者找到汽车位置。研究人员已经证明了这些应用程序能被攻破。不久之后，木马应用就能神不知鬼不觉的将恶意软件植入受害者的车中。

精于硬件但不擅长软件的企业推出越来越多的联网组件，软件需要持续更新的需求可能被忽视。更糟糕的是如果已知问题无法被远程修复，而车辆召回需要时间和成本，此时很多司机将处于危险之中。

联网车辆将产生并处理更多的数据，这些数据既有车辆，也有行程甚至个人资料，攻击者出于在黑市上出售数据或通过数据进行敲诈勒索等的目的就更强。汽车厂商现在已经面临着来自营销公司的压力，因为营销公司想要合法获得乘客行程数据以便投放即时位置广告。

幸运的是，对安全威胁的认识程度及安全意识的提高将促使市场出现远程诊断和远程数据传输的网络安全设备。

此外，法律制定者将把联网汽车的网络安全设为强制标准提出需求和指引。

最后，除了现有的安全认证之外，还将设立新的组织负责网络安全认证。它们将使用明确的标准，评估联网车辆对网络攻击的抵抗力。

2.2.3 行动指南

解决这些风险的方法包括将安全纳入标准、施行安全设计、联网汽车生态系统中各部分关注安全。防御性软件解决方案可以安装在如刹车等个别电气部件上，提高它们抵御攻击的能力。其次，软件可以通过检测所有网络通信来整体保护车辆的内部网络，提示任何车内网络行为的变化，阻止攻击者进一步侵入车内网络。总而言之，需要有一个解决方案来保护所有连接到外部互联网的部件，云安全服务可以在威胁发生之前检测并纠正威胁。它们还可以对车辆进行远程更新和实时预测，这些需要严格一致的行业标准。

2.3 联网医疗威胁预测

2.3.1 2017年行业状况

2017年卡巴斯基实验室的研究曾揭示过联网医疗基础设施中储存的医疗信息和病人数据不受保护的程度，任何有动机的网络罪犯都可以接触到。例如，我们发现了大约1500台用于处理医疗影像的设备未设访问权限。此外我们发现大量的联网医疗软件和web应用程序包含已公开的漏洞。

网络恶棍认识到健康信息的价值，加上获取极为容易，何况医疗机构愿意支付高额赎金等因素，使得风险进一步加剧。

2.3.2 2018年预测

随着卫生保健机构使用越来越多的联网设备和有漏洞的web应用程序，医疗行业面临的威胁只增不减。医疗联网是由多项因素驱动，如对资源费效比的需求、像老年人、糖尿病患者等慢性病对于远程居家护理需求增长、消费者对健康生活方式的追求，及医疗机构之间的数据共享和病人监测可以显著提高医疗保健的质量和有效性。

明年医疗行业的威胁趋势包括：

以敲诈、恶意中断或破坏为目的从而对医疗设备的攻击将会增加。需要与网络相连的专业医疗设备数量一直在增加，虽然很多网络都是内网，但只要有一个与外部网络的连接，就足以让攻击者入侵并通过“封闭”内网传播恶意软件。由于以设备为攻击目标可能会干扰护理并可能致命，因此医疗机构付赎金的可能性非常高。

以窃取数据为目标的指向攻击也会增加。联网医疗系统存储和处理的医疗信息和患者数据每天都在增多，这些数据在黑市上非常有价值，不仅可以用来直接敲诈勒索，但感兴趣的人不仅仅是犯罪分子，受害者的雇主或保险公司可能出于“关心”工作岗位或者保费而产生“兴趣”。

针对医疗设施勒索软件攻击将增多。包含数据加密和设备锁定：联网医疗设备常常十分昂贵且关乎生命，这使它们成为攻击和勒索的首要目标。

医疗机构中清晰定义的网络周界将会被“侵蚀”。医疗机构中用于联网的工作站、服务器、手持设备和医疗设备将不断增加，让网络犯罪分子更多机会进入医疗网络、获得医疗信息。对于医疗机构的安全团队来说，每一个新联网设备都将为攻击者打开侵入基础信息架构的一个新入口，持续防御和保证终端安全的挑战越来越大。

