年度回顾丨Akamai 2021全年安全研究集锦

大家好，欢迎来到IT知识分享网。

为全面赋能数字化场景的企业、个人安全，Akamai 近期全面盘点了自2020年10月1日至2021年10月31日期间的重点安全事件，以全景式回顾展示攻击事件始末，由此更有针对性地助力当代企业部署安全防护策略。

2020年10月

戳穿 JavaScript 混淆骗局

这一月份中的安全洞见，聚焦于 Akamai 安全研究员 Or Katz 的 JavaScript 混淆研究系列文章。他在博文《抓得住我的话，就试试吧》表示，虽然人们并不认为这种技术的复杂度很高或者规避性很强，但如果不去实际呈现网页并评估内容，就很难判定相应网页恶意与否。

为进一步阐述这项技术，Katz 在《双重 JavaScript 混淆骗局》博文中，解读了这项技术如何用于多种类型的骗局，比如网络钓鱼和 Magecart 式攻击。他还介绍了在当时活跃的网络钓鱼诈骗中观察到的双重混淆与加密的示例。

而在《网络钓鱼 JavaScript 混淆技术飞速发展》博文中，Katz 则展示了这种攻击技术的使用量日渐飙升的态势，为他这次研究画上了圆满句号。研究成果显示：“2019年11月至2020年8月这10个月期间，钓鱼网站使用混淆技术的情况持续攀升，增幅达到 70% 以上。”

2020年11月

识别 WordPress 恶意感染

Akamai 安全情报响应团队的高级工程师 Larry Cashdollar，在该月侦测到了一起感染事件。恶意攻击的具体表现为一名攻击者在 WordPress 安装页面之上添加了一个商店，随后 Cashdollar 根据自己的发现，发布了 《可建立 SEO 商店的 WordPress 恶意软件》一文。

文章指出，该恶意软件重写了 index.php 文件，并添加了一个函数来查询参数是否包含一个特定字符串。如果发现了这个字符串，就会提供一个不同的网站。Cashdollar 表示：“攻击者很快就猜出了我的凭据，而在获得凭据之后，攻击者立刻利用其访问权限，上传了一个受到恶意软件感染的插件。”

该攻击具有一定迷惑性，图中 User-Agent 字符串企图伪装成 Googlebot，我们可从请求标头的顺序错误中识别判断

2020年12月

全景回顾网络钓鱼攻击

2020年12月11日，第一支新冠病毒疫苗获得紧急使用授权，让大家紧绷的神经得以放松，并意识到重大转机即将而至。但从网络安全的视角来看，日益流行的虚拟派对、虚拟家庭聚会及远程办公模式，也将成为攻击者的重点关注对象。Akamai 安全研究员 Or Katz 指出，企业安全范围不断拓展且无固定边界，呈现出错综复杂的发展态势。

2021年1月

精研僵尸网络攻击武器

正当大家挂起2021新年日历，全球工作人员开始普遍接种疫苗时，Akamai 安全研究员 Steve Ragan 注意到，犯罪分子采用了一种瞄准热门游戏玩家的新型攻击。他在《〈我的世界〉玩家被攻击至离线》一文中指出，游戏玩家不仅要应对 DDoS 和撞库攻击等网络层面的事件，而且还要应对针对个人发起的额外攻击。这种攻击不仅会造成玩家的网络瘫痪，而且还毫无信誉可言，在支付勒索金额后仍会持续攻击。

此外，Larry Cashdollar 则从另一个角度深入研究了KashmirBlack 僵尸网络如何成为攻击武器。他在《当您的漏洞被用于僵尸网络扩散时会发生什么》博文中表示：“KashmirBlack CVE-2018-9206 漏洞会扫描包含 85 个唯一路径的列表，我认为这份列表是由该僵尸网络的创造者整理的，可能是借助 Google Dork 收集的，也可能源自其自身既往的漏洞利用经验。它会发出 POST 请求来检查这些路径的有效性，进而上传文件。随后，该脚本会检查其上传的攻击媒介文件 sssp.php 是否存在于相应的上传文件/目录中。”

2021年2月

截断多角度攻击路径

不同于普罗大众使用路由器扩展本地 Wi-Fi 网络，Akamai 安全研究员 Assaf Vilmovski 在 D-Link DAP-1360 这款路由器（硬件版本A1、固件版本2.5.5）进行研究时，发现了涉及到 Web 接口的 ping 功能的安全漏洞，并撰写成《D-Link 路由器上的命令注入》一文。

