强敌环伺：金融业信息安全威胁分析—

从早期的Zeus和其他以银行为目标的特洛伊木马程序，到现在的大规模分布式拒绝服务（DDoS）攻击，再到新颖的钓鱼攻击和勒索软件，金融服务业已成为遭遇网络犯罪威胁最严重的行业之一。金融服务业的重要性不言而喻，不仅在人们的生活中，也在全球经济中发挥着重要作用。该行业遇到任何中断或停机都会带来严重影响，而此类组织所持有的一些敏感数据也很容易会变成有价值的商品。因此攻击者会将金融服务业看作一种有利可图的目标，并以此为目标开展各类攻击，具体攻击方式包括但不限于新发现的零日漏洞以及复杂的钓鱼攻击等。

攻击者会密切关注并积极攻击金融服务行业，这早已不是什么秘密。以往，Akamai围绕金融服务业发布的互联网状态报告（SOTI）主要以网络钓鱼或欺诈为主题，但这次我们采取了一种更广泛的方法，涵盖了影响金融服务业的一系列问题。

这种更广泛的视角使得我们发现，针对金融服务业的攻击数量正在快速激增，而且攻击者会以更快的速度利用新发现的零日漏洞。而金融服务业的客户也未能幸免，很多攻击者已经不再对该行业的从业机构发起攻击（毕竟这可能是全球最重视安全性的行业之一），而是转为攻击这些行业的消费者。在这种强敌环伺的情况下，金融服务业的安全专家就更有必要了解相关威胁态势的变化情况。

凭借对全球互联网的洞察和庞大的覆盖面，Akamai会定期针对不同行业发布互联网状态报告（SOTI）。最新的第8卷第3期报告主要以金融服务业为主，分析了该行业所面临的威胁和Akamai的见解。我们将通过总共三篇的系列文章详细介绍这些内容。本文是第一篇，主要介绍金融服务行业在信息安全威胁方面所面临的整体态势。

重点总结

本次报告所发现的重点结论主要是：

在Web应用程序和API攻击、零日漏洞以及DDoS攻击等方面，金融服务业一直是最主要的三大被攻击目标垂直行业之一。
金融服务业的Web应用程序和API攻击数量同比激增3.5倍，在所有主要行业中增速最快。如何阻止Web应用程序和API攻击
利用新发现的零日漏洞针对金融服务业发起的攻击，在24小时内就可以轻松达到每小时数千次的规模，并且会快速达到峰值，这使得防御者几乎没时间打补丁或做出反应。
本地文件包含（LFI）和跨站脚本（XSS）攻击的显著增加，意味着攻击者正在转换至以远程脚本执行（RCE）为目标的攻击方式，这会对内部网络安全造成更大的压力。
利用金融服务业客户发起攻击的做法十分猖獗，以该行业为目标的攻击者，有超过80%会以直接攻击或钓鱼攻击的方式攻击金融服务业的客户，而非金融机构。
钓鱼攻击（如Kr3pto）正在引入新技术，从而通过一次性密码令牌或推送通知的方式绕过双重身份验证（MFA）机制。

威胁形势：针对金融服务业的攻击正在激增

金融服务业始终是全球范围内最容易受到攻击的行业之一，并且攻击数量依然体现出增长的迹象，尤其是针对Web应用程序和API的攻击，不仅增速惊人，而且也日趋复杂。攻击者会设法在内部网络中获得立足点，进而开始进行各种破坏，其中的一种手段甚至会向被攻击的金融机构索取赎金，以防止损失进一步扩大。作为一个重要行业，金融服务业需要保证服务稳定运行，而攻击者除了攻击机构本身，还可以通过窃取的敏感信息变现，甚至攻击客户的账户并丛中窃取资金。

网络犯罪分子已经将目光投向了金融服务机构及其客户，不过我们也发现，很多业内机构已经增强了自己的网络安全意识，并增加了网络安全方面的IT预算。如果无法保护自己的周边环境和数据，可能会面临勒索软件和其他威胁的入侵，从而导致严重的关键数据外泄和财务损失。根据IBM的2022年数据泄漏成本告报统计，作为“关键基础设施”的金融服务业，其数据泄漏事件的平均成本高达597万美元。

