您當(dāng)前的位置是:  首頁 > 資訊 > 國內(nèi) >
 首頁 > 資訊 > 國內(nèi) >

一文讀懂2020需要關(guān)注的網(wǎng)絡(luò)威脅,文末福利!

2020-05-15 14:36:37   作者:   來源:CTI論壇   評論:0  點(diǎn)擊:

  過去十年間,思科面向關(guān)注全球網(wǎng)絡(luò)安全態(tài)勢的網(wǎng)絡(luò)安全專家發(fā)布了大量具有權(quán)威性的安全及威脅情報(bào)信息。這些綜合性報(bào)告不僅詳細(xì)描述了相關(guān)的威脅態(tài)勢以及它們對企業(yè)的潛在影響,還列出了能夠有效抵御數(shù)據(jù)泄露所產(chǎn)生的不良影響的最佳實(shí)踐。
  有些網(wǎng)絡(luò)犯罪分子在制定攻擊計(jì)劃時(shí),會以特定的組織為目標(biāo)。不管出于哪種原因,他們都很清楚兩件事:攻擊目標(biāo)和潛在回報(bào)。一旦明確了攻擊目標(biāo),幾乎沒有什么能阻擋他們。
  網(wǎng)絡(luò)犯罪分子像是沉迷于一場數(shù)字游戲。
  他們不管被攻擊的對象是組織還是個人,只是希望盡可能擴(kuò)大被攻擊者的數(shù)量,前提是他們能夠獲得他們想要的最終結(jié)果。
  例如,在 2019 年首次出現(xiàn)的 DNS 劫持事件中,惡意攻擊者正是通過控制部分特定 DNS 條目來發(fā)動攻擊,悄無聲息地將無防備的訪問者從合法系統(tǒng)重定向到惡意系統(tǒng),以期對方安裝惡意軟件或攔截保密資料及憑證。
  DNS 劫持
  DNS,全稱域名系統(tǒng)(Domain Name System),用于將人類可讀的域名(例如www.example.com)轉(zhuǎn)換成機(jī)器可讀的 IP 地址(例如 208.67.222.222)。
  使用 DNS 的過程與圖書管理員幫你找書的過程非常類似。輸入一本書的名稱,DNS “圖書管理員”會將其轉(zhuǎn)換為一個 IP 地址,然后在書架上搜索這個 IP 地址,然后帶你到對應(yīng)的網(wǎng)站。
  思科的威脅情報(bào)研究團(tuán)隊(duì) Cisco Talos 一直密切關(guān)注 DNS,而且我們在 2019 年也發(fā)現(xiàn)了多起利用 DNS 劫持發(fā)起的惡意攻擊。
  然而 DNS 攻擊的關(guān)鍵在于,它們不會直接面向指定目標(biāo)發(fā)動攻擊,而是將圖書管理員作為攻擊對象。圖書管理員沒有將你帶到目標(biāo)書籍的正確存放位置,而是把你帶去一個完全不同的地方。
  更糟糕的是,你可能根本不知道自己打開的是一個錯誤的網(wǎng)站。
  就這樣,在你毫無防備的情況下抵達(dá)惡意服務(wù)器后,便會馬上成為任由惡意攻擊者擺布的受害者。惡意攻擊者可能會嘗試安裝惡意軟件,收集你的用戶名和密碼,或者隱蔽地充當(dāng)惡意站點(diǎn)和合法站點(diǎn)之間的中間人,并攔截你出于其他目的(即身份盜用、勒索…)而訪問的所有數(shù)據(jù)。
  Sea Turtle(“海龜”)便是由控制 TLD(頂級域)的組織發(fā)起的一種 DNS 劫持案例。案例中的惡意攻擊者正是利用多個系統(tǒng)漏洞控制了整個域的域名服務(wù)器。
  這樣一來,惡意攻擊者便能對根據(jù) DNS 請求返回的 IP 地址施加控制。它在完成一臺惡意域名服務(wù)器的設(shè)置后,就能選擇何時(shí)將針對特定域名的請求發(fā)送至合法站點(diǎn)或惡意站點(diǎn)。
  Sea Turtle(“海龜”)攻擊流程圖
  此外,網(wǎng)頁郵件服務(wù)器的 DNS 記錄被更改也屬于 Sea Turtle 攻擊的一部分。惡意攻擊者由此便可以攔截用戶登錄網(wǎng)頁郵件系統(tǒng)的連接,這樣不僅可以捕獲用戶憑證,還可讀取網(wǎng)頁郵件系統(tǒng)和用戶之間所傳遞的所有數(shù)據(jù)。
  DNS 劫持是一種非直接攻擊案例,對隱藏在幕后的惡意攻擊者來說,他們的真正目標(biāo)并非某個特定的組織,而是整個互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施。