联网的“可穿戴设备”（含植入）之间传输的敏感和机密数据，加上这类设备在医疗诊断、治疗和预防保健中使用增多，医疗专业人员也逐渐成为被攻击的目标，起搏器和胰岛素泵就是最典型的例子。

国家和地区级的卫生保健信息系统可让未加密或不安全的患者数据在个体医生、医院、诊所和其他设施之间进行共享，这就成为意图在公司防火墙之外拦截数据的攻击目标。这种情况也出现在医疗机构和保险公司之间。

消费者使用联网的健康和健身设备更普遍，将为攻击者提供大量只受到最低限度保护的个人数据。由于健康意识提高及联网生活方式的普及意味着健身手镯、计步器、智能手表等都将携带和传输更多的个人数据，同时却只有基本的安全保护，网络犯罪分子会毫不犹豫地利用这一点。

无论是以阻断服务（DDOS）的形式，还是通过“勒索软件”（如WannaCry）来直接破坏数据等手段的破坏性攻击，对更加数字化的医疗机构来说都是日益严重的威胁。支撑着每个现代组织的越来越多的工作站、电子记录管理和数字业务流程都在扩大着网络犯罪的攻击面，在医疗保健领域这一威胁则更加紧迫，因为任何一种破坏都可能关乎生死。

最后是联网义肢、智能生理增强植入、嵌入式AR等新兴技术，这类设计可以帮助残疾人生活，并创造更好、更强、更健康的人类，除非这些设备在最初设计时就考虑到了安全，否则将为有想法的恶意攻击者提供新行动和伤害机会。

2.4 金融服务和欺诈威胁预测

2.4.1 2017年行业状况

2017年金融服务中的欺诈、攻击趋向于以用户账户为中心，客户数据是大规模欺诈攻击的关键促成者，频繁发生的其他类型攻击的成功，为网络犯罪提供了珍贵的个人信息，用于进行账户侵权或虚假身份攻击。这些以帐户为中心的攻击可能造成包括后续客户数据和信任损失，因此减轻这一风险不论对商业企业还是金融服务的客户来说都同样重要。

2.4.2 2018年预测

2018年将是金融服务业创新的一年，这一领域的变革步伐将继续加快。随着更多的渠道和新的金融服务的出现，威胁也将会多元化。金融服务将需要专注于全渠道欺诈预防，以及成功地识别从网上账户到新渠道中的欺诈行为。随着新支付方式盈利能力的增加，也将受到更多的攻击。

（1）实时支付挑战

消费者对实时和跨境金融交易的需求不断增加给快速进行风险分析带来压力，再加上消费者对无摩擦付款的预期使这项任务更具挑战性。金融服务需要重新思考，并使“了解客户”的流程更加高效。机器学习以及最终的以AI为基础的解决方案，也将是解决欺诈和快速风险检测的关键。

更大的风险在于人们对超快、简易交易（包括即时跨境支付）需求的增长，意味着银行、支付系统等必须更快地对交易的完整性做出判断，而这增加了错误和欺诈的可能性。解决办法不是减少检查，而是让它们在更有效的同时更快速。这就是AI /机器学习系统将真正提供帮助的地方。

（2）社会工程攻击

金融服务将需要继续专注于经过尝试和测试攻击技术。尽管面临着更复杂新兴的威胁，社会工程和网络钓鱼仍然是最简单和最有利可图的攻击之一——将人类因素作为最薄弱的环节加以利用。应该继续对客户和员工进行教育，提高人们对最新的攻击和骗局的认识。

（3）移动威胁

根据最新发布的《卡巴斯基网络安全指数》，在线活动越来越多的发生在手机上。例如，现在35%的人使用智能手机接入网上银行，29%的人使用手机在线支付系统（前一年分别为22%和19%）。这些手机先行的消费者将日益成为欺诈的首要目标。网络罪犯将利用之前成功的和新的恶意软件家族，以创造性的方式盗取用户的银行认证信息。2017年恶意软件家族Svpeng的变种已经出现，2018年其他移动恶意软件家族将再出现，用新功能攻击银行凭证。识别和消除恶意软件对金融服务机构来说至关重要。

