1、1 思科 2016 年度 安全报告 2 执行摘要 攻击者和防御者都在开发日益精尖的技术和策略。恶意攻击者 正在构建强大的后端基础设施，借以发起并支持其攻击活动。 网络犯罪分子在继续窃取数据和知识产权的同时，还在不断改 进向受害者榨取钱财，以及逃避检测的手段。 思科 2016 年度安全报告结合思科安全研究部门的研 究、见解和观点，重点说明在攻击者正在采用数量庞大且 不断翻新的工具来开展攻击这一趋势下，防御者在检测和阻 止攻击方面所面临的挑战。本报告还将介绍 Level 3 Threat Research Labs 等外部专业机构的研究，更深入地阐明当前 的威胁趋势。 我们将详细列出思科研究人员整

2、理的数据，以展示随时间推移 而发生的变化，就这些数据的意义提供见解，并说明安全专业 人员应该如何应对这些威胁。 在本报告中，我们介绍和讨论以下内容： 威胁情报 本节介绍思科研究人员所发现的网络安全领域的一些最引人注 目的趋势，以及有关 Web 攻击媒介、Web 攻击方法和漏洞的 最新信息。此外，还包括对勒索软件等不断增长的各种威胁的 更全面分析。为了对在 2015 年观察到的各种趋势做出分析， 思科安全研究部门使用了全球范围的遥感勘测数据。 行业见解 本节探讨影响企业的各种安全趋势，包括加密技术越来越多的 使用，以及由此带来的潜在安全风险。我们将分析中小企业在 保护自身网络方面存在的弱点。此外

3、，我们还将介绍针对一些 特定企业进行的研究，这些企业正在依靠过时、不受支持或寿 命已终止的软件来为自身 IT 基础设施提供支持。 安全功能基准研究 本节提供思科第二次安全功能基准研究的结果，此项研究的重 点是安全专业人员对其组织内安全状态的看法。通过将 2015 年与 2014 年的调查结果进行比较，思科发现首席安全官和安 全运营经理对其安全基础设施是否达到最新水平或能否抵御攻 击越来越不自信。但是调查也表明，企业正在加强培训和其他 安全流程，以巩固他们的网络。这次调查的结果仅在思科 2016 年度安全报告中提供。 展望 本节概述影响安全性的地缘政治格局。我们将讨论两项思科调 查的结果，其中一

4、项分析高管对网络安全的担忧，另一项重点 分析 IT 决策者们对安全风险和可信度的看法。我们还将介绍 思科在降低“检测时间”(TTD) 方面取得的最新进展，并强调 转用集成威胁防御架构抵御攻击的价值。 执行摘要 安全专业人员必须走出传统模式，重新思考防御策略。 思科 2016 年度安全报告 3 目录 执行摘要 . 2 主要发展和发现 . 4 目标明确：现代网络犯罪分子将赚钱作为首要目标 . 7 威胁情报 . 9 专题报道 .10 思科借助行业协作击败影响广泛且盈利性强的漏洞攻击包和勒 索软件活动 .10 行业合作帮助挫败互联网最大的 DDoS 僵尸网络之一 .14 浏览器感染：传播广泛并且是数据

5、泄露的一个主要原因 .16 僵尸网络命令和控制：全球概况 .17 消除 DNS 盲点：将 DNS 用于命令和控制的攻击.19 威胁情报分析 .20 Web 攻击媒介 .20 Web 攻击方法 .21 最新威胁信息 .23 垂直行业遭受恶意软件攻击的风险 .25 Web 阻止活动：地域概况 .27 行业见解 .29 加密：日益发展的趋势 - 也是防御者面临的挑战 .30 网络犯罪分子扩大在 WordPress 上的服务器活动 .33 基础设施老化：10 年累积下来的问题 .35 中小企业是否是企业安全方面薄弱的一环？ .37 思科安全功能基准研究 .41 准备工作频增表现出信心下降 .42 展望

