这是网络安全界疯狂的一年。它以一声巨响开始，Olympic Destroyer瞄准2月份的冬季奥运会，试图破坏开幕式。事情变得更加疯狂，加密货币挖矿软件随处可见，而VPNFilter在夏天风靡全球。全年网络安全新闻从未缺席，Talos一直在解析所有这些新闻。随着年末临近，回顾我们发现的最突出的恶意软件以及看到的主要趋势，其中一些预计将持续到2019年。请关注我们的恶意软件年度回顾以及今年发现的主要攻击事件的时间表。

Olympic Destroyer

Olympic Destroyer今年年初开始爆发。该攻击击首次出现在韩国冬奥会开幕式之夜，令奥运会的票务网站暂时宕机，并感染了举行开幕仪式体育场内的系统。Talos发现了一些恶意软件样本，表明恶意行为者希望破坏开幕式，因为恶意软件只包含破坏性功能。在接下来的几周里，研究人员试图找出攻击的幕后黑手。但是，恶意软件包含了几个虚假的标志，这使得归因溯源变得异常棘手。Olympic Destroyer在今年晚些时候以另一种变体回归，使得它更难以被发现。

VPNFilter

几个月后，VPNFilter风靡全球。Talos在五月份首先披露了这次攻击的细节。当时，我们发布了有关恶意软件的所有调查结果，试图告知消费者他们应该尽快重置无线路由器。我们估计，可以完全接管路由器并限制用户访问互联网的VPNFilter已经感染了全球500,000台设备。

虽然攻击者从未触发过VPNFilter，但它有可能非常严重。如果未被发现，恶意软件可以窃取用户的网站凭据并监控Modbus SCADA协议，甚至可以完全阻止设备。从设备中删除VPNFilter的唯一方法是完全重启设备（我们甚至依据此建议制作了专门的新闻）。在初始报告发布之后，Talos研究人员仍继续研究该恶意软件。我们对VPNFilter的理解不断加深，并在6月份发布了我们的最新发现。Talos发现恶意软件感染了其他几家供应商的设备，并且一个新的第3阶段模块可使恶意软件的所有样本都能够完全关闭受感染的设备。然而，它并未止步。攻击者最终在VPNFilter上增加了7个新的第3阶段模块，使恶意软件具备更强大的破坏能力。这些新功能允许攻击者传输数据，伪装与命令和控制（C2）服务器的通信，包括加密隧道功能。

加密货币挖掘软件

加密货币的价格在2017年底到2018年初全面飙升。传统勒索软件的攻击者突然看到了新的收入来源。随着时间的推移，我们看到更多的加密货币挖掘软件出现，取代了流行的勒索软件。在1月份，当我们看到一系列基于矿池的矿工出现时，Talos首先报道了这些矿工（这些矿工利用计算机秘密挖掘加密货币）。攻击者不再希望能够获得一笔大额支付，而是每天以加密货币的形式收钱。对于用户而言，这意味着如果他们的系统超时工作，就有可能产生更高的能源费用，并且对于不涉及采矿的其他事务而言，计算能力会降低。任何遭受这些矿工袭击的机构都面临着更大的风险。最终，我们发现了“Rocke”，一位能讲中文的攻击者，成为加密货币挖掘软件的最大用户之一。 Rocke全年使用各种工具包分发和执行加密恶意软件，这些工具包包括Git存储库，HttpFileServers，通过shell脚本和JavaScript后门释放挖矿软件。当时，我们预测Rocke会将社交工程作为诱骗用户下载加密货币挖掘软件的另一种方式。在这一年中，加密货币的价格已大幅跳水。这使得矿工的利润低于以往。但是，我们不能期望加密货币挖掘软件短时间内就会消失。

移动恶意软件

越来越多的消费者转向用移动设备取代台式机来满足他们的日常需求。随着越来越多的日常消费者使用智能手机购物，发送电子邮件等等，攻击者可以利用那些可能不太了解在线威胁的人。这为移动恶意软件打开了大门，移动恶意软件依赖于欺骗用户使恶意应用程序能够访问本不应该访问的内容。在某些情况下，攻击者已经获得了完全接管移动设备的能力，就像我们在7月份在印度发现的小型活动一样。在一个小型活动中，Talos发现了13个受移动设备管理（MDM）软件感染的设备，这些设备可能允许攻击者利用合法应用程序的恶意功能，从而泄露联系人、照片、消息和位置等信息。在晚些时候，我们发现此攻击系列针对的设备数量超出了我们最初的预期，甚至将攻击与另一位有Android设备定位历史的攻击者联系起来。另一个技巧是攻击者今年喜欢在移动设备上使用伪装。就我们在10月份发现了GPlayed而言，攻击者能够欺骗用户下载一个伪装成合法的Google Play应用商店的恶意应用。安装后，恶意应用程序可以加载插件并注入脚本。最终，GPlayed发展到了这样的程度：它包含了一个试图窃取用户登录凭证到金融服务网站的银行木马。