（4）数据泄露

数据泄露将继续出现在2018年的头条新闻中，金融机构将受到虚假账户和账户接管的二次影响。数据泄露尽管比针对客户的个人欺诈攻击更难实施，但一次攻击暴露出来的大量客户数据，对犯罪分子来说还是非常有利可图的。金融服务机构应该定期测试它们的防御措施，采用解决方案在早期发现可疑访问。

金融机构已经告知我们，在数据泄露之后，可疑的凭据检查和登录尝试将会增加，比如相同的IP或设备会多次试图登录一系列帐户。

（5）加密货币目标

未来将会有更多的金融机构探索加密货币的应用，网络犯罪将把这些货币作为主要的攻击目标。我们已经看到了2017年挖矿恶意软件的增加，2018年将会有更多。应该采用能够检测出最新的恶意软件家族的解决方案，并将最新的威胁情报与预防策略结合起来。（深入了解这一威胁，请参考加密货币威胁预测部分内容。）

（6）账户侵权

过去10年由于芯片和POS技术改进使得货币支付更加安全，使网上欺诈发生了改变。现在，通过令牌化、生物识别技术和其他技术手段使得在线支付安全得到了提升，诈骗分子转向账户侵权攻击。业内人士估计，随着诈骗者对这一高利润的攻击数量追求增多，这类欺诈行为损失将会达到数十亿美元。金融服务将需要对数字身份进行重新考量，并使用创新的解决方案来确认客户身份。

根据英国《金融欺诈行为》（Financial Fraud Action）的数据，每年，账户侵权攻击都在增加（例如，2015年至2016年的增长率为5%）；据Forrester估计，账户侵权每年会造成至少65亿美元的损失，这一数字将在未来几年继续上升。

（7）创新压力

越来越多的企业将在2018年涉足支付解决方案和开放银行服务。在竞争对手不断增加的情况下，金融服务公司要寻求竞争优势，创新是关键。但是，了解复杂的监管就已经很难了，更不用说对新渠道受到攻击的可能性进行评估。这些新产品将成为欺诈者的目标，而且任何不以安全为核心的新方案都很容易被网络罪犯攻破。

银行创新的例子包括在线支付公司Square为客户提供比特币交易服务，以及社交媒体网络Facebook在2016年获得银行牌照。

（8）欺诈服务

由于全球地下通信使得网络犯罪知识共享更加迅速，攻击也会更快速地在全球范围内扩散。暗网上则提供了欺诈服务，包括机器人、钓鱼翻译服务和远程访问工具等各种攻击方式。网络犯罪菜鸟可以购买和使用这些工具，意味着金融服务会承担更多的攻击，跨部门知识共享和威胁情报服务将是缓解这一问题的关键。

随着欺诈监控系统的改进和攻击者创造力和攻击手段的增加，威胁的多样化将成为主要趋势。攻击者在地下讨论的话题越来越多，包括如何建立假帐户或绕过特定银行的安全措施等。

（9）ATM攻击

自动取款机将持续吸引许多网络犯罪者的注意。卡巴斯基实验室的研究人员在2017年发现了一些针对ATM系统的攻击，这些攻击涉及新的恶意软件、远程控制和无文件攻击，在暗网上公开以几千美元的价格出售一个名为“Cutlet Maker”软件，这一软件是专门针对ATM的恶意软件，并附送了详细使用指南。卡巴斯基实验室曾发表过一篇关于未来针对ATM认证系统的攻击场景报告。

2.5 工业安全威胁预测

2.5.1 2017年行业状况

2017年发生了很多影响工业系统信息安全的事件，安全研究人员发现了数百个新的漏洞，研究了针对ICS和工业流程的新威胁向量，收集并分析了工业系统意外感染的统计数据，检测出了针对工业企业的攻击（具体就是Shamoon 2.0/StoneDrill）。自从震网（Stuxnet）发现以来，第一次发现并分析了针对物理系统的恶意软件工具集“CrashOverride/Industroyer”，一些专家将其归为“网络武器”。

然而，2017年工业系统面临的最大威胁是加密勒索软件。根据卡巴斯基实验室ICS CERT的数据，2017年上半年，全球63个国家的工业信息系统遭到了多次加密勒索软件攻击，这些恶意软件分别来自33个恶意软件家族。WannaCry和ExPetr破坏性勒索软件攻击似乎永远地改变了工业企业对保护重要生产系统的观念。