6、.55 地缘政治角度：互联网治理格局的不确定性 .56 网络安全问题重压于高管心头 .57 可信度研究：为企业面临的风险和挑战带来一线曙光 .58 检测时间：不断缩短空档期的竞赛 .60 集成威胁防御的六个原则 .62 团结就是力量：行业协作的价值 .63 关于思科 .64 思科 2016 年度安全报告撰稿人 .65 思科合作伙伴撰稿人 .67 附录 .68 目录 思科 2016 年度安全报告 4 思科 2016 年度安全报告 威胁情报 主要发展和发现 5 主要发展和发现 通过 Level 3 Threat Research Labs 的帮助以及托管服务 提供商 Limestone Netwo

7、rks 的合作，思科确定并击败了 美国最大的 Angler 漏洞攻击包活动。该威胁活动每天针 对 90,000 名受害者发起攻击，每年为幕后的威胁发起者 带来数千万美元的收入。 SSHPsychos（93 组）是思科研究人员观察到的最大的分 布式拒绝服务 (DDoS) 僵尸网络之一，在思科与 Level 3 Threat Research Labs 的通力合作下，此僵尸网络已被显 著削弱。与前面提到的 Angler 案例研究一样，这次成功 也证明了行业协作对战胜攻击者的重要性。 恶意浏览器扩展程序可能是企业数据泄露的一个主要原 因，也是一个普遍存在的问题。在接受调查的组织中， 我们估计受到恶意

8、浏览器扩展程序影响的企业超过 85%。 在我们于 2015 年 7 月对一组机构所受影响的分析 中，Bedep、Gamarue 和 Miuref 等臭名昭著的僵尸网络 依然是僵尸网络命令与控制活动的主要代表。 通过分析各种经验证为“已知恶意”的恶意软件，思科发 现：大多数 (91.3%) 的恶意软件均使用域名服务 (DNS) 来执行攻击活动。通过对 DNS 查询进行追溯调查，思科 发现在客户网络上存在活动的“恶意”DNS 解析器。客 户并不知道员工们将这些解析器用作其 DNS 基础设施的 组成部分。 网络犯罪分子仍继续大肆利用 Adobe Flash 漏洞。但是， 软件供应商正努力通过 Fla

9、sh 技术来降低用户遭受恶意软 件攻击的风险。 通过对 2015 年的各种趋势进行观察，我们的研究人员认 为 HTTPS 加密流量已经达到一个临界点，即将成为互联 网流量的主要形式。尽管加密可帮助保护消费者，但也会 削弱安全产品的有效性，使安全业界更加难以跟踪威胁。 一些恶意软件会通过大量不同的端口发起加密通信，使得 挑战进一步加剧。 恶意攻击者开始利用已被入侵的基于流行 Web 开发平台 WordPress 创建的网站进行犯罪活动。他们可在这些网站 上封送服务器资源并逃避检测。 主要发展和发现 网络犯罪分子对后端基础设施进行了改进，以更有效且利润更高的方式 展开攻击。 思科 2016 年度安

10、全报告 6 基础设施老化不断加剧，导致组织愈加容易受到入侵。我 们分析了互联网上 115,000 个思科设备，发现在我们抽 查的设备中，有 92% 的设备正在运行存在已知漏洞的软 件。此外，这项分析所涉及的现场思科设备中，有 31% 的设备已经“终止销售”，8% 的设备“寿命已终止”。 “思科 2015 年安全功能基准研究”显示，在 2015 年， 安全高管对其安全工具和流程的信心不如 2014 年。例如 在 2015 年，59% 的组织认为他们的安全基础设施“达 到了最新水平”。而在 2014 年，持有这种看法的组织占 到 64%。但是，他们对安全越来越多的担忧也在促使他们 改善防御。 基准

11、研究表明，中小企业使用的防御方案少于大型企业。 例如，在 2015 年，48% 的中小企业表示已使用 Web 安 全方案，而在 2014 年这一比例为 59%。此外，在 2015 年，29% 的中小企业表示已使用修补和配置工具，而在 2014 年这一比例为 39%。这方面的不足会使中小企业的 企业客户面临风险，因为攻击者攻击中小企业的网络会更 容易。 从 2015 年 5 月开始，思科已经将网络中已知威胁的检测 时间 (TTD) 平均值降至大约 17 小时，不到一天。这远远 低于业界当前的 TTD 估计值，即 100 至 200 天。 主要发展和发现思科 2016 年度安全报告 7 思科 20

