黑客的最新攻击趋势

对于攻击者来说，惯于使用病毒等恶意程序对系统和网络进行攻击。随着技术的发展，攻击者明显提高了恶意软件的复杂性。例如曾经引起全球巨大安全问题的某勒索软件，采用加密蠕虫技术技术可以更加轻松地进行大范围攻击操作，其特点不仅仅是勒索钱财，而是删除系统和数据，给用户造成很大的损失。

例如WannaCrypt勒索软件会通过钓鱼网站或垃圾邮件，利用社会工程学技术将恶意的URL/PDF/HTA的数据发送给用户，用户点击该URL或打开附件后，就会下载并释放该蠕虫。当WannaCrypt运行后，即开始执行后续攻击行为，其特点是释放加密模块，对本地文件进行加密并进行勒索。之后该蠕虫会扫描局域网中的IP地址，利用SMB等系统漏洞，通过自我复制来攻击其他主机。此外，其还会生成随机的互联网IP地址，对Internet上随机主机进行攻击。可以看出该恶意软件将钓鱼、垃圾邮件、加密勒索和蠕虫等特点结合在了一起，使其拥有更加危险的功能。

识破黑客逃避伎俩

攻击者会通过各种方法让恶意程序避开用户追踪。例如有些木马会利用各种沙盒逃避技术（例如只有在文件关闭时才会触发等），让沙盒检测软件对其视而不见。此外大量的使用加密技术，可以让黑客更好的隐藏命令和控制指令。攻击者还会采用合法的Internet服务的C2渠道来加密恶意流量。例如对于新型木马来说，会自动定时到GitHub端下载更新程序来强化该木马的功能，同时将盗取的数据发送到GitHub云端中。

因为GitHub、Dropbox等均是合法的Internet服务，并提供了加密传输功能，所以黑客可以借此混迹其中来逃避追捕。当然，黑客也可能使用MITM插入技术，在正常访问因特网服务流量中插入非法指令来避开防火墙等设备的监控。

因 此， 将 合 法 的Internet服务变成发起恶意攻击工具，是黑客技术发展的一大趋势。对于很多企业来说，会依赖和使用云服务、物联网和公共网络。这些网络网络存在很多漏洞，很容易遭到黑客的攻击。例如，黑客利用黑客可以籍此建立僵尸网络，来发起更大范围的DDoS攻击。

强化安全防御手段

对于上述攻击行为来说，必须采取对应的手段加以防御。例如，通过实施可扩展的一线防御工具来保护网络安全。因为很多企业都使用基于云的网络技术，所以可以利用云安全平台，针对云端操作进行管控和认证，限制内部用户对企业公有云上的资源的访问。通过防火墙等设备对网络进行分段来降低安全风险，针对应用程序，系统和网络设备进行漏洞的修复，防止恶意入侵。

传统的基于静态或动态特征码技术已经无法防御新一代的病毒攻击，所以采用下一代终端进程管控工具，可以通过对特征和行为进行多重分析，包括使用人工智能机器学习等手段来发现和识别可疑程序。对于很多安全厂商来说，在不断提高安全产品性能的同时，也在不断深入了解最新的黑客技术，针对新型的入侵方式，利用AI和机器学习等方法对其进行深入分析，掌握最新的安全动态，来精准的获取威胁情况信息。

因此，对于安全人员来说，及时访问和了解这些威胁情报数据，熟悉其运作流程，就可以更加有效的监控相关的安全事件。

对出现的安全问题及时加以审核并有效加以解决，对重要的数据进行备份可以有效应对勒索病毒的侵袭，对安全技术实施第三方的测试审查来降低供应链攻击风险，对微服务/云服务/应用管理系统进行扫描，对安全系统进行不间断审核。因为恶意软件可能将数据封装在加密流量中，企业内部不法员工会使用云端来窃取机密信息，因此安全人员需要使用相关工具来及时检测这些利用加密技术进行的破坏活动。

恶意软件的新特点

恶意软件变得更加复杂，其类型和数量不断膨胀，面对处于混乱状态的安全形势，对于安全防御提出了新的挑战。对于将恶意程序和蠕虫技术集成于一身的勒索病毒来说，可以让黑客发起新型的自传播式的攻击行为。传统的恶意软件一般是通过常规下载，垃圾邮件或U盘介质等方法进行传输，用户防御起来也比较简单。

但是现在的攻击者采用的传播手段更加复杂，例如黑客可以在某些软件的更新包中内嵌恶意代码，让用户在进行正常升级过程中中招。黑客甚至可以直接修改某些系统的更新源文件，将其指向黑客精心设置的恶意更新源。对于Linux来说，在安装软件时用户经常会使用“Yum”或“Apt-get”等指令，在实际操作时可能会出现打错字符的情况，黑客会总结用户经常手误的指令名称，在更新源上设置对应的下载包，利用用户误操作来自动下载恶意程序。