2.5.2 2018年预测

（1）常规和意外恶意软件感染增多

除了少数特例外，网络犯罪集团目前还没有简单而且可靠实施工业信息系统攻击的方案。针对企业网络的传统的网络犯罪目标的“普通”（常规）恶意代码意外引起的工业网络感染和事故将在2018年持续。与此同时我们很可能会看到这些情况使工业应用环境产生更严重的后果。尽管安全群体一再发出警告，但如何在企业网络中进行工业系统的定期更新的问题仍然无法解决。

（2）有针对性的勒索软件攻击风险增加

WannaCry和ExPetr攻击使安全专家和网络犯罪分子知道，攻击运营技术（OT）系统可能比IT系统更有利可图，且运营技术系统同样可以通过互联网进行访问。此外，恶意软件在OT网络中造成的损害，可能会比相应的企业网络损害还大，而在OT中，“救火”则要困难得多。工业企业已经展示了一旦它们的OT基础设施遭到网络攻击时，其员工组织糟糕和无效率，所有这些因素都会使工业系统成为理想的攻击目标。

（3）更多的工业网络间谍事件

针对工业公司的有组织的勒索软件攻击不断增多，还可能会引发另一种相关网络犯罪：准备和实施有针对性（包括勒索软件）攻击从而偷窃工业信息系统中的数据。

（4）地下市场出现针对工业系统的新板块

近年来，在黑市上对针对ICS的零日漏洞的需求旺盛，提醒我们犯罪分子正准备进行有针对性的攻击活动。我们认为在2018年这一领域的攻击活动将更加猖獗，这可能会导致新的细分领域出现，并集中在从工业企业窃取的ICS配置数据和ICS凭证，还有可能包括带有“工业”节点的僵尸网络。对于针对物理对象和系统的高级网络攻击，其设计和实现都需要有ICS和相关行业的专业知识。对这类专业技术的需求预计将推动这些领域中如“恶意软件服务”、“攻击向量设计服务”、“攻击活动服务”以及其他与工业企业攻击有关服务的增长。

（5）新类型的恶意软件和恶意工具

新的恶意软件很可能被用来攻击工业网络和资产，其功能可能包括在IT网络中隐藏和保持非活跃状态的能力，从而避免被发现，只在较不安全的OT基础设施中活动。另一种可能是针对现场ICS设备和物理资产（如泵、电闸等）的勒索软件的出现。

（6）国家监管的变化

2018年部分国家在工业自动化系统的新规管措施将会生效，新规的施行将迫使拥有关键基础设施和工业资产的公司在网络安全评估中投入更多。因此，我们将在工业系统中发现新的漏洞，以及工业企业发生的事件和以前不为人知的攻击也将暴露出来。

（7）犯罪分子将对安全研究人员发布的威胁分析加以利用

在2017年，研究人员发现并公开了针对工业资产和基础设施的各种新的攻击向量，并对所发现的恶意工具进行了深入分析。这一切都有利于工业设施的安全，然而，犯罪分子也同样可以利用这些信息。例如，黑客可以利用CrashOverride / Industroyer工具的公开，对电力系统发起阻断式服务攻击（denial-of-service，DoS）；他们同样可能会开发有针对性的勒索软件，甚至可能会想办法从阻断（blackout）中获利。PLC蠕虫的概念可能会激发犯罪分子在真实世界中创造PLC间传播的恶意蠕虫，有些人则可能试图用PLC的某种标准编写语言实施恶意软件，还有一些威胁者甚至有可能试图用信息安全研究人员演示的方法来开发低层级的PLC恶意软件，后两种情形可能会给安全解决方案的开发人员带来严重困扰。

（8）工业网络保险可用性和投资增加

网络风险保险正在成为工业企业风险管理的重要组成部分，就算最近与网络安全事故相关的风险还被排除在保险合同之外，实则上保险公司将它们等同于恐怖袭击。但情况正在改变，网络安全公司和保险业的主要参与者都推出了新举措。在2018年工业自动化系统审计/安全评估的数量将增加，更多的网络安全事件将会被记录在案并调查。

