2018上半年臺灣惡意程式攻擊趨勢大公開，挖礦攻擊最嚴重

面對不斷演變的網路威脅環境，每年都有不少資安業者預測下一年度的威脅趨勢，提醒我們需要關注的威脅面向。時至今日，2018年早已過了一半，到底今年上半的威脅態勢如何？大家都很關注。

在今年7月，資安業者Check Point發布了2018年年中報告，說明了今年1月到6月的全球網路攻擊趨勢，主要惡意威脅有4個面向，分別是挖礦攻擊日趨嚴重，針對雲端服務的攻擊接踵而來，惡意威脅對行動裝置的危害越來越多，以及勒索病毒仍是全球資料保護的潛在風險。其中挖礦攻擊的影響，已經開始超越勒索軟體，成為首要安全威脅，是今年最大的變化。

值得注意的是，臺灣面臨的狀況稍有不同，該公司在昨日（29日）於臺舉行舉辦CPX Taiwan 2018論壇，也特別公布了臺灣惡意威脅趨勢，並指出挖礦攻擊、勒索軟體，行動惡意軟體攻擊與金融木馬攻擊，需要特別注意，因為這些威脅在臺灣的影響，都比全球平均值要高。

而從攻擊形式來看，今年上半惡意攻擊所透過的檔案類型，在臺灣是以PDF檔最高，EXE檔居次，而全球平均是以EXE檔最高，PDF檔則居於第四，從這樣的結果，我們也看出臺灣與全球所面臨的攻擊行為，明顯是有不同之處。

關於臺灣2018年上半的網路威脅狀況，近日已有資安業者Check Point，公布了目前臺灣的惡意程式攻擊趨勢，他們同時也提到攻擊來源，其中來自美國佔絕大部分，令人意外的是香港排第二。（攝影／羅正漢）

全球有40%的攻擊，都是利用出現至少7年以上的漏洞

對於今年上半的網路攻擊趨勢，Check Point亞太暨中東非洲區技術總監Gary Gardiner，提到了幾個值得觀察的現象。

最值得我們關注的是，漏洞修補問題不應一再被忽視。根據 Check Point透過全球攻擊感應器在 2018 上半年觀察到的結果，有9成9的攻擊，都是利用在2017年或更早之前出現的漏洞，更有4成以上的攻擊，是利用2012以前出現的漏洞，也就是至少已經出現7年以上。

Gary Gardiner表示，由於很多企業的程式漏洞沒有修補，而駭客找到這些漏洞有效，也就會重複使用。他並舉例，像是微軟有個漏洞在7年前就出現，他們在去年提供修補程式，但企業還是沒有做到修補的動作，這就是很大的問題。

在上述狀況之外，他們還提到一些安全問題，值得我們警惕。例如，在他們對Wannacry勒索病毒的後續調查中，發現只有5成受訪企業資訊長表示，在事件後有採取實際的預防行動。在網路釣魚方面，由於很多事件都是因此而起，而使用者在這方面的資安教育，仍然相當缺乏；對於近期資安防護的看法，他們表示，近期不少資安業者將重點放在偵測上，而不是預防，但他們認為，虛擬修補的重要性更高，尤其是在主機入侵防禦系統（IPS）方面。

另外，醫療領域常常成為攻擊目標，需要更加重視，因為一旦醫院遭到勒索攻擊，他們為了找回病人等重要資訊，支付贖金的意願高，成為駭客鎖定目標，而醫療監理主管機關對於系統要求不能修改的限制，也間接造成防護上的缺口。

臺灣今年上半影響最大的前5名惡意程式，有3個是採礦程式

今年上半臺灣的威脅現況又是如何？該公司資深安全分析師Raymond Schippers也從他們的研究報告，整理出近期臺灣面臨的網路攻擊趨勢，並與全球趨勢相互比較。以臺灣而言，在各個惡意程式當中，今年上半最活躍的前5名惡意程式，就有3個是採礦程式。

其中，CoinHive網頁挖礦程式帶來的影響最嚴重，在臺灣影響程度達34%，比起全球平均值的19%，高出許多。

這款加密貨幣挖礦程式的威脅在於，能夠在使用者造訪網頁之際，並且是未經使用者同意的情況下，挖掘門羅幣加密貨幣，並耗用該使用者電腦上的大量運算資源，進而影響電腦效能。

