2018上半年台湾恶意程式攻击趋势大公开，挖矿攻击最严重

面对不断演变的网络威胁环境，每年都有不少资安业者预测下一年度的威胁趋势，提醒我们需要关注的威胁面向。时至今日，2018年已经过了一半，到底今年上半的威胁态势如何？大家都很关注。

在今年7月，资安业者CheckPoint发布了2018年年中报告，说明了今年1月到6月的全球网络攻击趋势，主要恶意威胁有4大重点，分别是挖矿攻击日趋严重，针对云端服务的攻击接踵而来，恶意威胁对行动装置的危害越来越多，以及勒索病毒仍是全球资料保护的潜在风险。其中挖矿攻击的影响，已经开始超越勒索软件。

值得注意的是，台湾面临的状况稍有不同，该公司在昨日（29日）于台举行举办的CPX Taiwan 2018论坛，也特别公布了台湾恶意威胁趋势，并指出挖矿攻击、勒索软件，行动恶意软件攻击与金融木马攻击，需要特别注意，因为这些威胁在台湾的影响，都比全球平均值要高。

而从攻击形式来看，今年上半恶意攻击所透过的档案类型，在台湾是以PDF档最高，EXE档居次，而全球平均是以EXE档最高，PDF档则居于第四，从这样的结果，我们也看出台湾与全球所面临的攻击行为，明显是有不同之处。

关于台湾2018年上半的网络威胁状况，近日已有资安业者CheckPoint，公布了目前台湾的恶意程式攻击趋势，他们同时也提到攻击来源，其中来自美国占绝大部分，令人意外的是香港排第二。（摄影／罗正汉）

全球有40%的攻击，都是利用出现至少7年以上的漏洞

对于今年上半的网络攻击趋势，CheckPoint亚太暨中东非洲区技术总监Gary Gardiner，提到了几个值得观察的现象。

最值得关注的是，漏洞修补问题不应一再被忽视。根据 Check Point透过全球攻击感应器在 2018 上半年观察到的结果，有9成9的攻击，都是利用在2017年或更早之前出现的漏洞，更有4成以上的攻击，是利用2012以前出现的漏洞，也就是至少已经出现7年以上。

Gary Gardiner表示，由于很多企业的程式漏洞没有修补，而骇客找到这些漏洞有效，也就会重复使用。他并举例，像是微软有个漏洞在7年前就出现，他们在去年提供修补程式，但企业还是没有做到修补的动作，这就是很大的问题。

在上述状况之外，他们也提到一些让人警惕的问题。例如，在他们对Wannacry勒索病毒的后续调查中，发现只有5成受访企业资讯长表示，在事件后有采取实际的预防行动。在网络钓鱼方面，由于很多事件都是因此而起，而使用者在这方面的资安教育，仍然相当缺乏；对于近期资安防护的看法，他们表示，近期不少资安业者将重点放在侦测上，而不是预防，但他们认为，虚拟修补的重要性更高，尤其是在主机入侵防御系统（IPS）方面。

另外则是在医疗领域常常成为攻击目标，主要是医院为了病人等重要资讯，支付赎金的意愿高，而医疗监理主管机关对于系统要求不能修改的限制，也间接造成防护上的缺口。

台湾今年上半影响最大的前5名恶意程式，有3个是采矿程式

今年上半台湾的威胁现况又是如何？该公司资深安全分析师Raymond Schippers也从他们的研究报告，整理出近期台湾面临的网络攻击趋势，并与全球趋势相互比较。以台湾而言，在各个恶意程式当中，今年上半最活跃的前5名恶意程式，就有3个是采矿程式。

其中，CoinHive网页挖矿程式带来的影响最严重，在台湾影响程度达34%，比起全球平均值的19%，高出许多。

这款加密货币挖矿程式的威胁在于，能够在使用者造访网页之际，并且是未经使用者同意的情况下，挖掘门罗币加密货币，并耗用该使用者电脑上的大量运算资源，进而影响电脑效能。

第二个带来严重影响的是Dorkbot银行木马，在台湾影响程度达20％，比全球平均的7％要高出2倍。这个在2012年被发现的已知的恶意软件，再度卷土而来，它将能被用来执行阻断服务攻击或窃取密码。