  2020 年態(tài)勢分析
  今年,“海龜” DNS 劫持行動的幕后黑手并沒有放慢腳步。Talos 團(tuán)隊(duì)發(fā)現(xiàn)的一些新細(xì)節(jié)也暗示出這些惡意攻擊者在我們發(fā)布有關(guān) Sea Turtle 的初步發(fā)現(xiàn)后已經(jīng)重整旗鼓,并且針對新的基礎(chǔ)設(shè)施方面發(fā)動了更為猛烈的攻擊。
  許多惡意攻擊者在被發(fā)現(xiàn)之后便會暫時(shí)放慢攻擊的步伐,但是這個團(tuán)體卻異常明目張膽。針對這種情況,我們建議重點(diǎn)關(guān)注 DNS 安全技術(shù)和多因素身份驗(yàn)證技術(shù),以落實(shí)更為嚴(yán)格的身份認(rèn)證流程。
  遠(yuǎn)程訪問木馬(RATs)
  想象一下……
  你就職于一家即將發(fā)布全新產(chǎn)品的知名科技公司,在產(chǎn)品發(fā)布前,你要嚴(yán)守相關(guān)機(jī)密信息。但很遺憾,有人入侵公司系統(tǒng),并盜取了這款新品的敏感數(shù)據(jù)。
  可被惡意攻擊者用來盜取公司數(shù)據(jù)的有力武器可能有很多種。下載程序,管理工具,以及資訊盜竊程序,很多時(shí)候都是催生此類攻擊的重要原因。
  但在類似上述攻擊場景中,惡意攻擊者通常會在一種簡稱為“RAT”的遠(yuǎn)端控制木馬程序的協(xié)助下發(fā)起攻擊。
  如何借助 RAT 發(fā)動惡意攻擊呢?
  身為一種工具,RAT 所具備的功能可謂豐富至極。如果惡意攻擊者的目標(biāo)是竊取財(cái)務(wù)數(shù)據(jù),那么他們可以借助一個 RAT,通過一臺被入侵的計(jì)算機(jī)獲取銀行信息,或者通過安裝鍵盤記錄程序來收集信用卡賬號。
  RAT 程序的組成部分
  許多 RAT 都能獲取到用戶已保存和緩存的密碼,一旦掌握了用戶名和密碼,惡意攻擊者便能試著登錄到共享服務(wù)器。
  謹(jǐn)記一點(diǎn),大部分 RAT 程序都能對已被入侵系統(tǒng)的命令行進(jìn)行訪問。惡意攻擊者可借助相應(yīng)的管理權(quán)限來控制 RAT,讓它執(zhí)行惡意攻擊者計(jì)劃執(zhí)行的任何操作,例如安裝和刪除文件或安裝鍵盤記錄程序。
  RAT 入侵系統(tǒng)的方式并不存在任何特殊之處。RAT 的分布方式與其他類型的惡意軟件大致相同:它們都與其他常見的攻擊媒介一道以電子郵件為發(fā)送載體,被植入程序植入系統(tǒng), 并被設(shè)置為漏洞攻擊工具的有效載荷。
  2020 年態(tài)勢分析
  Talos 在去年夏天就發(fā)現(xiàn):在針對政府實(shí)體、金融服務(wù)組織、信息技術(shù)服務(wù)商和咨詢公司發(fā)起的各種惡意軟件分發(fā)活動中,攻擊者一直在不斷地利用 RevengeRAT 和 Orcus RAT。
  與這些活動有關(guān)的幾種獨(dú)特戰(zhàn)術(shù)、 技術(shù)和程序(TTP),包括:
  使用與“無文件”惡意程序存在最普遍關(guān)聯(lián)的持久性技術(shù)
  • 旨在掩蓋 C2 基礎(chǔ)架構(gòu)的迷亂技術(shù)
  • 旨在繞過自動分析平臺(如惡意程序沙箱)的規(guī)避手段
  • 由于網(wǎng)絡(luò)犯罪分子會繼續(xù)擴(kuò)展 RAT 的用例范圍,因此它們在今年勢必構(gòu)成威脅。
  • 藏匿在加密流量中的威脅
  惡意攻擊者一旦成功入侵目標(biāo)組織,他們最不想遇到的情況就是自己的流量被網(wǎng)絡(luò)監(jiān)控工具監(jiān)控到。所以現(xiàn)在的很多威脅都會借助加密流量來應(yīng)對。
  從惡意攻擊的角度來看,威脅加密的手段也十分繁多。從命令控制(C2)通信到數(shù)據(jù)的盜取,惡意攻擊者都會通過加密來隱藏惡意流量。
  銀行木馬對其正在竊取的數(shù)據(jù)進(jìn)行加密
  如何能夠檢測到惡意加密流量呢?