2.6 加密货币风险预测

2.6.1 2017年行业状况

如今加密货币不只为计算机极客和IT专业人士所用，它对人们的日常生活的影响超出预期，从而加密货币对网络罪犯的吸引力也急剧上升。一些电子支付中的网络威胁也扩散到了加密货币领域，比如在交易中改变目的钱包的地址，以及窃取电子钱包等。加密货币为恶意行为的货币化开辟了前所未有的方式。

在2017年全球用户面临的主要威胁是勒索软件：为了恢复被攻击者加密的文件和数据，受害者被要求用加密货币支付赎金。在2017年的前8个月中卡巴斯基实验室产品保护了165万用户免受恶意加密货币挖矿工具的攻击，到2017年年底，我们预计这一数字将超过200万。此外，在2017年，我们也看到了隐匿数年的比特币小偷的回归。

2.6.2 2018年预测

随着加密货币的数量、使用和市值的不断攀升，它们不仅吸引了网络罪犯，而且还将吸引人们使用更先进的技术和工具来创造更多的加密货币。网络罪犯们很快就会把注意力转向最赚钱的计划，因此，2018年很可能是恶意网络挖矿软件的一年。

（1）勒索软件攻击将迫使用户购买加密货币

因为加密货币市场不受监管且近乎匿名，网络犯罪分子将继续要求使用加密货币付赎金：无须与任何人共享任何数据，没有人能屏蔽地址，没有人能抓到你，而且几乎无法被追踪。与此同时，货币化流程的进一步简化，将使加密机得到广泛传播。

（2）运用有针对性的攻击安装挖矿工具

我们预计为了安装挖矿工具，攻击者可能会针对企业开展定向攻击。虽然勒索软件有潜力一次性提供巨额收入，挖矿却可以给攻击者带来小额长期收益，我们将会知道明年攻击者到底更喜欢什么。

（3）挖矿工具将继续盛行，攻击者群体扩张

明年挖矿将继续在全球范围内蔓延、吸引更多的人。新挖矿者的参与将取决于他们能否获得免费且稳定的电力来源。因此，我们将看到更多“内部挖矿者”的出现：更多政府组织员工将开始使用公有计算机进行挖掘，而更多的制造企业员工将开始使用公司设备进行挖矿。

（4）网页挖矿

网页挖矿是一种加密货币挖矿技术，它在web页面上安装一个特殊的脚本因此直接在浏览器中使用。攻击者已经证明，他们可以很容易的将这样的脚本上传到一个受攻击的网站上，使访问者的电脑参与挖掘，填满犯罪分子的钱包。明年网页挖矿将会极大地影响互联网的性质，开创网站货币化的新途径。其中一种挖掘方法将取代广告：如果用户订阅付费内容，网站将永久删除挖矿脚本功能。另外电影等不同类型的娱乐内容可以免费提供，只有用户参与挖矿。另一种方法建立在网站安全检查系统的基础上，将人类与机器人区分开来的验证码将被网页挖矿模式所取代，至于访问者是机器还是人将不再重要，因为它们都将通过挖矿来“回报”网站。

（5）ICO（初始数字货币发行）热潮的消退

ICO是指通过加密货币进行众筹。2017年，这一方法的发展迅猛，各项目总共募集到了超过30亿美元的资金，大部分项目都和区块链有关。明年ICO的热潮将会消退，伴随着一系列的失败（无法创造出可进行ICO的产品），人们也会更谨慎地选择投资项目。一些不成功的ICO项目可能会对加密货币（比特币、以太币等）的兑换率产生负面影响，在2017年这一兑换率涨幅惊人。因此，针对ICO、智能合约和电子钱包的网络钓鱼和黑客攻击数量将会减少。

3 结语

联网技术有能力让生活变得更好、更安全，但它们也带来了新的漏洞，而且网络攻击者会迅速利用。正如本报告一开始就指出的，这些预测基于的是我们的专家、学者在过去一年内获得的经验和知识，预测观点不一定就变为现实。但是，准备只是成功的一半，我们作为安全行业的积极参与方，将继续提供针对网络犯罪的最新工具和技术，更好地收集威胁情报、开发安全解决方案，让世界更加安全。