为了充分了解金融服务业所面临的各种风险，我们必须把威胁情况作为一个整体来看待。为此，我们分析了大量活动数据，例如（恶意的和善意的）爬虫趋势、针对关键漏洞的利用尝试、以Web应用和API为目标的攻击，以及钓鱼活动。我们还检测了攻击者的IP地址，从而推断出攻击者的动机。此外，我们还分析了一整年的数据，借此更直观地了解到金融服务业的整体威胁态势（图1）。

	257%	Web应用程序和API攻击增长比例
	81%	爬虫活动增长比例
	22%	DDoS攻击目标增长比例

图1：金融服务业所面临不同类型攻击的增长情况

从较高的视角来看，金融服务业在如下几个关键领域已成为最容易受到攻击的垂直行业：Web应用程序和API攻击、DDoS、钓鱼、零日漏洞利用、爬虫活动。上文提到过，Web应用程序和API攻击数量的激增（金融服务业面临的此类攻击数量增长了3.5倍）尤其让人担心。此外，以金融机构为目标的爬虫活动也有显著增加。

每种攻击载体都带来了不同的安全风险和挑战，只有解决了这些问题才能进一步加强金融机构的安全性。下文我们还将更详细地研究各种攻击载体。总的来说，这些见解都证明金融机构加大网络安全方面的投资是非常有必要的。

安全风险与日俱增：应用程序和API攻击

Web应用程序和API依然是金融服务业一个重要的考虑因素。该行业的很多数字化转型工作都以应用程序和API为基础，相关机构也需要借助它们向第三方提供开放的服务，从而塑造更好的客户体验，在市场上获得更多价值和竞争优势。另外，客户也需要通过金融机构的应用来使用各种金融服务。尽管在COVID-19大流行之前，金融类应用程序的使用就很普遍了，但疫情的流行进一步推动了相关应用和服务的普及。

由于API能带来各种优势，很多企业都以将其纳入自己的生态系统中。在Postman发布的2022年API状态报告中，89%的受访者表示，今年可能会增加有关API开发工作的投资。在某些情况下，采用API也是为了满足监管要求。例如欧盟的Payment Services Directive 2要求欧洲银行公开API，以便让金融服务提供商访问与贷款、账户等信息有关的客户数据。

在API的帮助下，银行和第三方相互之间可以实现标准化的客户金融信息数据连接和交换。另外，Web应用程序则能通过更便捷、快速的处理和可靠的服务改善客户体验，降低金融服务机构的成本。不过这些Web应用程序中的漏洞也可能让攻击者借此攻陷系统并窃取敏感数据。虽然API和Web应用带来了很多好处和优势，但也可能为网络犯罪分子带来全新的攻击面。

过去12个月里，Web应用程序和API攻击出现了大规模增长，金融服务业依然是其中最主要的目标。经过分析，我们发现金融服务业是最容易被攻击的三大垂直行业之一，承受了15%的攻击总量，紧随其后的是高科技行业（图2）。在2022年的大部分时间里，金融服务也都已经超过高科技行业，成为遭受攻击总量最多的行业。

从较高的视角来看，金融服务业在如下几个关键领域已成为最容易受到攻击的垂直行业：Web应用程序和API攻击、DDoS、钓鱼、零日漏洞利用、爬虫活动。

图2：过去12个月，Web应用程序和API攻击的首要目标行业为商业、高科技以及金融服务业

Web应用程序和API对金融服务业的重要性与日俱增，这也吸引着越来越多的攻击者围绕这些领域寻找漏洞并发起攻击。首先，在构建这类应用和API时，安全性本身就是一个艰难的挑战。这些Web应用程序中隐藏的漏洞可能导致RCE和入侵。其次，这类Web应用程序还可以获取并存储客户的机密信息（如登录凭据）。