12、16 年度安全报告 威胁情报 目标明确： 现代网络犯罪分子将赚钱作为 首要目标 8 目标明确 以前，很多网络犯罪分子潜伏于互联网中。他们仅对企业网络 进行短暂入侵并发起漏洞攻击，以此尝试躲过检测。如今，一 些胆大妄为的网络犯罪分子已开始入侵合法的在线资源。他们 会大量消耗服务器容量，窃取数据，甚至挟持网络受害者的信 息，然后向其索取赎金。 这些攻击活动俨然已将防御者和攻击者之间的战争急剧升级。 如果攻击者可以在网络上发现更多可以利用的信息源，那么所 造成的影响将呈指数级增长。 在本报告中，思科安全研究人员重点介绍威胁发起者用于构建 稳定的基础设施，以实施更强大、更有效的攻击活动的策略。 攻击者

13、不断采用更高效的方法以提升收益，很多攻击者特别关 注利用服务器资源。 勒索软件的激增就是一个最好的例证（请参阅第 10 页）。勒 索软件为犯罪分子提供了一种直接向用户榨取更多金钱的简单 方法。通过开展攻击活动，在只有极少阻碍甚至没有任何阻碍 的情况下每天攻击数万用户，攻击者所获得的“报酬”丰厚得 让人震惊。除了开发更好的方法来牟取利益，攻击者还开始侵 占合法资源，作为发起攻击的跳板。 某些勒索软件变体的创建者以及其他漏洞攻击包的开发者正在 将流量切换至遭受过黑客攻击的 WordPress 网站，作为躲避 检测和使用服务器空间的一种方法（请参阅第 33 页）。 SSHPsychos 是思科研究人

14、员迄今为止发现的最大的僵尸网络 之一，其作案者在标准网络上运行僵尸网络，几乎没有什么干 扰，直到思科和 Level 3 Threat Research Labs 携手合作说服 运营商阻止此僵尸网络创建者的流量，一举将其击败。 目标明确： 现代网络犯罪分子将赚钱作为 首要目标 思科 2016 年度安全报告 9 威胁情报 10 思科 2016 年度安全报告 威胁情报 Angler 漏洞攻击包是市场上使用量最大而且最有效的漏洞攻 击包之一。它与多个臭名昭著的恶意广告和勒索软件攻击活动 有关，是导致勒索软件活动总体呈激增态势的一个主要因素， 我们的威胁研究人员最近几年来一直在密切监控勒索软件活 动。犯

15、罪分子使用勒索软件将用户文件加密，然后向用户索要 赎金（通常在 300 美元到 500 美元不等），再向用户提供解 密密钥。 正如思科 2015 年年中安全报告中所指出的，比特币等加 密货币和 Tor 等匿名网络使犯罪分子可以更容易进入恶意软件 市场并快速开始获得收入。恶意软件的泛滥与两大有利因素相 关：一是威胁发起者只需执行少量维护操作，二是由于用户直 接向攻击者支付加密货币，攻击者可以很快取得收入。 通过对 Angler 和相关勒索软件趋势进行研究，思科已经确定 一些漏洞攻击包操作者将大量全球代理服务器用于 Agler，而 这些服务器由 Limestone Networks 运营。这种使用

16、服务器的 手法有力地证明了我们的研究人员在近来的影子经济中持续观 察到的另一种趋势：威胁发起者混合使用合法资源和恶意资源 混合来执行攻击活动。 在这种情况下，支持 Angler 的 IP 基础设施规模不是很大。每 天处于活动状态的系统数量通常为 8 到 12 个之间。大多数系 统仅在某一天处于活动状态。图 1 显示思科在 2015 年 7 月 观察到的唯一 IP 地址的数量。 思科发现 Angler 操作者实际上在以线性方式滚动 IP 地址，以 隐藏其威胁活动，防止其牟利活动出现任何中断。 专题报道 思科借助行业协作击败影响广泛且盈利性强的漏洞攻击包和勒索软件攻击活动 威胁情报 思科在收集并分