第二個帶來嚴重影響的是Dorkbot銀行木馬，在臺灣影響程度達20％，比全球平均的7％要高出2倍。這個在2012年被發現的已知的惡意軟體，再度捲土而來，它將能被用來執行阻斷服務攻擊或竊取密碼。

還有一個非常針對臺灣的殭屍惡意程式Virut，是我們也要特別關注的，雖然它在臺灣的影響程度，比上述惡意程式稍低，僅13%，但是這比全球平均值的2%，高出5.5倍，攻擊流量明顯聚焦在臺灣。而此惡意程式的作用，主要是被網路惡意份子用於發動DDoS攻擊，垃圾郵件分發，資料竊取與詐欺。

此外，網頁加密貨幣挖礦程式Jsecoin，以及JavaScript加密貨幣挖礦程式Cryptoloot，也分別名列第三、第四，對於臺灣的影響程度達18％與13%，同樣比全球平均都要高。

若是從攻擊來源的面向來看，以臺灣而言，最主要的攻擊來源為美國，與全球情況一致，不過令人意外的是，攻擊來源第二名是香港。

至於最普遍的惡意檔案類型，也就是網路攻擊常會以何種檔案形式來夾帶，Check Point也有進一步的統計。

以臺灣而言，第一名是PDF類型檔案，EXE檔、RTF檔與DOC檔，分別是第二至第四名。而從全球來看，EXE、DOC與PDF，則分佔第一名、第二名與第五名。相較之下，臺灣跟全球面臨的攻擊方式，是有不同之處。因此，近期臺灣企業與使用者，應該要特別留意PDF文件可能的威脅。

在惡意程式、攻擊來源、惡意檔案類型的面向之外，再從整體的惡意軟體類型趨勢來看，這裡包含臺灣今年1月到8月中的統計結果，我們可以發現挖礦攻擊是最影響最嚴重的，今年各月的影響佔比在30%～55%之間，行動裝置的攻擊次之，在20%～40%之間，再來是勒索軟體的攻擊，以及針對銀行金融產業的攻擊，兩者都在10%左右。

而且，這些惡意軟體類型對臺灣企業組織帶來的影響，也都在全球平均之上。像是挖礦攻擊在上半年最嚴重，攻擊帶來的影響維持在40％～50%之間，直到今年6月中到8月中才有降低的跡象，與全球平均相比，大約高出15%。這主要也是因為，攻擊者透過挖礦攻擊使用CPU資源，也是幫助他們獲利的方法

在行動裝置的攻擊方面，今年6月初有激增的情況，最高將近40%，今年平均也都在20%以上，約比全球平均高5％左右。值得注意的是，現在已經看到越來越多攻擊，是透過行動裝置攻擊，進而獲得使用權限，再打入企業的網路。

至於勒索軟體與銀行木馬的攻擊，在今年1月底均有激增的情況，兩者儘管居於惡意軟體類型第三與第四，但皆比全球平均高出1倍左右。

至於因應措施上，他們則是建議，要做好基本防護，像是系統漏洞修補要做好，

同時，Check Point也列出了一套清單，方便企業與使用者能夠知道，網路安全預防應做到那些事。包括最小特權原則、網路的分割（Segmentation）、安全有效性、進階威脅預防、安全意識、升級舊系統、修補和虛擬補丁，

對於還包括像是共同責任模型，這是企業將資料與技術搬移到雲端時，必須瞭解的部分，要清楚與雲端服務提供者共享的責任權責劃分，並知道此模式是如何運作。

另外，還必須要有因應與準備計畫，萬一事件發生時，將有具體的事件應變處理，並要定期執行相關安全檢查，以及掌握情資以清楚網路犯罪的活動與趨勢。

其他安全業者也發現類似現象，皆認同挖礦攻擊已取代勒索軟體成今年最大威脅

在CheckPoint之外，還有其他資安業者發布了全球上半年的網路安全報告，也讓我們看到挖礦攻擊在今年上半帶來的嚴重性，儘管沒有臺灣相關的數據，但提供了更多面向的全球網路威脅變化。

