新闻链接：http://www.seehand.com/evaluating/1256.html
新闻时间：2015-12-30
新闻正文： 2015年走进尾声，而新的一年还一片未知。卡巴斯基2015年全新信息安全网站Securelist推出了年度报告，让我们一览其列出的过去一年里发生的大事。与以往选取某几件最突出的事件不同的是，这次我们以2015年作为一个整体来进行回顾。

2015年是这样的一年：

APT挥出了海盗旗

一开始为人们所知的是Carbanak，这是第一个纯粹的APT攻击，据初步估计，它导致全球银行业损失约十亿美元。

这场针对银行的攻击非常复杂。攻击者使用多种公举，包括人工侦查。钓鱼信被用于在Carberp平台上的受害者系统中安装后门程序，然后攻击者就可以寻找相关的个人电脑，进而可以达到事实上是勒索钱财的目的。ATM可以接受远程指令，无需与及其本身交互操作就可以自动吐钞，而“骡子“负责收钱。另外一种情况是，使用SWIFT网络转账到犯罪组织的账户。

这一攻击活动直至2015年底仍非常活跃，9月中又发现了一些与Carbanak有关的新版本软件。

早先的APT主要与民族独立有关，因此关注黑客领域的杂志Securelist还曾将其描写为旗舰号。然而Carbanak随后表现得平庸无奇，除了一些贪得无厌的财产犯罪什么也没留下，因此现在的它只能沦为一艘挂着黑旗的小船了。

间谍在寻找小型目标

Grabit在这一年里也引起了注意：它是第一场针对中小型企业的网络攻击。之前有人预测，攻击者将转而关注“更容易的目标”。很显然，如果每个大型公司都有一系列小型供应商，那么有可能，有些防护不得当的供应商中存在并非不可逾越的网络防御。因此，一些具有重要战略意义的数据可能被间接检索到，而这可能相比直接攻击来说更加省力。

两个APT组相互“吸血鬼式互攻”

这个精彩的故事得以公开，主要得益于Securelist。在对亚洲最活跃的APT组Naikon的研究过程中，“卡巴斯基实验室”研究人员同时发现了另一个威胁。其代码名为Hellsing（吸血鬼猎人），来自一个著名日本漫画，讲述一个雇佣（某种程度上）经过改良的吸血鬼与吸血鬼战斗的组织。

有意思的是，Hellsing攻击了Naikon。而整个事情里最有意思的是，两个APT组本身都是非常致命的威胁。

研究发现，俄语APT组Turla将其指令和控制服务器隐藏在外太空，确切的说是通讯卫星中，以此来隐藏踪迹和感染受害者。它们隐藏得很巧妙，但还不足以达到无法发现的地步。

上述两个故事如今都可以查到，有兴趣的读者值得读一读。

几年前，Stuxnet似乎是第一个真正的网络武器，像打开的潘多拉盒子一样神奇。现在很显然它已经不是第一个了。

今年二月，卡巴斯基实验室宣布开放APT方程式、大型和长期黑客间谍网络。其中一些指令服务器从1996年就开始运行，尽管大部分开始于2001年8月。

其主要武器是蠕虫病毒Fanny，首次发现于2008年；它使用与Stuenet两年后相同的零日漏洞。“卡巴斯基实验室”专家宣布，该方程式与其他如Flame和Stuxnet在内的强势工作组相互动。极有可能，方程式实际上是多种APT的“基地车”。

Windows 10问世

作为摆脱Windows XP的持续尝试，微软推出了新的操作系统，并免费想Windows 7和8.1用户发放。

7月下旬发布的Windows10引进了一系列安全措施，同时也招致一系列（相当多）的争议，尤其是关于用户数据和控制权方面。这其实不是没有必要的担心：Windows10的确需要一个深思熟虑的方案以保证用户保留对敏感数据的控制。

出于积极性（以及可能性），微软在更新的发布上采取了比以往更严格的态度。一旦发布非关键性更新，家庭版和自动版就会自动更新，并且除了驱动更新以外，这些更新均不得主动放弃。在专业版中，你可以在有限的时间内推迟更新，但你不能完全忽略它们。

另外，微软也紧急推出了庞大的补丁，修正了系统第一批用户检测到的漏洞。该补丁发布于Windows10发布的仅仅第二天，理所当然地引起了一大片反响……不过，难道没有这些补丁和更新会更好？

汽车终于被远程攻击了

    一个我们曾经非常恐惧的场景如今终于变成了残酷的现实：操控车辆的系统已经可以被黑客入侵，包括刹车、变速器、转向功能和仪表盘都能够在全国任何地方通过WIFI进行“编辑”。

    两个高手汽车黑客查理-米勒和克里斯-瓦拉谢克展示了，吉普切诺基车型的车载信息娱乐系统与主要仪表盘功能不是隔绝的，因此攻击者可以对它们获得控制。这属于最基本的错误，说明即使是历史悠久的汽车制造商，其信息保护也有可能停留在过去的水平。

大型敲诈公司和僵尸网络愈演愈烈

鉴于新的威胁层出不穷，警方与私人网络安全专家合作，不时关闭僵尸网络，并将网络骗子送进监狱。

2015年上半年，僵尸网络Simda因同时引起荷兰、美国、卢森堡、波兰以及俄罗斯的14个控制服务器的断开断流而声名大噪。对一些下载的服务器日志的初步分析显示，收到Simda僵尸网络影响的国家有190个之多。

在这次事件之前的很长一段时间，Simda很好地保持着隐蔽，对于这样一个大型僵尸网络来说它隐蔽的时间确实足够长了，简直像隐形的大象一般。

它还为其他恶意程序充当“发布平台“，这使得它更加危险了。

今年九月，两名荷兰青年因涉嫌使用CoinVault进行敲诈勒索而被捕入狱。另外一些人则是在使用这一程序的升级版BitCryptor进行敲诈勒索时被发现。所幸现在两款程序都已经停止了。

僵尸网络Dridex出现于秋天，这是一款复杂的银行恶意软件，窃取全世界在线银行的账户信息。不过，在塞浦路斯警方逮捕了正在制作这一僵尸网络的一名摩尔多瓦公民以后，它就终止了。

随着与Angler漏洞系列有关的大型敲诈公司被关闭，此类犯罪活动减少了50%。然而不幸的是，最终胜利还言之过早，因为现在又出现了新的恶意软件CryptoWall的受害者。

犯罪分子采取了一切手段以保证其恶意软件的功能性，所以完全清除Angler是行不通的。

FBI建议你支付赎金

    一名FBI官员承认，当强大的黑客勒索时间发生时，如果重要数据没有备份，他们通常会建议受害者支付赎金。

    不管这个消息多么令人困扰，这种说法其实是非常实际的：一些勒索手段目前还无法使用足够有效的算法进行破解。因此如果FBI或其他执法机构没有拦截住勒索者的下一个加密，或者没有获得他们的加密密钥，就没有办法对受到感染的文件进行解密。即使是一台超级计算机使用2014位RSA密钥CryptoWall 3也无济于事。

很多预言成真

2014年年底，Securelist曾发表报告，预测了2015年世界网络威胁的可能发展趋势。这些预测的九分之四直接与企业威胁有关，而它们中的大部分（确切的说是十分之三）已经成真。

网络犯罪分子已经采用APT战术进行有针对性的攻击：APT组分段化和多样化；针对自动提款机和支付终端的攻击愈演愈烈。唯一的失误是“针对支付系统的虚拟攻击”，而好消息是这个预测没有成真。但很不幸，大部分其他预测都一语成箴。

而“卡巴斯基实验室”表示，他们时刻准备着。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课