為何越來越多的黑客偏愛電子郵件網路釣魚攻擊

更多全球網路安全資訊盡在E安全官網www.easyaq.com

E安全4月28日訊 安全公司賽門鐵克的新研究表明，黑客如今尤其喜歡通過目標的電子郵件賬號作為進入組織機構的切入點，而漏洞利用工具的使用率也隨之大幅下降。

研究結果強調攻擊者最近在感染系統中使用的技倆發生了重大變化，過去12個月，這種變化趨勢愈加明顯。

惡意電子郵件攻擊不斷增加

賽門鐵克發布的《2017年互聯網安全威脅報告》指出，2016年，黑客通過漏洞利用工具展開的惡意活動降低了60%。

研究結果表明，攻擊者目前習慣用電子郵件作為主要的感染媒介。2016年，電子郵件中存在惡意軟體的比率大幅上升，原來220封電子郵件中存在1個惡意軟體(1／220)，現在上升到131封電子郵件中就存在1個惡意軟體（1／131）。

這種變化導致黑客依賴「靠山吃山靠水吃水」的戰術。也就是說，黑客轉向操作系統的功能，重用管理工具和雲服務來感染網路，而不是通過包含惡意軟體和0day漏洞的傳統工具包進行感染。

攻擊者為何偏愛惡意電子郵件攻擊方式？

專家指出，去年發生的幾起大規模網路攻擊事件中，黑客使用魚叉式網路釣魚電子郵件，或設下陷阱的Microsoft Word或Excel文件，以此誘騙用戶下載可提供遠程訪問的PowerShell腳本。黑客通常在垃圾郵件攻擊中使用JavaScript和Office宏下載器，是由於這些媒介易於使用，且比漏洞利用工具更難以被檢測到。

漏洞利用工具通常會利用熱門Web瀏覽軟體產品（例如Adobe Flash、Microsoft Silverlight、Java）中的安全漏洞，將有效載荷下載到受害者的電腦上。換句話講，漏洞利用工具專門針對基於Web的應用程序，企圖識別客戶端設備中的漏洞，從而上傳並執行惡意代碼。

專家稱，從經濟學的角度來看，若不需要這些漏洞利用，那麼就不值得浪費時間。而要使用最新的漏洞利用會耗費大量精力、資源和時間。

由於漏洞利用工具通常需要對後端基礎設施進行維護，與網路釣魚活動相比較，漏洞利用工具的可靠性相抵較低，且利用工作較為繁重。網路釣魚活動通常是發送包含惡意軟體附件的電子郵件，對於懶人黑客來說，「惡意種子遍地灑，總有一顆要發芽」的方式，無疑相對輕鬆許多。

0day漏洞利用的成本越來越高，更多黑客轉向釣魚攻擊

供不應求，價格上漲，漏洞價格同樣遵循這樣的經濟原理。安全公司賽門鐵克在一份研究中指出，過去三年，0day漏洞利用數量連續下降，從而推高了零日漏洞利用的價格，攻擊者不得不選擇可替代攻擊的策略。被利用的0day漏洞（這裡指的是未向廠商披露和修復的軟體漏洞）總量從2014年的4985降低到2016年的3986。

儘管如此0day漏洞的需求仍呈上升趨勢。各方都在購買安全研究人員發現的0day零洞，包括軍方、情報機構、執法機構、軟體廠商、網路犯罪分子和軍事承包商。這些買家的目的各異：一些意在修復並防禦軟體，而另一些則希望通過漏洞實施網路攻擊行動。

NSA前計算機網路利用分析師布萊克-達奇表示，由於大型廠商（包括微軟、蘋果等公司）已經在高度重視修復平台內的漏洞，0day漏洞數量因此減少，這一舉措牽連到「圈內」當前可供利用的0day漏洞價格上漲。

漏洞懸賞平台HackerOne首席技術兼聯合創始人亞力克斯-賴斯表示，常用軟體產品，例如Microsoft Windows、Adobe Flash player和Chrome瀏覽器的安全性通常更佳，能被大肆利用的可能性較小。這並不意味著這些軟體產品存在的漏洞少，而只是專家的水平在提高，而漏洞利用的成本也在上漲。

除了Google、Microsoft、Apple等大型軟體廠商取得的安全成果以外，漏洞懸賞計劃也開闢了新的合法途徑，從而將利益驅使動機轉化為負責任的披露。越來越多的研究人員通過尋找漏洞獲取報酬。因此，

例如，過去一年在HackerOne上有約2萬個0day漏洞被發現，且大多是私下披露並解決的。賽門鐵克統計的0day漏洞不包含這些漏洞，因此數量相對較少。

賴斯表示，要在2017年將漏洞利用「武器化」，比兩到三年前難得多。

漏洞懸賞平台BugCrowd的信任與安全負責人傑森-哈迪克斯表示，漏洞價格每年都在穩步上漲。價格因漏洞而異。如果是對伺服器進行遠程代碼執行的0day漏洞，或是一個未知的低信息層漏洞，那麼價格梯度相對較高。有些0day漏洞的價格高達344,880元。這只是一家漏洞懸賞平台上的價格，其它市場的價格更高。國外知名漏洞收購平台Zerodium一個0day漏洞最高報價大約為1035萬。該公司首席執行官2015年在接受採訪時表示，公司每月要向未公開披露漏洞的提交者支付約414萬。他當時預測，到2015年年底，公司每月約要支出690萬。

網路武器交易市場與漏洞懸賞等防禦市場價格懸殊較大，其原因在於：由於要滿足軍事和政府客戶的需求，0day漏洞銷售商具有特定需求。

未來黑客利用社會工程發起攻擊或呈增長趨勢

考慮到找到0day漏洞的難度加大，攻擊者越來越多地轉向社會工程等不同的策略攻擊目標。

哈利指出，這種趨勢迫使惡意黑客另尋他法，這就是他們選擇使用電子郵件網路釣魚季活動或社會工程攻擊目標的原因。如果操作系統被硬化，如果黑客無法愚弄操作系統，那麼通常會退求其次，愚弄用戶。

賴斯稱，攻擊組織機構最簡單的方式就利用Flash或Windows的漏洞。

對於許多對手而言，攻擊組織機構最簡單的方法通常是從員工和自製軟體下手，因為這些軟體的成熟水平不及知名大公司，例如Google、Microsoft或Adobe。

哈迪克斯表示，0day漏洞價格上漲是好事。他預測，隨著越來越多的企業啟動漏洞懸賞計劃，採用大型廠商採用的安全策略提高防禦水平，這種趨勢未來仍將繼續。

黑客的攻擊方式在轉變，並不意味著安全形勢好轉

賽門鐵克管理對手和威脅情報小組一名資深網路情報分析師表示，必須考慮維護漏洞利用工具的管理費用。這類工具由網路犯罪服務公司運行，而通常這些犯罪服務是網路安全研究界追蹤打擊的對象。漏洞利用工具要取得成功，黑客必須做足工作保證流量和感染率相對較高。

然而，漏洞利用工具的使用率下降並不代表互聯網上的安全措施得到改善。

2015年至2016年，以網站為中心的攻擊同比下降近30%，賽門鐵克掃描的所有網站中，約76%仍包含可利用的漏洞，這與2014年一致，僅比2015年下降2%。

賽門鐵克公司表示，雖然漏洞利用工具案例大幅減少，但這並不意味著威脅攻擊形勢有好轉，相反，黑客正採用不同的方法擴散威脅。

官網：

2017年4月