一旦攻击者成功发起针对Web应用程序的攻击，就可以窃取这些机密信息，在一些更严重的情况下，甚至可以借此获得对内部网络的访问权，从而获得更多凭据并在网络内部横向移动。除了漏洞所产生的影响，被盗的信息也可能放在黑市中交易或用于发起更多攻击。鉴于金融服务业拥有大量数据（如个人身份信息和账户信息），这一点就更加令人担忧。

以金融服务业的Web应用程序和API为目标的攻击活动正在迅速增加，这标志着攻击者对金融机构及其客户的兴趣也在持续增长。2022年，针对金融服务业Web应用和API的攻击数量增长了3.5倍，仔细分析会发现，在这背后，几乎每种攻击载体的使用都有了显著增长，并且在几乎所有行业中高居首位。

图3：过去12个月里，金融服务业面临的攻击数量稳步增长

过去12个月里，金融服务业面临的攻击稳步增长，图3中观察到的峰值似乎代表着有针对性的攻击或集中攻击。不仅如此，这些模式可能意味着此类机构的Web应用程序面临的攻击风险还在不断增加。Positive Technologies的研究发现，91%的Web应用都曾发生过个人数据（如用户ID和凭据）泄漏事件。

保证Web应用程序安全性已成为当务之急，因为相关漏洞很可能充当入侵目标企业的大门。了解不同类型的攻击，以及这些攻击可能导致的结果，可以帮助企业了解如何正确地保护自己的Web应用。

1.区域性趋势

通过观察不同区域的趋势，我们可以对比世界各地的攻击增长情况（图4）。

图4：亚太日本地区与Web应用程序和API相关的攻击大幅增加了449%

值得注意的是，拉丁美洲（LATAM）地区的攻击数量出现了指数级的增长。数字化转型以及对网络犯罪活动有限的治理能力可能是导致该地区网络犯罪活动不断增长最主要的两个因素。网络犯罪每年会给该地区造成900亿美元的损失，其中最主要的威胁包括加密劫持、欺诈、银行木马以及勒索软件，这说明拉美地区的网络犯罪更多是出于经济动机。2022年，哥斯达黎加遭受的Conti团伙勒索软件攻击就袭击了多个政府网站，展现出勒索软件即服务（RaaS）在经济影响之外所产生的其他破坏性作用。进一步分析该地区的情况我们发现，巴西在Web应用年程序和API攻击目标的名单上名列前茅。由于网络银行业务的高度普及，巴西出现了很多与银行有关的威胁。

亚太日本（APJ）地区与Web应用程序和API有关的攻击也大幅增长了449%，这似乎与该地区越来越多的网络攻击（主要是勒索软件）相吻合。2022年初，我们发现Web应用和API攻击载体主要被勒索软件团伙用于利用漏洞获得初始访问，该地区在Web应用程序和API攻击方面遭受攻击最多的国家分别为澳大利亚、日本和印度。

接着再看看北美（NA）地区，该地区的Web应用程序和API攻击增加了354%。2022年初，俄乌冲突使得人们担心会有人对美国和欧洲金融机构发起网络攻击和报复，但其实在这之前，美国的金融服务机构就在遭受大量勒索软件、银行木马以及其他恶意软件威胁。例如名为FIN8的网络犯罪团伙入侵了美国的一些金融服务公司，地下黑市还流传着40万条美国和韩国银行支付记录。为缓解网络安全风险，美国联邦存款保险公司、美国联邦储备系统理事会以及美国货币监理署曾在2021年颁布了一项规则，要求在发生可疑威胁时必须向联邦监管机构和银行机构组织的客户发出“事件通知”。

与美国类似，欧洲也有一系列法案和法规，例如网络和信息系统安全指令（NIS指令）、通用数据保护条例（GDPR）等，它们为金融服务和其他垂直领域的网络安全与数据保护提供了指导和基准。虽然这些法规可以帮助企业面对安全问题提高弹性，但并不一定能让企业面对网络攻击获得免疫能力。例如一款名为Bizarro的银行木马就是一个直观的例子，该木马的目标已经涵盖了大量欧洲银行，同时衍生出多种移动软件，其攻击和载荷交付能力增速已经达到了惊人的500%。在欧洲、中东和非洲（EMEA）地区，英国遭遇的Web应用程序和API攻击数量最多。