17、析了全球范围的遥感勘测数据的基础上编制了这份报告。 我们针对已发现的威胁（如恶意软件流量）进行持续研究和分析，能够帮 助人们了解未来可能出现的犯罪行为，且有助于检测威胁。 来源：思科安全研究部门 Figure X. Angler IP Addresses by Date, July 2015 2015 年 7 月 16 IP 地址数量 介于 8-12 之间 12 8 4 311152010 图 1. 2015 年 7 月按日期划分的 Angler IP 地址的数量 分享 11 思科 2016 年度安全报告 威胁情报 如图 2 所示，Angler 从某个 IP 地址（此处为 74.63.217.

18、218） 开始。当系统攻击用户并遇到“干扰”（防御程序开始执行检 测）时，攻击者会切换至邻近的 IP 地址 (74.63.217.219)。这 种活动在单个托管服务提供商提供的 IP 空间近乎连续的地址 块中一直持续。 思科分析了这些 IP 信息，以确定其自治系统编号 (ASN) 以及 与这些 IP 地址相关的提供商。我们确定与 Angler 相关的大多 数流量来自两个合法托管服务提供商：Limestone Networks 和 Hetzner 运营的服务器（图 3）。在 7 月一个月内，他们在 总流量中所占的比例接近 75%。 思科首先联系了 Limestone Networks，结果发现此

19、提供商承 载了全球最多的 Angler。Limestone 公司欣然同意对此给予 合作。由于攻击者使用虚假的姓名和信用卡随机分批向该公司 购买价值数千美元的服务器，该公司每个月都要处理大量信用 卡退单。 74.63.217.218 Limestone Network IP 地址 2015 年 7 月 74.63.217.219 74.63.217.220 74.63.217.221 74.63.217.222 74.63.237.178 74.63.237.181 74.63.237.179 74.63.237.180 74.63.237.182 28 来源：思科安全研究部门 34567 图

20、2. 支持 Angler 的低 IP 基础设施 图 3. 2015 年 7 月按提供商划分的 Angler HTTP 请求 来源：思科安全研究部门 Figure X. Angler HTTP Requests by Provider, July 2015 提供商 A 提供商 B 提供商 C 提供商 D 提供商 E 提供商 F 提供商 G 提供商 H 提供商 I 提供商 J 提供商 K 提供商 L 10,0006000请求数 (Limestone Networks) (Hetzner) 占全部所 测量流量 的 75% 分享 12 思科 2016 年度安全报告 威胁情报 攻击者购买服务器的方式使得

21、该公司难以将欺诈活动与单个行 为人关联。例如，攻击者可能在某天购买三四台服务器，然后 第二天用不同的姓名和信用卡购买三四台服务器。这样，当防 御者发现了受入侵的服务器并且使之离线时，攻击者仍可以从 一个 IP 地址切换至下一个 IP 地址。 为了调查此活动，思科向 Level 3 Threat Research Labs 和 OpenDNS（思科旗下公司）寻求帮助。Level 3 Threat Research Labs 能够提供更全面的全球性威胁见解，让思科 能够更深入了解威胁范围及其在高峰状态下的影响范围。同 时，OpenDNS 针对与威胁相关的域活动提供了独特呈现方 式，让思科可以更全面

22、了解攻击者如何采用域遮蔽等技术。 然后，思科威胁研究人员具体调查了用户如何遇到 Angler 并 继而感染恶意负载。研究人员观察发现到一些流行网站通过恶 意广告将用户重定向至 Angler 漏洞攻击包。这些虚假广告被 投放到数百个主要的新闻、房地产和流行文化网站上。这些类 型的网站在安全业界通常被视为“已知可信”网站。 此外，思科威胁研究人员还发现无数看似毫无关系的小网站也 在执行同类重定向操作，包括美国某家乡村报纸上刊发的某个 人的讣告，也被嵌入重定向链接。后面这一策略很可能是针对 老年人而设计的。老年人这一群体通常更可能使用 Microsoft Internet Explorer 等默认网