  流量指紋技術(shù)就是捕捉惡意加密流量的方法之一。這項(xiàng)技術(shù)能夠監(jiān)控您網(wǎng)絡(luò)中的加密數(shù)據(jù)包,并尋找與已知惡意活動相匹配的攻擊模式。
  但由于惡意攻擊者能夠輕而易舉地將隨機(jī)或虛擬數(shù)據(jù)包嵌入其流量,以掩蓋可能留下的指紋,所以這項(xiàng)技術(shù)不足以捕捉所有惡意加密流量。在這種情況下如果要準(zhǔn)確識別出惡意流量,就需要求助其他檢測技術(shù),例如可識別更復(fù)雜惡意連接的機(jī)器學(xué)習(xí)算法。
  威脅可能仍然會想盡各種辦法來規(guī)避一些機(jī)器學(xué)習(xí)檢測方法,因此我們建議用戶采用分層方法,綜合多種技術(shù)。
  2020 年態(tài)勢分析
  通過加密流量發(fā)動的威脅持續(xù)加劇。根據(jù)思科收集到的數(shù)據(jù)資料,思科 Stealthwatch  發(fā)現(xiàn)的所有威脅事件有 63% 是在加密流量中發(fā)現(xiàn)的。
  由于整個行業(yè)不太可能放棄使用 https 技術(shù),因此企業(yè)千萬不能輕視這項(xiàng)加密技術(shù),因?yàn)樗芸赡軙蔀楸灰恍┚W(wǎng)絡(luò)犯罪分子進(jìn)行嘗試并有效利用的一種策略。
  Office 365 釣魚攻擊
  現(xiàn)代辦公已然離不開 Office 365,通過 outlook 郵件我們可以和同事隨時(shí)溝通。
  殊不知,或許我們的對話內(nèi)容已經(jīng)被惡意入侵者所掌握,因?yàn)樗麄円呀?jīng)成功破壞了企業(yè) Office 365 的正常使用。簡單說,就是他們會攔截并回復(fù)你發(fā)送給同事(比如xxx@cisco.com)的電子郵件。
  惡意攻擊者用來獲取 Office 365 帳戶訪問權(quán)限的方法通常簡單粗暴,這將產(chǎn)生一些系列連鎖反應(yīng)。
  網(wǎng)絡(luò)釣魚攻擊通常以貌似來自 Microsoft 的電子郵件為載體。這種電子郵件中包含一個登錄請求,包括提醒用戶重設(shè)密碼,最近是否登錄過賬戶,或帳戶存在問題,需要他們注意。郵件中還包含一個 URL,郵件閱讀者為了解決提到的問題,很可能會點(diǎn)進(jìn)去。
  在成功發(fā)起的 Office 365 網(wǎng)絡(luò)釣魚攻擊中,用戶輸入的登錄信息會被惡意攻擊者盜取。整個偽造的網(wǎng)頁上沒有任何有用的信息,只是提示用戶登錄信息錯誤,或?qū)⒂脩糁匦聨Щ氐秸嬲?Office 365 登錄頁面。
  Office 365 釣魚郵件示例
  在完成這一系列操作之后,大多數(shù)用戶都不會知道自己的登錄信息已被盜取。
  為了讓局面更加復(fù)雜,惡意攻擊者經(jīng)常會使用一種“會話劫持”的伎倆,就像前面提到的攻擊場景一樣,攻擊者正是通過對已進(jìn)入被攻擊收件箱的電子郵件進(jìn)行回復(fù),來釋放他們的惡意有效載荷。
  2020 年態(tài)勢分析
  ESG 代表思科展開的一項(xiàng)最新研究表明,超過 80% 的被訪者都提到了自己就職的企業(yè)都在使用類似 Office 365 的 SaaS 電子郵件服務(wù)。但是,仍有 43% 的被訪者反映,在使用此類服務(wù)之后,他們反而需要通過一系列補(bǔ)充的安全技術(shù)來支撐他們的郵件防御系統(tǒng)。
  Verizon 在其發(fā)布的《2019 年數(shù)據(jù)泄露調(diào)查報(bào)告》中提到,網(wǎng)絡(luò)釣魚是迄今為止成功率最高的一種威脅載體。去年,在近三分之一(32%)的數(shù)據(jù)泄密事件中,網(wǎng)絡(luò)釣魚是主要的攻擊武器。
  社交媒體和網(wǎng)絡(luò)黑市
  你還以為網(wǎng)絡(luò)犯罪行為都發(fā)生在互聯(lián)網(wǎng)深處的隱秘角落里,需要通過復(fù)雜軟件和廣泛授權(quán)才能訪問嗎?事實(shí)并非總是如此。
  網(wǎng)絡(luò)犯罪活動已經(jīng)開始出現(xiàn)在社交網(wǎng)絡(luò)!