这些数据表明，犯罪团伙正在将更多精力和资源投注于金融服务行业，他们会充分利用各种自动化机制和侦查手段，并通过不断迭代的方法来规避地理封锁等规则。作为应对，企业需要不断完善安全规则并提高风险的耐受程度，同时要确保所有面向互联网的系统都能受到各类安全产品相结合所提供的保护。

2.应用程序和API攻击所涉及的载体

为了弄清攻击的性质，我们还可以进一步分析针对该行业所采取的攻击中最常见的攻击载体。这一点很重要，只有这样才能更好地理解自己可能面临的风险，以及企业可能会遇到的攻击类型。随后，我们可以在这些知识的帮助下制定缓解策略，加强防御能力，封堵漏洞。

图5：LFI攻击已成为WAF攻击大规模增长背后最主要的推动力

如图5所示，Web应用程序和API攻击的增长主要由LFI和XSS推动。与主要为了访问数据库所用的SQL注入不同，攻击者通常会利用LFI和XSS在目标网络中获得立足点。

攻击者会通过自动化工具不断扫描互联网，借此寻在潜在目标。攻击者可以借助LFI攻击验证目标企业是否确实存在漏洞。此外，攻击者还可将恶意代码注入Web服务器，随后通过远程代码执行的方式利用LFI漏洞，从而危及系统安全。更糟的是，LFI可能被用于向攻击者泄漏敏感信息。

XSS也会给企业造成安全隐患。攻击者可以使用XSS漏洞将代码注入网站，随后每当用户访问被攻陷的网站时，都会面临信息泄漏的风险。另一类XSS可由攻击者通过恶意链接提供给受害者，导致受害者下载恶意载荷。攻击者通常会借助这种载体开展钓鱼攻击并篡改网站。

金融服务垂直行业的Web应用程序和API攻击与日俱增，这是一个值得关注的问题，因为这会对安全性产生极大的影响。然而只有对攻击面和载体获得清晰的认识，才能帮助金融机构更好地保护自己的环境。

3.载荷

接下来将介绍现实世界中针对金融服务机构所进行的一次攻击企图。其中涉及到的载荷通常会配合使用不同的攻击载体和漏洞，包括最新的CVE。在下文的图10中可以看到，一些攻击是专门为目标量身定制的，但有些攻击主要是为了侦查，这类攻击往往更为“通用”。

4.自定义创建的XSS载荷

图6：攻击者发送的一个XSS载荷（编码后）

图7：攻击者发送的一个XSS载荷（解码后）

上述URL解码后，XSS载荷将从攻击者指定的域名下载并使用一个恶意脚本。看起来这个脚本似乎是针对特定目标量身定制的。更重要的是，攻击者可以借助这样的载荷，利用OGNL漏洞（如Log4j，CVE-2021-44228）来运行脚本。

5.使用不同的攻击方法

图8：攻击者尝试了多种不同技术（解码后）

另一方面，从图8中可以看到，攻击者执行了SQL注入从而暴露了目标数据库的敏感信息。此外，还使用一个LFI漏洞通过Unix的cat命令转储敏感的etc/passwd文件内容。此外还出现了另一个XSS探针，攻击者借此检查网站是否存在XSS漏洞。这是攻击者在扫描/侦查阶段最典型的做法，他们会同时测试目标系统是否存在多种漏洞。

6.持续潜伏

图9：该载荷试图利用CVE-2022-24881这个RCE漏洞

图10：CVE-2022-24881解码后的版本

最后，通过图9可以看到，该载荷试图利用Ballcat Codegen软件中发现的CVE-2022-24881这个RCE漏洞，攻击者试图对Velocity模板引擎注入恶意代码来实现RCE。更具体来说，攻击者转储了/etc/profile这个Unix文件（该文件可用于在用户的外壳（Shell）上设置系统级环境变量）的内容。攻击者可以借此探测系统中是否存在漏洞，以及如果存在，是否能通过操作Unix文件来持久隐蔽自己。