23、络浏览器，而且他们了解需要定期 修补 Adobe Flash 漏洞的可能性更小。 这种 Angler 活动的另一个显著特点是其唯一引用站点数量之 大及其使用频率之低（图 4）。我们发现了超过 15,000 个唯 一站点将用户推送至 Angler 漏洞攻击包，其中 99.8% 的站点 使用频率低于 10 次。因此，大多数引用站点仅在很短时间内 处于活动状态，然后在对若干用户发起针对性攻击之后就被删 除。在我们 2015 年 7 月的分析中，我们注意到其活动高峰与 各种 Hacking Team 零日漏洞（CVE-2015-5119、 CVE-2015-5122）同步。1 思科确定通过这种特殊操作

24、传输的 Angler 负载中大约 60% 都是 在传输某种类型的勒索软件变体（大多数是 Cryptowall 3.0）。 其他类型的负载包括 Bedep，这是安装点击欺诈攻击活动恶意 软件常用的一种恶意软件下载程序。（请参阅“浏览器感染： 传播广泛并且是数据泄露的一个主要原因”第 16 页。) 这两 种类型的恶意软件都旨在帮助攻击者从受攻击的用户身上非常 快速、轻松甚至毫不费力地获取大量收入。 图 4. 2015 年 7 月按日期划分的唯一引用站点 2015 年 7 月 31115 来源：思科安全研究部门 Figure X. Unique Referers by Day, July 2015

25、驱动流量攻击服务器的唯一站点的数量 活动高峰与零日漏洞攻击同步 0 “Adobe 修复 Hacking Team 的 Flash 播放器零日攻击”，作者：Eduard Kovacs，SecurityWeek，2015 年 7 月 8 日 。 13 思科 2016 年度安全报告 威胁情报 根据思科的研究，在这一特定攻击活动中承担约一半 Angler 漏洞攻击包活动的主要攻击者，平均每天攻击多达 90,000 名 受害者。以此估算，此攻击活动使攻击者每年可获得 3,000 万 美元以上的收入。 据推测，在 Hetzner 之外的网络也会达到类似的成功率。 这意味着在思科执行观察分析这一时段，威胁发

26、起者利用 Limestone Networks 和 Hetzner 服务器发起了约一半的全球 Angler 攻击活动。思科研究人员估计此项攻击操作每年能够产 生 6,000 万美元的总收入。 Angler 收入 X 90K 每台服务器 每天受到的 目标攻击数 10 % 遭受漏洞攻击 62 % 交付勒索软件 2.9 % 支付赎金 300 美元 9515 个用户每月支付赎金 平均赎金金额 147 每月重定向 服务器数 3400 万美元 每个攻击活动勒索软件 获得的总年收入 40 % 受到入侵 = 来源：思科安全研究部门 targets per day 90K of Angler infection

27、s delivered ransomware 62% unique IP addresses were served exploits in a single day 分享 14 思科 2016 年度安全报告 威胁情报 思科同时发现用户连接的服务器实际上并没有承载任何恶意 Angler 活动。它们只是充当管道。用户会进入重定向链并提交 登陆页面的 GET 请求，这样就会登录到代理服务器。代理服 务器会将流量路由至某个不同国家/地区或不同提供商的漏洞 攻击服务器。在我们的研究中，我们发现一个漏洞攻击服务器 会与多个代理服务器关联。（请参见图 5。） 思科已明确有一个状态服务器在处理运行状况监控等

28、任务。状 态服务器监控的每个代理服务器都有一对唯一 URL。如果路径 受到查询，状态服务器会返回 HTTP 状态代码“204”消息。 攻击者可以唯一标识每个代理服务器，并确保其不仅在运行， 而且未受到防御者干预。利用另一个 URL，攻击者可以从代理 服务器收集日志并确定其网络运行效率。 行业协作是思科能够调查 Angler 漏洞攻击包活动的一个关键 要素。思科通过合作最终停止了重定向至美国某个运营商的 Angler 代理服务器，并且让人们开始注意这个每天都在影响数 千用户的高度复杂的网络犯罪活动。 思科与 Limestone Networks 紧密合作，在新服务器上线时进 行识别，然后进行密切

