网络犯罪趋势报告：黑客攻击新动向

重点内容

• Deep Instinct发布了2022年上半年的网络犯罪报告，指出了三个重要趋势：黑客越来越少使用文档，而开始利用LNK、HTML和归档的电子邮件附件；Windows和Linux仍然存在持续的安全漏洞，尽管已有尝试修补；攻击者对第三方进行数据外泄攻击的次数在增加。
• 由于微软默认禁用所有宏，攻击者正在寻找其他传播方式，其中LNK文件成为一个主要工具。
• 第三方组织往往缺乏安全资源，成为攻击者的攻击目标。

Deep Instinct于周一发布了其关于的报告，分析了2022年上半年的网络攻击情况，发现了三大趋势。首先，威胁行为者越来越少使用文档，而是开始利用LNK、HTML和归档的电子邮件附件作为攻击载体；其次，Windows和操作系统尽管经历了许多修复努力，但仍然存在持续安全漏洞；最后，攻击者对第三方组织的数据信息外泄攻击有所增加。

Deep Instinct的竞争情报分析师JerrodPiker指出，由于微软默认禁用了所有宏，攻击者开始聚焦其他感染受害者的方式。其中之一就是使用LNK文件，Piker解释说，LNK文件是指向其他文件、文件夹或应用程序的链接。LNK对象本身并不具恶意，因此可以成功地避开大多数端点安全和文件扫描技术的检测。

“在最近复兴的中，威胁行为者经常使用这种技术，通过一个指向Emotet有效载荷的LNK文件悄无声息地攻入组织，双击LNK文件后会自动执行。”Piker说道。他还提到，HTML文件作为攻击媒介的使用也在上升，这些HTML可能嵌入在Microsoft
OOXML文档的RELS文件中，或隐藏在被攻陷网站的网页源代码中。而电子邮件附件则仍是攻击的常见途径，在攻击的初期阶段经常被利用。

Piker强调，由于Windows桌面工作站和Linux服务器是企业和公司广泛使用的操作系统，攻击者将继续针对这些系统进行攻击。随着操作系统的不断演变，提供了更好的用户体验、几乎无限的集成能力和无数的跨平台及互联网连接功能，随之而来的漏洞数量也显著增加。

“尽管微软和开源Linux开发社区在努力修补各自操作系统中的漏洞，但这依然是一场猫鼠游戏，攻击者总是领先一步。”Piker补充道，“我们不太可能看到新的操作系统版本或功能包发行时没有漏洞。”

最后，Piker指出，与大型组织合作的许多第三方组织缺乏足够的安全资源，因此他们常常存在相对容易识别和利用的安全漏洞，供数据外泄攻击者所利用。

“被外泄的数据常常包含凭证。从过去几年的许多重大攻击中，我们看到与大型组织合作的第三方企业，如暖通空调供应商和中间件开发者，通常拥有可以访问更大合作伙伴组织系统的特权凭证。”Piker表示：“这为攻击者提供了机会，可以从下游悄无声息地渗透到大型组织中，并在被发现之前造成重大损害。”

Delinea的首席安全科学家兼顾问CISO JosephCarson指出，尽管每次Linux更新都尝试改善安全性，但安全团队必须正确启用和配置这些功能才能真正发挥价值。整体而言，尽管Linux安全状态已有积极的演变，具备更多可视化和安全功能，但安全团队仍然需要安装、配置和管理这些系统，才能有效应对网络犯罪。

“组织应重点降低风险，例如确保这些系统未公开连接到互联网，或通过使用特权访问安全等安全解决方案加强初始访问的安全性。”Carson解释道。

Digital Shadows的首席信息安全官兼战略