更甚的是，网络攻击者还会以新冠病毒疫苗接种机会作为诱饵，发起了网络钓鱼攻击活动，损害公众权益。Akamai 安全研究员 Steve Ragan 针对该骗局，在《NHS 疫苗骗局：犯罪分子仍以 COVID-19 焦虑为目标》博文中，系统梳理了既往的同类型骗局，以提高公众警惕度。

除了公众领域，网络钓鱼攻击同样“紧盯”金融机构。Akamai 安全研究员 Or Katz 在《入侵英国银行：绕过 2FA 的大规模网络钓鱼活动》一文中表示，攻击者 Kr3pto 是一个网络钓鱼工具包开发人员，他构建并销售针对金融机构和其他品牌的独特工具包。Akamai 追踪了超过 7600 个使用 Kr3pto 工具包部署的域，发现该攻击者滥用了8个不同的银行品牌，并使用商业 Web 托管来扩展各种网络钓鱼活动，以规避检测。

而在“挖矿”领域，也不乏恶意软件的身影。Akamai 安全研究员 Evyatar Saias 和高级工程师 Chad Seaman 共同开展了一项研究，深入分析了已知加密挖矿僵尸网络活动中的一款恶意软件，并撰文《比特币、区块链和僵尸网络》。文章指出，该恶意软件当时已经开始利用比特币区块链交易，以隐藏自己的备用 C2 IP 地址。这种方法可以简单而有效地突破恶意软件防范措施。

2021年3月

灵活应对多维度威胁

3月，我们发布了第一份 SOTI 研究报告 《世界变幻莫测，我们灵活应对》。在此报告中，我们回顾并探讨了 2020 年发生的一些技术转向。我们不仅讨论了全世界的趋势，还介绍了攻击者针对我们自己的系统发起的攻击，以提供具体的示例展示 Akamai 如何利用全矩阵产品抵御攻击、加固安全。

这其中的关键防御层，体现在 Akamai Enterprise Threat Protector 的应用上。它能利用 Akamai 研究成果并结合第三方数据，以识别恶意域，并在 DNS 和 HTTP 级别对其进行阻止，以此来应对渗透、命令和控制 (C2) 以及网络钓鱼等网络攻击者的常用手段。

加密货币这一领域的恶意软件，在这一月中也在持续演变。Akamai 高级工程师 Cashdollar 将研究成果沉淀为《另一个正在作恶的 Go 语言加密货币矿工》这一技术博文。该文章指出“加密货币挖矿恶意软件将继续演变，并利用最新的软件漏洞。命令注入和远程代码执行这样的软件漏洞将继续受到网络犯罪分子的重视，以便通过 CPU 周期获利。”

而应对 Akamai 客户所遭遇的一连串攻击事件，Akamai高级工程师 Chad Seaman 判别到这些攻击利用了一种称为33号协议或数据拥塞控制协议 (DCCP) 的网络协议。他指出：“在我观察到的针对 Akamai 客户的攻击中，100% 的流量均由 DCCP-Request 数据包构成。这些数据包本质上是 DCCP 协议变体的 SYN 泛洪攻击”。

2021年4月

聚焦纳税季网络犯罪

针对美国4月缴税季，网络犯罪分子经常将急于在截止日期前完成税务申报的纳税人作为攻击目标。Akamai 安全研究员 Steve Ragan 通过对这一固定时间段的犯罪活动趋势的研究，发布了《纳税季：犯罪分子也玩数字游戏》一文。他总结道，除了网络钓鱼之外，犯罪分子还会借每年的纳税季机会集中精力发起其他类型的攻击，涉及本地文件包含 (LFI)、SQL 注入 (SQLi) 和撞库。

2021年5月

通力协作共构安全防线

历年以来，在合作伙伴 Verizon 的《数据泄露调查报告》(DBIR)输出、发布过程中，Akamai 都是积极贡献者。在《与 Verizon 合作开发 2021 DBIR》博文中，Akamai 编辑总监 Martin McKeay 全面分享了该报告的要点内容，包括新冠疫情对于流量和攻击模式的影响等。

基于 Verizon 团队的启发，Akamai 在 5 月份还发布了第一期 。通过威胁情报公司 WMC Global 提供的翔实数据，我们着重分析了金融服务行业的安全现状。Akamai 在全球范围内观测到 6,287,291,470 次 Web 攻击，其中 736,071,428 次仅针对金融服务行业。此外，这份报告还以 Ex-Robotos 网络钓鱼工具包为例，深入探究了“网络钓鱼攻击即服务”。