29、监控，确保记录下这些服务器。不久， 攻击者就远离了 Limestone Networks，随后全球 Angler 活动 也有所减少。 行业合作帮助挫败互联网最大的 DDoS 僵 尸网络之一 集成威胁防御技术通常可以在大规模攻击影响企业网络之前予 以制止。但是，在很多情况下，击溃一次潜在的大规模攻击不 仅需要技术防御，而且需要运营商、安全供应商和行业团体之 间相互合作。 随着犯罪分子越来越注重以牟利为目的开展活动，技术行业需 要通过更好的合作来消灭犯罪攻击活动。SSHPsychos（又称 为 93 组）是思科安全研究人员曾观察到的最大 DDoS 僵尸网 络之一，经过思科与 Level 3 Thr

30、eat Research Labs 的合作， 这一僵尸网络已经被显著削弱。 图 5. Angler 后端基础设施 用户状态服务器代理服务器 漏洞攻击服务器 请求页面 转至代理 服务器 代理服务器从漏洞攻击服务器 （端口 81）获得数据 漏洞攻击服务器向状态服务器 发送 HTTP 请求 日志数据汇 总被推送至 主服务器 状态服务器跟踪 HTTP 请求/状态 来源：思科安全研究部门 主服务器 有关思科如何阻断 Angler 漏洞攻击包所产生的大量 国际性收入流的更多信息，请参阅思科安全博客文 章“威胁聚焦：思科 Talos 挫败大规模国际漏洞攻击 包仅仅利用勒索软件每年产生 6,000 万美元收入

31、”。 分享 15 思科 2016 年度安全报告 威胁情报 独特的威胁 出于一些原因，SSHPsychos DDoS 网络可被视为一种独特的 威胁。因为它可以利用互联网上分布的数万台设备，所以能够 发起无法按设备逐一解决的分布式拒绝服务 (DDoS) 攻击。在 这种情况下，攻击者就开始利用涉及安全外壳 (SSH) 流量的暴 力破解攻击创建僵尸网络（图 6）。SSH 协议用于允许安全通 信，通常用于系统远程管理。根据思科和 Level 3 的分析，有 时候，SSHPsychos 占到了全球所有互联网 SSH 流量的 35% 以上（图 7）。 SSHPsychos 可在中国和美国两个国家运行。这种暴

32、力破解登 录尝试使用 300,000 个密码，源自位于中国的某个托管服务 提供商。当攻击者能够通过正确猜测的根密码登录时，暴力破 解攻击就停止了。24 小时后，攻击者会从一个美国 IP 地址登 录并在受影响设备上安装 DDoS Rootkit。这显然是减少引起 网络管理员怀疑的一种策略。僵尸网络的目标不断变化，但是 在很多情况下都是大型互联网服务提供商 (ISP)。 扫描仪完成成功登录 恶意软件主机 SSH 暴力破解攻击尝试 （30 万个唯一密码） 目标网络 来源：思科安全研究部门 图 6. SSHPsychos 使用暴力破解攻击 图 7. SSHPsychos 在高峰期间占全球互联网流量的

33、35% 50K 100K 150K 暴力破解攻击尝试数 2 月3 月4 月 SSHPsychos 103.41.125.0/23SSHPsychos 43.255.190.0/23SSHPsychos 103.41.124.0/23 来源：思科安全研究部门 分享 16 思科 2016 年度安全报告 威胁情报 与安全专家协作 由于 DDoS 网络规模很大，我们的研究人员认为其造成的损失 将难以控制。我们必须与能够有效地从互联网上消除暴力破解 团体的组织合作。但是，主干网运营商都对过滤客户的内容犹 豫不决。 思科于是联系了 Level 3 Threat Research Labs。Level 3

