在赛门铁克《互联网安全威胁报告》中，对2018年全球威胁活动、网络犯罪趋势和攻击者动机进行了深入剖析，提出了自己的最新见解。其中，分析数据来自全球最大的民用威胁情报网络，即赛门铁克全球情报网络。该网络覆盖全球1.23亿个攻击传感器，日均拦截威胁数量达1.42亿个，有效跟踪全球157多个国家/地区的威胁活动。

上一篇介绍了大致的威胁来源，本篇将针对威胁具体案例的分析结果进行解析，前序请见：【赛门铁克2019年互联网安全威胁报告】

本篇仍旧是从以下几个方面入手。（图片不清楚可点击查看大图）

消息传送

2018年中，48%的恶意电子邮件使用Office文件作为附件，较2017年的5%有大幅上涨。

相比而言，2018年小企业员工要比大企业员工更易受到垃圾邮件、网络钓鱼及电子邮件恶意软件等电子邮件威胁的攻击。我们还发现，自2015年以来垃圾邮件数量一直呈增长趋势，2018年55%的电子邮件归类为垃圾邮件，这个上涨趋势并没减缓的迹象。此外，电子邮件恶意软件数量变化不大，但网络钓鱼比例从2017年的1/2995降至2018年的1/3207。网络钓鱼比例在过去四年呈持续下降趋势。

我们还发现恶意电子邮件中URL的使用率有所下降，原因在于攻击者已经将恶意电子邮件附件作为主要感染载体。2017年恶意URL在电子邮件中使用比例已达到12.3%，但这一数字在2018年回落至7.8%。赛门铁克遥测数据显示，Microsoft Office用户最容易成为基于电子邮件的恶意软件的受害者，Office文件在所有恶意邮件附件中的占比从2017年的5%跃升至48%。

恶意电子邮件攻击流程

受到恶意电子邮件攻击的用户比例呈上升趋势

小企业员工受到的威胁远大于大企业员工

网络钓鱼比例大幅降低

恶意软件

2018年，Emotet继续积极扩大其势力范围，在金融木马中的占比从2017年的4%上升至16%。Emotet同时也被用来传播Qakbot，在金融木马列表中排名第7，占总检测量的1.8%。这两种威胁都能够进行自我传播，致使企业面临的挑战更加严峻。

由于攻击者更加青睐离地攻击技术，2018年恶意PowerShell脚本的使用数量暴涨1000%。常见的攻击场景则是使用Office宏调用PowerShell脚本，之后再由PowerShell脚本下载恶意负载。在被检测到的下载程序中，Office宏下载程序占 了大头，而VBS.Downloader和JS.Downloader威胁数量均在下降。

2018年，我们还拦截了6900万次挖矿劫持攻击事件，相当于2017年的四倍。然而，2018年的挖矿劫持攻击呈下降趋势，从1月到12月下降了52%。这反映出加密货币价值持续下降，尽管下滑速度相对较慢。勒索软件感染总数自2013年以来首次下降，同比下降20%以上。然而，企业的感染数量却逆势增加了12%，这意味着勒索软件仍会给企业带来诸多困扰。2018年出现的新型勒索软件家族数量减少，网络犯罪分子对勒索软件的兴趣似乎有所减退。

木马比例大幅上升

Office文件中的宏仍旧是传播恶意负载的首选

挖矿劫持攻击相较于前一年提升四倍之多

不同国家/地区勒索软件

勒索软件感染的总量在下降，但企业受到感染但比例却增加了12%，这也意味着网络犯罪分子以及安全防御但重心都在向企业安全转向。

移动设备

虽然移动恶意软件感染总数在2018年有所下降，但移动设备上的勒索软件感染数量与2017年相比却迅速增加了三分之一。美国是移动恶意软件攻击的重灾区，占总量的63%。紧随其后的分别是中国 (13%) 和德国 (10%)。

移动设备安全管理仍是企业面临的一项挑战，移动端设备感染勒索软件的比例相较于2017年增长了33%。2018年，在企业使用的每36台设备中就有1台为高风险设备。这些设备包括已破解或越狱的设备，以及很可能已被安装恶意软件的设备。

