赛门铁克：表单劫持“力拔头筹”，成为2018年头号威胁

前言

近日，赛门铁克发布了2019 《互联网安全威胁报告》 ，回顾2018年的网络安全形势，表单劫持攻击已成为2018年的头号网络威胁。此外，使用LotL策略的攻击者数量大大增加，以恶意PowerShell脚本攻击为例，攻击量约增长了10倍。

报告还显示，虽然挖矿攻击量相较于2017年增加了4倍，但可以看到年底走入下降通道，契合加密货币价值的下跌而呈螺旋式下降，攻击者有转而采用其他方式从目标获利的趋势。其他值得注意的计数据包括供应链攻击增加78％，几乎一半的恶意电子邮件附件都是Office文件等。

表单劫持”力拔“2018年”头筹“

报告指出，在2018年期间，攻击者平均每月能够拿下4800多个网站，然后使用JavaScript代码注入手段窃取电子商务网站客户的借记卡和信用卡等付款信息。最引人注目的表单劫持攻击案例来自英国航空公司和Ticketmaster。除了大公司，通过门户网站接受客户付款的小型在线零售商也颇受攻击者的“青睐”，产生了大量的非法收入。

赛门铁克在2018年阻止了超过370万次表单劫持攻击，仅在去年的最后两个月就有超过100万次事件记录。表单劫持活动从去年5月开始异常激增（仅当月就有556,000次尝试），随后半年活动总体呈上升趋势。

表单劫持活动迅速增加的原因，一部分来自加密攻击发起者的转型。随着加密货币的价值进入下降通道，之前拿下网站之后植入挖矿脚本，现在转为植入恶意JavaScript，通过窃取包含借记卡和信用卡在内的付款数据来获得更高的收入。

赛门铁克在报道中写道，每张被盗的信用卡在黑市上的售价可高达45美元，如果黑客能够从每个接管的网站窃取10张信用卡信息，那么每月获得的非法收入可高达220万美元。

供应链攻击和LotL攻击同步增长

2018年期间，供应链攻击也在不管增长，增长率约为78％。”living-off-the-Land (LotL) “策略已成为攻击者最重要的行动大纲，帮助他们在进行复杂攻击时能够尽量避开人们的视线。

注：living-off-the-Land的直译是”靠山吃山，靠水吃水“，是指在恶意攻击中指的是借助系统中已存在的应用程序或 工具 完成攻击。

随着越来越多攻击者使用这个策略，恶意PowerShell脚本攻击事件增加近10倍，以尽可能避免被检测。一种很典型的攻击手段是攻击者使用包含特制宏的Microsoft Office文档，这些宏能够运行PowerShell脚本，然后在受害者的计算机上下载并启动恶意负载。

Office文件作为攻击媒介的比例迅速上升，恶意电子邮件从使用URL传递恶意软件转向包含宏下载程序的Office文件已成为主要趋势。更确切地说，恶意Office文档占恶意电子邮件附件的48％，2017年仅占5%。

去年，赛门铁克平均每月阻止115,000个恶意PowerShell脚本，但这个数量还不到恶意PowerShell使用量的百分之一。一刀切地阻止PowerShell功能会大大降低业务能力，因此这也是LotL技术已成为众多攻击者首选策略的原因。

挖矿攻击和勒索软件呈螺旋下降趋势

随着2018年下半年开始加密货币价值进入下降通道，挖矿攻击也从昨日的主要危险迅速降温。虽然赛门铁克在2018年阻止了6,900万次挖矿攻击，近4倍于2017年的数量，但是比较去年1月到12月的数据，挖矿攻击的数量减少了52%。

尽管与2017年相比，企业成为勒索软件攻击目标并且遭受的攻击次数增加了12％，但是最终的感染率有所下降，同比下降约20％。此外，根据赛门铁克的报告，检测到的新勒索软件家族大大少于2017年，这个迹象表明攻击者在未来会进一步降低对于勒索软件的使用和依赖。

整体而言，移动端的恶意软件数量呈下降趋势，不过勒索软件的感染率加速上升，相比2017年增加了30%。63%的感染设备来自美国，来自中国的有13%，第三位是德国的10%。

*参考来源： bleepingcomputer ，Freddy编译整理，转载请注明来自 FreeBuf.COM。