2018年Check Point的研究人员致力于探索网络空间的未知角落，并调查潜伏在那里的攻击行为。在本文中，我们回顾了这一历程，因为这一发现之旅不仅仅是探索，同时也是确保我们的客户保持最新并保护其免受当今网络威胁的驱动力之一。

一、进入Dark Web

当在在线聊天室讨论如何进行网络攻击时，并且你知道其真实物理地址。不过，网络罪犯已经不再使用传统的论坛进行这些对话了。借助Telegram等加密和匿名移动消息应用，威胁行为者可以做广告并招募黑客进行攻击，或者向最高出价者购买和出售他们的产品和服务。

由于进入门槛低，因此想要成为网络犯罪分子并不困难。去年4月发现了一种先进的网络钓鱼工具包（Phishing Kit），揭示了购买这些现成产品是多么容易和便宜，即使技术知识少的可怜，也能迅速走上诱骗消费者交付他们信用卡的道路。

然而，虽然安全研究人员探索互联网的黑暗面，并公布他们的发现，但这种透明度意味着威胁行动者也在寻找改进方法并实时更新恶意软件。在GandCrab的发展中可以看到这种犯罪心态的高峰，证明了在当今世界中，甚至连勒索软件都与时俱进。

二、开辟新天地

8月，Check Point研究人员公布了一个全新的攻击媒介，告诉全世界如何使用传真号码（fax number）攻击整个机构的IT网络。

考虑到全世界范围内仍然有数十万台传真机在使用，这一发现令人深感担忧。因此，英国数量最大的传真机购买者NHS计划在未来禁用它们。

虚假新闻也在如火如荼的传递，并非仅仅依靠流行移动消息应用程序WhatsApp中的新漏洞。被称为“FakesApp’”的漏洞允许威胁攻击者拦截和操纵消息，以创建和传播错误信息。

在令人大开眼界的研究中，世界领先的无人机制造商DJI的云基础架构也出现了漏洞。通过对用户识别过程的监视，攻击者有可能访问用户的航班图像、日志、实时摄像机视图和航班视频片段。

三、移动漫游

关于移动设备，去年从谷歌官方Play商店下超过60个假冒儿童应用程序被下载，导致感染了“AdultSwine ”恶意软件七百万次。尽管谷歌努力保护他们的应用程序商店，但恶意软件还设法逃避检测以隐藏在22个手电筒应用程序中，并被毫无戒心的受害者下载达750万次。

移动设备本身也存在漏洞，特别是LG移动设备键盘更新过程中的漏洞。这种制造商构建我们日常使用的设备的方式突显了机构在允许员工通过智能手机进行业务运营时需要极其谨慎。

同样，我们的Man-in-the-Disk研究提醒应用程序开发人员注意到使用外部存储的危险，外部存储是一种在所有应用程序之间共享的资源，不受Android内置的沙盒保护。

四、淘金

2018年的新发现也充斥着对机构服务器和终端的攻击，通常是通过crypto-jackers。虽然勒索软件之前通过smash和grab攻击为网络罪犯带来了快速的利润，但加密控制为他们提供了更为隐秘的长期利好，如入侵。事实上，在去年1月份，不到24小时内，RubyMiner恶意软件试图感染全球约30％的网络。

不出所料，一个月之后，我们的研究人员遇到了JenkinsMiner，有史以来最大的恶意采矿行动之一，针对的是领先的开源自动化服务器Jenkins。

随着时间的推移，我们对KingMiner的研究表明，crypto-jackers正在不断发展。KingMiner迅速部署了两个改进版本，可以看到攻击者采用各种规避技术来绕过仿真和检测方法。

五、国家间谍活动

然而，我们的发现表明，并非只是网络犯罪分子在利用新技术谋取利益。国家和非国家行为者也在操纵终端用户进行间谍活动。Domestic Kitten活动背后的攻击者诱使受害者下载间谍软件感染的应用程序，以收集敏感信息，如电话记录、短信、地理位置、照片等。

非国家行为者也在世界杯的掩护下开展间谍活动，操纵他们的目标点击恶意网络钓鱼链接并下载虚拟游戏调度移动应用程序。其中的恶意组件包括收集用户的短信、电话联系、录音、照片等的功能。这次攻击是一个很好的例子，威胁行为者利用重大事件吸引潜在受害者并隐藏在与这些事件相关的数十个合法应用程序中。

最后，来看看世界上最不为人知的地区之一——朝鲜，我们勇敢的研究人员设法深入了解了神秘王国自己的反病毒解决方案SiliVaccine。有几个令人着迷的方面，SiliVaccine的一个关键组件实际上是TrendMicro病毒检测引擎的副本。奇怪的是，SiliVaccine还给一个特别的恶意软件开了后门。考虑到朝鲜以监视外国记者及其自己的持不同政见者而闻名，这当然应该引起人们的注意。

六、总结

如同所有伟大的冒险一样，去年对网络空间的探索给我们的威胁研究团队带来了一些巨大的挑战和障碍。现在迎来了2019年，Check Point Research无疑会遇到更多类型的恶意软件，漏洞以及攻击事件。