在2018年间，平均每天就能够拦截10573个恶意移动应用程序。其中，工具类（39%）、生活类（15%）和娱乐类（7%）是最常见的三类恶意程序类别。

使用侵入式广告技术的移动应用程序数量有所下降，占比从2017年的30%下降至2018年的26%。

2018年间，移动设备上的勒索软件感染数量明显增加，相较上一年上涨了约三分之一。

虽然移动端恶意软件在2018年整体的感染数量有所减少，但是到了第四季度又迎来了一波爆发。

Web攻击

2018年，分析的10个URL中就有1个是恶意链接，而在2017年，这一比例为1/16。此外，尽管漏洞攻击套件活动有所下降，但2018年端点上的总体Web攻击数量上涨了56%。12月，赛门铁克每日可在端点机器上拦截超过130万次的Web攻击。

Formjacking是2018年最大的网络安全趋势之一，平均每个月都有4800个网站感染Formjacking代码。Formjacking指的是使用恶意JavaScript代码窃取电商网站结账页面的付款表中的信用卡信息和其他信息的行为。2018年，赛门铁克在端点设备上共拦截了超过370万次Formjacking攻击。其中超过三分之一的Formjacking活动发生在2018年最后一个季度，仅该季度拦截到的Formjacking攻击就达136万次。

目标性攻击

尽管目标性攻击总体数量在去年略有下降，但最活跃团伙在过去三年中攻击的企业平均达到了55家，较2015至2017年之间的42家仍有所上升。鱼叉式网络钓鱼电子邮件仍然最受青睐，在所有已知团伙中有65%的团伙仍在使用这一攻击方式。96%的团伙发动目标性攻击是为了收集情报，这也是企业会遭受目标性攻击的最大原因所在。

随着离地策略越来越流行，攻击团伙对零日漏洞的利用有所下降，从2017年的27%降至2018年的23%。虽然破坏性恶意软件仍是一种小众途径，但其使用率却在持续增长。去年有8%的团伙使用了破坏性工具，较2017年上涨了25%。

2018年间，美国针对中、俄等国家发起的间谍控诉次数高达49次，远大于2017年的4次和5次。

在目标性攻击的统计中，96%的团伙发动攻击是为了收集情报，这也是企业频繁遭受目标性攻击的最大原因所在。

鱼叉式网络钓鱼电子邮件仍然最受青睐，在所有已知团伙中约有65%的团伙在使用这一攻击方式。

虽然破坏性恶意软件仍是一种小众的攻击方式，但其使用率却在不断增长。使用破坏性恶意软件的犯罪团队从2017年年末的6%上升至8%。

物联网

物联网 (IoT) 攻击在2017年大幅增加后，攻击数量在2018年趋于稳定，当年针对赛门铁克物联网诱捕系统的攻击平均每月达到5200次。

目前，路由器和联网摄像机是物联网攻击的主要来源，占诱捕系统所遭攻击总量的90%以上。2018年，攻击中所用的受感染摄像机比例大幅增加。联网摄像机在攻击中占比15%，较2017年的3.5%有大幅上升。攻击者也日益将Telnet视作一种攻击途径。使用Telnet发起的攻击占比从2017年的50%上升至2018年的90%以上。

臭名昭著的Mirai分布式拒绝服务（DDoS）蠕虫仍然十分活跃，在所有攻击中占比16%，是2018年第三大常见的物联网威胁。

根据统计显示，路由器和联网摄像机成为了最容易受到感染的设备，它们的感染比例分别达到了75%和15%。

地下经济

也就是俗称的暗网。近年来的数据泄漏事件不可谓不严重，因此，赛门铁克也有相应的监测。这些价格基本来自可公开访问的地下论坛和网络黑市Tor网站，其中封闭式私人论坛的价格可能会更低。

我们无法验证商品以及其价格的真实性，其中也包含虚假价格或商品的可能。

*参考来源：symantec，Karunesh91编译，转载请注明来自FreeBuf.COM