例如，今年6月發布季度威脅報告的McAfee，同樣指出今年第一季開始，網路犯罪分子已經轉向使用挖礦惡意軟體與網路釣魚活動，以此攻擊目標用戶及其帳戶。

而在他們的統計調查數據中，2018年第一季的挖礦惡意軟體總數量，要比起去年第四季增加629%，相當驚人；然而，在勒索軟體方面，他們表示，儘管今年第一季總數量還是呈現增長，但新勒索軟體數量，其實比起去年第四季大幅減少。

趨勢科技在8月28日發布的年中安全報告，也同樣指出，今年最大的威脅，就是虛擬加密貨幣挖礦。今年上半年他們偵測到的虛擬加密貨幣挖礦活動，數量較2017整年的數量成長將近一倍。顯然，網路犯罪集團今年的攻擊態勢，已經朝向暗中竊取運算資源來開採虛擬貨幣。

他們並認為，這也如同近年威脅態勢轉換速度快的情況，一旦傳統大量散布勒索程式與資料外洩攻擊，攻擊方式已經為大眾熟悉，駭客就會再次開始轉換攻擊工具、手法以提升攻擊成效。

對於攻擊轉換的情形上，除了關注網路攻擊常會以何種檔案形式來夾帶之外，趨勢科技更是指出，今年上半年無檔案型態攻擊行為出現急速增長的情形，從1月份的24,430件，到5月、6月接近4萬件，增加接近一倍的數量，值得企業關注。

而在趨勢科技Zero Day Initiative（ZDI）漏洞懸賞計畫，在今年上半發布了600多個漏洞公告當中，也有值得注意的新變化，其中Adobe、Foxit與微軟的漏洞公告數量增加，特別是Foxit漏洞的成長幅度之高，值得企業關注。他們更是指出，屬於SCADA系統漏洞，是去年同期的兩倍，這顯示網路攻擊趨勢可能開始朝向工控環境，需更加注意。

在今年6月底，提供全球CDN及多種網路應用服務發展的Akamai，也發布了從去年11月到今年4月的早期年中報告，雖然這裡的分析的攻擊面向稍有不同，但突顯了另兩項比較重要威脅，那就是殭屍網路濫用憑證，以及DDoS攻擊的威脅持續增加。

關於殭屍網路濫用憑證的威脅，又以旅遊住宿產業遭受的影響最大，研究人員發現目標主要鎖定航空、遊輪和飯店等業者網站。

而在DDoS方面，Akamai監測出今年的攻擊次數，較去年增長16%。今年上半駭客利用Memcached反射型攻擊，發動1.35 Tbps的DDoS攻擊，更是打破最大規模記錄，同時，還有DDoS出租服務網站的威脅的出現，也顯示相關攻擊產業發展趨向成熟，必須注意。

以臺灣而言，在各個惡意程式當中，今年上半最活躍的前5名惡意程式，就有3個是採礦程式，分佔第一名、第二名與第四名。（攝影／羅正漢）

在最普遍的惡意檔案類型統計中，今年上半臺灣是以PDF檔最高，EXE檔居次，而全球平均是以EXE檔最高，PDF檔則居於第五。

從這樣的結果，我們也看出臺灣與全球所面臨的攻擊行為，明顯是有不同之處。（攝影／羅正漢）

以挖礦攻擊對臺灣組織的影響來看，佔比相當高，2018上半年幾乎都在4成或5成之上，並高於全球平均值。顯然惡意挖礦是近期我們不能忽視的惡意程式攻擊。（攝影／羅正漢）

在行動裝置的攻擊對臺灣組織的影響上，臺灣同樣比全球平均值高。由於已經有越來越多攻擊，是透過行動裝置攻擊，進而獲得使用權限，再打入企業的網路，這種攻擊必須要注意。（攝影／羅正漢）

在金融木馬攻擊的狀況，臺灣在臺灣4%到15%之間。同樣高於全球的平均值。（攝影／羅正漢）

在勒索軟體攻擊的情況，全球平均在2%以上，臺灣比全球要高出2%左右。雖然比起惡意挖礦、行動裝置的攻擊與金融木馬要少，但也不可輕忽。（攝影／羅正漢）