根据安全厂商的调查，2017年黑客的攻击手段有着一定的共同点，他们选择通过电子邮件去发动攻击。过去一年，恶意邮件在整个邮件里面的比例正在逐年增长。从2014年大概200多封邮件里面，有1封是含恶意程序的。到了2016年大概这个比例下降到只有130多封里面就含一封邮件有恶意程序。

如果仔细观察会发现，这些邮件攻击有一些共性，包括很多的恶意邮件里面包含发票、付款以及请求等较为明显的字眼。此外，恶意邮件利用不同的语言进行传播。需要注意的是，钓鱼邮件所用的语言多以英文为主。

如今黑客在发送钓鱼邮件的同时，还会发一个word附件。对于一般用户来说，带有word文档的邮件看起来更像正常邮件。但是，很多时候word文档中需要打开宏功能，开启宏能够启动很多其他与系统有关的程序。所以，黑客比较容易先通过电子邮件进来。

过去，黑客通过一些寻找很多不同的零日漏洞，会找到很多不同的攻击包，去发动相关的攻击。但在去年，除了用工具包的攻击比较频繁以外，黑客那边偏向于用一些更简单的工具。现在的电脑里面很多的程序当中的工具，包括PowerShell很容易让黑客通过word的文档，集成PowerShell的指令，远程访问电脑。

一般企业对于PowerShell的认知不是很深，认为只是一个简单的脚本，所以他们通常会选择使用邮件网关，还有其他IT安全设备保障企业安全，反而对整个PowerShell的脚本没有做相关拦截。

黑客选择PowerShell更重要的原因在于，PowerShell的指令在整个系统记录中是看不到的。因此，黑客可以轻松利用这点发动攻击。第一，很多时候就可以通过邮件网关侦查不出来。第二，执行这个相关指令以后，进入的路径难以查询。去年，很多的脚本都是通过下载器的方式发动相关指令。这些下载器的数量逐月上涨。这些下载器脚本下载其他的病毒，包括下载勒索软件等相关病毒，能够加密电脑并锁定数据。

赛门铁克通过对PowerShell脚本的研究，发现95%的PowerShell脚本为恶意脚本。所以，黑客过去一年非常愿意用这种方式发动相关针对性攻击。针对恶意程序过去一年的发展，在去年的ISTR 21报告中曾提到，恶意程序的数量在2015年大约有4.3亿。但在2016年，所发现的恶意软件数量出现了轻微下降，只有大概4亿左右。但在这4亿的恶意软件里面，90%都是在2016年首次出现的。

也就是说，黑客会将恶意程序进行更新，重新包装之后再次发动攻击。现在很多恶意程序都能够感知虚拟机，4%的恶意程序会利用云服务进行攻击，恶意程序会使用很多的方法去躲避企业内部的电子邮件网关，还有网络安全设备。

(责任编辑：冬天的宇)