此外，网页加密货币挖矿程式Jsecoin，以及JavaScript加密货币挖矿程式Cryptoloot，也分别名列第三、第四，对于台湾的影响程度达18％与13%，比全球平均都要高。

还有一个非常针对台湾的僵尸恶意程式Virut，我们需要特别关注，虽然它在台湾的影响程度，比上述恶意程式稍低，仅13%，但是这比全球平均值的2%，高出5.5倍，攻击流量明显聚焦在台湾。而此恶意程式的作用，主要是被网络恶意份子用于发动DDoS攻击，垃圾邮件分发，资料窃取与诈欺。

若是从攻击来源的面向来看，以台湾而言，最主要的攻击来源为美国，与全球情况一致，不过令人意外的是，攻击来源第二名是香港。

至于最普遍的恶意档案类型，也就是网络攻击常会以何种档案形式来夹带，CheckPoint也有进一步的统计。以台湾而言，第一名是PDF类型档案，EXE档、RTF档与DOC档，分别是第二至第四名。

而从全球来看，EXE、DOC与PDF，则分占第一名、第二名与第五名。相较之下，台湾跟全球面临的攻击方式，是有不同之处。因此，近期台湾企业与使用者，应该要特别留意PDF文件可能的威胁。

综合来看，台湾主要的恶意软件类型趋势中，以挖矿攻击最为严重，今年各月的影响占比在30%～55%之间，行动装置的攻击次之，在20%～40%之间，再来是勒索软件的攻击，以及针对银行金融产业的攻击，两者都在10%左右。

而且，这些恶意软件类型对台湾企业组织带来的影响，也都在全球平均之上。像是挖矿攻击在上半年最严重，攻击带来的影响维持在40％～50%之间，直到今年6月中到8月中才有降低的迹象，与全球平均相比，大约高出15%。这主要也是因为，攻击者透过挖矿攻击使用CPU资源，也是帮助他们获利的方法

在行动装置的攻击方面，今年6月初有激增的情况，最高将近40%，今年平也都在20%以上，约比全球平均高5％左右。值得注意的是，现在已经看到越来越多攻击，是透过行动装置攻击，进而获得使用权限，再打入企业的网络。

至于勒索软件与银行木马的攻击，在今年1月底均有激增的情况，两者尽管居于恶意软件类型第三与第四，但皆比全球平均高出1倍左右。

至于因应措施上，他们则是建议，要做好基本防护，像是系统漏洞修补要做好，

同时，CheckPoint也列出了一套清单，方便企业与使用者能够知道，网络安全预防应做到那些事。包括最小特权原则、网络的分割（Segmentation）、安全有效性、进阶威胁预防、安全意识、升级旧系统、修补和虚拟补丁，

对于还包括像是共同责任模型，这是企业将资料与技术搬移到云端时，必须了解的部分，要清楚与云端服务提供者共享的责任权责划分，并知道此模式是如何运作。

另外，还必须要有因应与准备计划，万一事件发生时，将有具体的事件应变处理，并要定期执行相关安全检查，以及掌握情资以清楚网络犯罪的活动与趋势。

以台湾而言，在各个恶意程式当中，今年上半最活跃的前5名恶意程式，就有3个是采矿程式，分占第一名、第二名与第五名。（摄影／罗正汉）

在最普遍的恶意档案类型统计中，今年上半台湾是以PDF档最高，EXE档居次，而全球平均是以EXE档最高，PDF档则居于第四，从这样的结果，我们也看出台湾与全球所面临的攻击行为，明显是有不同之处。（摄影／罗正汉）

以挖矿攻击对台湾组织的影响来看，占比相当高，2018上半年几乎都在4成或5成之上，并高于全球平均值。显然恶意挖矿是近期我们不能忽视的恶意程式攻击。（摄影／罗正汉）

在行动装置的攻击对台湾组织的影响上，台湾同样比全球平均值高。由于已经有越来越多攻击，是透过行动装置攻击，进而获得使用权限，再打入企业的网络，这种攻击必须要注意。（摄影／罗正汉）

在金融木马攻击的状况，台湾在台湾4%到15%之间。同样高于全球的平均值。（摄影／罗正汉）

在勒索软件攻击的情况，全球平均在2%以上，台湾比全球要高出2%左右。虽然比起恶意挖矿、行动装置的攻击与金融木马要少，但也不可轻忽。（摄影／罗正汉）