34、分 析了被认为存在 SSHPsychos 的网段或 IP 地址范围的流量 (103.41.124.0/23)。经过确认，发现往返于该地址的流量都 是非法流量。他们在自己的网络中将这些网络流量进行空路 由。然后，他们联系了相关域的运营商，要求他们删除这些网 络流量。 这项工作的效果立竿见影（图 8）。原网络几乎没再出现任何 新活动。然而，在网 43.255.190.0/23 上的一个新网络出现 了大量 SSH 暴力破解攻击流量。其行为与 SSHPsychos 的相 关行为相同。在突然再度出现这种类似 SSHPsychos 的流量 之后，思科和 Level 3 决定对 103.41.124.0/2

35、3 以及新网段 43.255.190.0/23 采取行动。 消除 SSHPsychos 使用的网段并未永久地禁止 DDoS 网络， 但是明显削弱了其创建者执行其运营活动的能力，至少暂时阻 止了 SSHPsychos 传播至其他新设备。 因为网络犯罪分子会构建大型攻击网络，安全行业在面临 SSHPsychos 之类的威胁时必须探索各种协作方式。当网络犯 罪分子在旨在仅承载合法流量的网络上发起漏洞攻击时，顶级 域提供商、ISP、托管服务提供商、DNS 解析运营商和安全供 应商再也不能袖手旁观。换句话说，当犯罪分子开始明目张胆 地传输恶意流量时，整个行业都必须清除连接这些合法网络的 恶意通道。 浏览

36、器感染：传播广泛并且是数据泄露的 一个主要原因 安全团队通常将浏览器插件视为严重性较低的一种威胁。然 而，他们应该更加注重监控这些插件，以便可以尽快确定这些 类型的感染并进行补救。 这个问题之所以如此紧迫，是因为我们的研究发现，浏览器感 染的传播速度远远超出很多组织的想象。从 2015 年 1 月至 10 月，我们检查了 26 个系列的恶意浏览器插件（图 9）。纵 观这几个月浏览器感染的模式，其感染数量似乎总体上呈下降 趋势。 0 180K 暴力破解攻击尝试数思科与 Level 3 合作 120K 60K 6 月7 月 来源：思科安全研究部门 图 8. SSHPsychos 流量在干预之后显著

37、下降 要了解关于思科和 Level 3 Threat Research Labs 应对 SSHPsychos 威胁的更多信息，请阅读思科安 全博客文章“威胁聚焦：SSHPsychos”。 图 9. 2015 年 1 月到 10 月的浏览器感染情况 1 月 0.5% 百分比 0.3% 0 浏览器感染检测 7 月4 月 2015 年 10 月 来源：思科安全研究部门 40% 17 思科 2016 年度安全报告 威胁情报 但是，该模式只是表面现象。这几个月来 HTTPS 流量不断增 加，由于加密导致无法查看 URL 信息，使得我们难以确定通 常与我们所跟踪的 26 个系列的浏览器相关的威胁指标。 （

38、有关加密及其给防御者带来的挑战的更多信息，请参阅“加 密：日益发展的趋势 - 也是防御者面临的挑战”第 30 页。） 恶意浏览器扩展程序会盗取信息，而且会成为数据泄露的主要 原因。每当用户使用被入侵的浏览器打开一个新网页时，恶意 浏览器扩展程序都会收集数据。它们不仅会窃取用户访问的每 个内部或外部网页的基本详细信息，而且还会收集 URL 中嵌 入的高度敏感的信息。这些敏感信息可能包括用户凭证、客户 数据和关于组织内部 API 和基础设施的详细信息。 多功能恶意浏览器扩展程序通过软件捆绑包或广告软件传输。 它们被设计为通过多种方式攻击用户，牟取暴利。在一个感染 的浏览器上，恶意浏览器扩展程序会导