沙盒技术可以有效识别恶意软件,但越来越多的恶意软件通过使用文档关闭触发技术来规避沙盒的检测。此外，黑客还会通过伪装存在恶意负载的文件来避开沙盒的检测。例如攻击者会将存问题的Word文件内嵌到PDF文档中，沙盒虽然可以对PDF进行检测，但是对于内嵌的Word文件却不能进行有效分析。因此，使用包含内容感知功能的沙盒软件，可以让利用这些恶意策略的不法文件漏出马脚。

对于正规厂商的商业软件来说，出现安全问题，会及时发布补丁包进行修复。但对于开源软件来说，即使出现安全漏洞，安全更新发布的也会很缓慢。而且开源软件经常大量使用第三方的控件，这大大增加了安全风险的发生率。对于黑客来说，可以在其中任何一个环节（例如更新源、补丁包、第三方控件等）进行恶意破坏，就会让恶意程序大行其道。对于修改更新源，篡改更新包等基于供应链的攻击方式，其危害性很大，但是却经常被用户所忽视。

对于安全人员来说，应保证使用的软件和硬件来自安全可靠的组织和企业。用户在使用更新源和更新包之前需要对其进行检测，来发现其中是否存在恶意代码，否则这种基于供应链的攻击形式会让用户防不胜防。对于勒索软件来说，其目标不仅仅是普通用户，还包括开发及运行平台，因为现在的开发者往往基于云端操作，大量的数据（包括邮件、网站、财务系统、办公系统、数据库等）保存在云中，很多开发及运行平台在为外界服务，黑客可以针对这些云端数据进行攻击加密和勒索。所以需要采取诸如及时修复和更新开发运行技术，积极扫描漏洞，实现更加严格的安全部署方案，对公共基础设备加以关注等。

警惕加密流量中“浊流”

据统计，现在网上50%的流量均处于加密状态，这给黑客进行隐藏命令与控制行为带了极大的便利。据分析，现在的恶意软件大约70%都经过了加密处理，这样就可以逃避安全监测。

更危险的是，如果相关安全公司的私钥和证书被黑客窃取的话，其危害性将更大。面对这种复杂的安全局势，比较好的应对策略是使用人工智能和机器学习来识别海量加密流量中恶意攻击活动的异常模式。

使用之前的静态签名和动态签名技术，只能实现手工定义，没有泛化或者泛化能力有限，无法可靠阻止大多数网络攻击。利用机器学习，可以执行行为签名处理，即分析软件的异常行为，能够基于恶意软件的的相似性进行泛化。通过对大量正常流量的学习来检测恶意流量的特征，并基于常见可疑行为进行泛化来捕获可疑流量的通用特征。对可疑软件的异常行为进行分析和泛化，可有效发现各种危险漏洞。

对Web攻击的识别和防护

Web攻击是黑客最常用的活动方式之一。Web攻击主要针对服务器和客户进行，对于服务器端来说，因为很多协议实际上没有标准化，加之为了实现各种功能，会在服务软件中添加各种模块，就会出现许多潜在的漏洞。客户端往往缺乏必要的安全意识，易遭黑客攻击。

对于Web攻击来说，主要针对的是微软IE浏览器。不管威胁形式如何变化，恶意和垃圾邮件堪称黑客发布恶意程序的主要工具。

社会工程学是黑客常用的手法之一，其威胁是不可忽视的。很多黑客技术会随着时代发展而消失，但社会工程学只能越来越得到黑客的重视。和传统的钓鱼模式不同，现在黑客组织经常使用鱼叉式钓鱼模式，即对目标对象进行精准的分析，了解其特点和爱好，通过精心设计的情节，对目标进行钓鱼操作，其成功率往往很高。

网络钓鱼显著特点是使用的域名数量较少，但是使用的网址数量却很庞大。即通过隐私服务注册域名来隐藏域名注册信息，这对实际的追踪带来了不便。黑客可能使用短网址技术来伪装非法的网址，让用户难以识别。对于安全防御来说，重点关注的应该是对移动设备的保护，对公共云中数据的保护，以及对用户行为的保护等。

对云服务进行安全保护

现在很多应用和数据都迁移到了云端，让传统安全技术难以对不断扩展的云服务和物联网环境进行安全管控。因为这些云服务是合法的，不可能被全部阻止，和云服务相关的数据均进行了加密处理，造成难以检测的情况。这些云服务的归属变得复杂化，攻击者无需注册域名。

为了应对这些威胁，比较有效的方法是对威胁信息进行情报分析，了解相关恶意流量的特点，熟悉其渗透的方式，之后有针对性的进行APT的防御措施，包括事件关联、沙箱检测、终端和网关威胁防御等。通过对恶意软件的行为和控制的安全检测，来抵御潜在的风险。

攻击者可能会申请很多域名，但是IP地址资源却比较有限，因此黑客可以大量重复的使用不同域名，但是其只能重复使用少量的IP地址，而IP地址可以供多个域名使用的。因此只要对这些IP地址进行封堵，就可以有效防御其攻击。

例如在云端可以针对该特点进行收集情报，进行大数据分析之类的工作。黑客除了使用公共云服务来传播木马等恶意软件外，企业内部人员往往会将各种数据存放在云端，虽然这方便了用户的使用，不过也带来了不可忽视的安全问题。