与此同步，Akamai 高级工程师 Cashdollar 也在进行安全研究，并探测到一起 罗马尼亚加密挖矿恶意软件感染。他在博文中表示：“与过往恶意软件不同，这一攻击采用不当打包方式的 tar 包很有特点。这个挖矿恶意程序会安装 XMRig 和 Perl DDoS IRC Bot v1.0，使用与目前已报告的其他加密挖矿恶意软件相似的 Rootkit 来隐藏其加密货币挖矿活动。”

2021年6月

加固游戏业安全防护

伴随着游戏产业持续升温，该领域的网络攻击现象也愈演愈烈。基于此，Akamai 在6月发布新一期《SOTI 研究：疫情期间的游戏业》报告。我们发现，虽然游戏业遭遇的 DDoS 攻击有所减少，但该行业在2020年的总体攻击流量增幅依然超过其他行业。作为后疫情时代社交与娱乐的重要渠道，网络攻击者同样“痴迷”游戏，并在他们所擅长的领域发起攻击行为。

在此期间，Akamai 也开始制作新网站并推出我们的新博客。Akamai 市场部经理 Julia Tetrud 和她的团队成员们不辞辛劳、执行迁移，并将先前的 SIRT 博客整合到新的 Akamai 博客。这种团队协作，着实值得敬佩。

2021年7月

激活成功教程供应链软件攻击

本月中，Akamai 安全研究员 Ryan Barnett 在供应链勒索软件攻击领域取得研究进展，并沉淀为《Kaseya 供应链勒索软件攻击》博文。文章指出 REvil 勒索软件团体成员，对 Kaseya VSA 产品发起攻击。攻击者绕过身份验证同时，利用任意命令执行漏洞(CVE-2021-30116)，使他们能够向目标系统分发勒索软件加密程序。为协助防御者，Kaseya 发布了多个 与勒索软件攻击有关的 IOC。

2021年8月

化解 UPX 打包困境

在 Akamai 的恶意软件研究中，也曾遭遇诸多挑战。较为突出的一点，便是分辨混淆的代码和被蓄意破坏的二进制文件。为此，Akamai SIRT 团队使用 C 语言编写了一个小工具，可对被蓄意破坏的二进制文件进行自动修复，并计划开放项目源代码，并根据需要改进和扩展该工具的功能。

博文中的 UPX Magic 字节和经过篡改的 p_info 标头

2021年9月

明辨恶意攻击新形式

金秋时节，Akamai 安全研究员 Evyatar Saias 发布《Kinsing 的新演变，感染 Windows 系统》博文。文章具体阐述了进化的 Kinsing 将 Windows 系统作为攻击目标的基本原理。一直以来，这个僵尸网络在不同的地理区域（包括美洲、欧洲和亚洲）高度活跃，该僵尸网络一直使用相同的分布式 IP 地址 (194.38.20.199) 运行，已有超过六个月不需要轮换 IP 地址。如今，此攻击范围已经从 Linux 系统，拓展至 Windows 系统。

谈及以 Linux 系统为攻击目标，Akamai 高级工程师 Cashdollar 发现了大量用 Go 语言编写、以 UPX 打包的加密挖矿恶意软件，侵袭 Linux 系统。他在《Capoae 恶意软件升级：使用多个漏洞和策略进行感染扩散》博文中指出，该恶意软件主要是利用存在漏洞的系统和强度较低的管理凭证进行传播。当系统被感染后，便会成为恶意软件所支配的“傀儡”进行加密挖矿。在持续演变的加密挖矿攻击活动中，Capoae 恶意软件这种攻击策略，充分暴露出了网络攻击者感染更多系统的野心。

2021年10月

强化 API 全周期开发防护

当下，应用程序编程接口 (API)，已经从原本相对简单的系统间通信方法，迅速发展成为互联网流量的巨大推动力量。为维护 API 相关安全，我们与 Veracode 开展合作，在 《互联网现状/安全性：API：与每个人息息相关的攻击》报告中进行了深入探究。

数据显示，伺机而动的攻击者，持续开发新型攻击手法。作为重要端口的API，正是黑客们聚焦的攻击目标之一。由于将安全性融入开发生命周期的过程相对迟缓，因此多数企业陷于两难的危险处境——发布代码则易受攻击，不发布则无法满足业务需求。

结语

面对互联网趋势走向的“变与不变”，我们发现在数字世界的多元化场景下，网络攻击者的多样化入侵，已然成为一种常态。在数字生活融入大众日常的过程中，整个行业的通力协作，将成为我们勾勒出美好数字生活的关键要素。未来，我们将携手客户、合作伙伴，积极面对问题、解决问题，共同打造一方科技向善、融合创新的数字图景。