39、致用户点击陈列式广告 或弹窗等恶意广告。它们还可以通过引诱用户点击已感染链接 或下载在恶意广告中遇到的已感染文件，传播恶意软件。它们 可以劫持用户的浏览器请求，然后将恶意网页注入搜索引擎结 果页面。 在我们抽查的 45 家公司中，我们发现在我们执行观察的每 个月中，超过 85% 的组织都受到了恶意浏览器扩展程序的影 响，这项发现突显了这些恶意活动的规模之大。由于受感染的 浏览器通常会被视为相对较小的威胁，因此会持续数天甚至更 长时间在未被检出或未予解决的情况下继续运行，从而为攻击 者提供了更多的时间和机会来执行其攻击活动（请参阅“检测 时间：不断缩短空档期的竞赛”第 60 页）。 因此，我们建

40、议安全团队应花时间利用更多资源来监控此风险， 以及考虑日益增多的自动化功能，以帮助确定威胁优先级。 僵尸网络命令和控制：全球概况 僵尸网络是感染了恶意软件的计算机网络。攻击者可以将这些 计算机作为一个整体进行控制并命令他们执行特定任务，例如 发送垃圾邮件或发起 DDoS 攻击。这些年来，其规模和数量 都一直在增长。要更好地从全球范围了解当前的威胁格局，从 2015 年 4 月至 10 月，我们分析了 121 家公司的网络，寻找 八大常见僵尸网络的踪迹。我们将数据归一化，以提供僵尸网 络活动的总体概况信息（图 10）。 我们发现在此期间，Gamarue（一种模块化、多功能信息窃取 恶意软件，已经

41、横行多年）是最常见的命令和控制威胁。 僵尸网络活动量 400 0 4 月5 月6 月7 月8 月9 月10 月 2015 年 Miuref 其他 Gamarue Vawtrak Bedep Cryptowall 来源：思科安全研究部门 图 10. 各项威胁的增长（感染用户的比例） 18 思科 2016 年度安全报告 威胁情报 7 月份我们发现与勒索软件 Cryptowall 3.0 相关的感染数量 出现显著高峰。这主要是 Angler 漏洞攻击包导致的，已知 其会投放 Cryptowall 负载。据思科 2015 年年中安全报 告所报告，Angler 和其他漏洞攻击包的创建者都很快利 用了 A

42、dobe Flash 的“修补缺口”，即 Adobe 发行更新的 时间与用户实际进行升级的时间之间的间隔。 思科威胁研 究人员认为 2015 年 7 月出现的威胁高峰是 Flash 零日漏洞 CVE-2015-5119 导致的，此漏洞是 Hacking Team 泄露的 一部分。 Angler 漏洞攻击包还传输 Bedep 特洛伊木马，用以执行点击 欺诈攻击活动。7 月该威胁的爆发量也略有上升（图 11）。 Bedep、Gamarue 和 Miuref（可执行点击欺诈的另一特洛伊 木马和浏览器劫持程序）占我们所分析的用户群所遭受的僵尸 网络命令和控制活动的 65% 以上。 Bedep 感染的比

43、例在我们分析的时间段内保持相对稳定。然 而，我们发现 Miuref 感染看似有所减少。我们认为其原因是 HTTPS 流量增加，帮助隐藏了 Miuref 的感染指标。 图 12 显示引起我们监控期间大多数感染的僵尸网络的类型。 Gamarue 和 Sality 等多功能僵尸网络是罪魁祸首，其次是点 击欺诈僵尸网络。第三个是银行木马，监控表明此类威胁虽然 由来已久，但是仍然很广泛。 僵尸网络感染 数量比较 200 0 100 由于零日漏洞攻击而达到峰值 4 月5 月6 月7 月8 月9 月10 月 2015 年 MiurefGamarue Vawtrak Bedep Cryptowall 来源：思科安全研究部门 图 11. 根据感染用户数量的每月威胁覆盖率 4 月5 月6 月 0 100 7 月8 月9 月10 月 2015 年 点击欺诈僵尸网络 勒索软件 多功能僵尸网络 银行木马 来源：思科安全研究部门 占僵尸网络类型的百分比 图 12. 根据威胁类别的每月威胁覆盖率 思科 2015 年年中安全报告： 。 “Adobe 修复 Hacking Team 的 Flash 播放器零日攻击”，作者：Eduard Kovacs，SecurityWeek，2015 年 7 月 8 日： 。 分享 19