例如，云服务提供商无法完全保证数据的安全性，无法实现诸如基于活动目录之类的认证机制，这就会造成企业的敏感数据存在被窃取、毁坏或泄露的情况。随着越来越多的基础设施迁移到云中，使用云访问访问安全代理安全代理技术可以为云环境增加更好的安全性。这样，企业内部用户必须借助于该代理进行认证及权限控制和记录等操作，之后通过该代理才可以访问云端数据。如果数据丢失的话，还可以进行恢复。

警惕黑客侵袭物联网

对于物联网来说，其中的很多设备（例如网络摄像头、打印机、智能音箱等）处于不间断运行状态，基本上不会进行升级，因此存在在很多的漏洞和弱密码。黑客利用这些物联网设备可以构建起僵尸网络，发起DDoS攻击。DDoS攻击分为基于应用和网络的攻击，前者为主要攻击形式。现在的DDoS攻击具有短期突发，攻击频繁且复杂等特点。

因为有些网站（包括云服务提供商）对于可用性和延时性非常敏感，对于上述DDoS攻击无法应对。此外，黑客利用反射放大攻击（包括DNS放大反射、NTP反射和SSDP反射等），可以有效的隐藏攻击者。此类攻击往往依靠UDP协议进行，只要是UDP服务，几乎都可能被用来实现DDoS攻击。该类攻击必须依靠地址欺骗技术，有些网络（例如教育网）对地址欺骗防护比较差，这给黑客造成很大的便利。

在攻击者的眼中，除了常规的攻击目标外，一些基础设施单位（例如发电厂等），因为工控系统漏洞等问题，使其也处于黑客的攻击范围内。在这些工控网络中同样存在严重的安全问题，其内部很多设备极易遭到攻击。为提高安全性，必须将这些网络隔离开来，并实行严格管控，包括及时更新系统和应用补丁更新，控制移动存储设备的使用，禁止使用弱密码，及时备份重要数据等。

防范泄露路径问题

在很多企业内部可能存在泄露路径的问题。所谓泄露路径，指的是在企业内存在某些未知的设备，并且由此发生了一些不正常的在允许策略之外的通讯，出现了管理员并不知道的网络流量。

当然，如果路由器或交换机配置不当，也会产生泄露路径问题。如果这些流量被发送到Internet上，就很可能被黑客窃取。

为了修复泄露路径，管理员必须充分知晓企业中存在哪些设备，洞悉网络流量的走向。将位置的设备以及不正常的流量找出来，这样就可以封堵这些泄露路径。

如今一些下一代防火墙就提供了安全可视化技术，让管理员可以深入了解全网情况，以便于其快速发现泄露路径。

随着网络安全的发展，诸如移动安全性、加密和隐私保护、防火墙管理、终端保护、多因素身份验证、终端设备调查分析、云访问安全代理、Web应用防火墙、入侵防御等安全管控技术在对抗黑客入侵方面也正在发挥着越来越大的作用。

修复安全漏洞 封堵入侵通道

黑客之所以可以猖狂的发起攻击，在很大程度上依靠的是各种安全漏洞。因此，及时有效的修复漏洞是极为必要的。

例如对于WannaCry勒索病毒来说，从漏洞的披露到大面积爆发，存在很长的时间，但是因为修复不及时，依然让其造成了大面积的破坏。对于某些漏洞（例如请求TCP时间戳请求、弱HTTPS缓存策略等）来说，其严重性较低，但风险较高，不容易引起用户的重视，往往长期不对其进行修复。

当然，对于有些漏洞来说，想在30天之内进行修复其实是比较困难的。例如对于Apache Struts缓冲区溢出漏洞，是普遍存在的安全漏洞，这很容易导致用户数据被窃取。对于Java Web框架来说，几乎每年都会出现漏洞等。此外，对于缓冲区错误、输入验证、权限和访问控制、信息泄露、密码问题、OS命令注入、连接跟随等方面，往往存在容易被黑客利用的漏洞。尤其对于一些开源软件来说，漏洞不仅存在而且难以及时修补。即使存在相应补丁包，也很难在不影响业务的情况下快速修复漏洞。在发现漏洞和修补完成之间存在巨大的时间差，黑客完全可以利用从容的对目标发起攻击。

最新研究证实，除了常见的系统和程序漏洞外，在物联网和第三方软件库中存在数量众多的安全漏洞。因此，加强对于第三方软件库的安全管控，及时打上补丁，确认第三方软件的安全性，对于网络安全意义重大。

在执行更新过程中，要尽可能通过加密通道进行，而且需要确保软件经过了数字签名处理。值得警惕的是，在处理器硬件层面也存在某些安全漏洞例，例如Meltdown（熔毁）和Spectre（幽灵）等漏洞，让攻击者甚至可以读取处理器内部的数据。当然，这需要在特定的情况下使用特定的攻击工具，黑客才可以得手。但是，重视和关注此类漏洞，对于网络安全是不可忽视的。例如，安全人员应及时清查各种控制设备，记录其使用配置信息等。