  Talos 的研究人員在 2019 年初就發(fā)現(xiàn)了包含數(shù)十萬名成員,且以 Facebook 為公開活動平臺的多個網(wǎng)絡(luò)犯罪群組。這些群組通過社交媒體平臺與其他犯罪分子進(jìn)行聯(lián)系,共享并出售各種工具、技術(shù)以及盜取的數(shù)據(jù),犯罪分子之間有時(shí)也會互相訛詐。
  更想不到的是,有些已存在至少八年!
  網(wǎng)絡(luò)安全研究員 Brian Krebs 最近就曝光了 120 個具有類似性質(zhì)的網(wǎng)絡(luò)群組,成員總數(shù)大約在 30 萬名。雖然這些群組名義上已經(jīng)停止活動,但從 Talos 在 2019 年匯報(bào)給 Facebook 的群組數(shù)量來看,這似乎并沒有影響此類活動成員數(shù)量的增長。
  而且社交媒體平臺不僅已經(jīng)成為犯罪分子共商犯罪大計(jì)的重要場所,還變成了犯罪分子買賣工具的交易市場,包括針對如何發(fā)動攻擊提供相應(yīng)的培訓(xùn)。
  2020 年態(tài)勢分析
  2019年底,我們在 Facebook 上快速檢索了 幾個比較明顯的群組名稱,例如“ Spamprofessional(垃圾郵件專家)”,“ Spamand hackers(垃圾郵件和黑客)”,發(fā)現(xiàn)這些群組仍然存在,而且每天都有好幾條新的發(fā)帖記錄。作為一個網(wǎng)絡(luò)安全社群,我們不僅將繼續(xù)向 Facebook 報(bào)告這些群組的存在, 還會與 Facebook 聯(lián)手,實(shí)現(xiàn)更多突破。
  數(shù)字勒索詐騙
  某天,你突然收到一封標(biāo)題包含你用戶名和密碼的電子郵件,郵件的正文內(nèi)容讓你感到慌張:發(fā)件人在郵件里說他已經(jīng)入侵了一個色情網(wǎng)站,而且發(fā)現(xiàn)你訪問過這個網(wǎng)站?!
  然后,詐騙者會告訴你他們已經(jīng)控制了你的顯示器和網(wǎng)絡(luò)攝像頭,記錄了你的個人資料和色情資訊,并對這兩段視頻流進(jìn)行了同步處理。
  更令你不安的是,詐騙者還聲稱他們已經(jīng)通過你的社交媒體帳戶和電子郵件收集了所有聯(lián)系人信息,在郵件結(jié)尾,還巧妙地暗示:如果他將視頻發(fā)給聯(lián)系人,你將會多么難堪。
  接下來,詐騙者會說自己并非不近人情,想清除這些內(nèi)容并非難事,你只需支付價(jià)值 1000 美元的比特幣,就能讓這些全部消失。
  這看起來像敲詐,但也不排除虛張聲勢的成分。
  在這個案例中,電子郵件所聲稱的內(nèi)容都是虛假的:他們沒有入侵任何網(wǎng)站,沒有控制你的網(wǎng)絡(luò)攝像頭,也沒有盜取任何聯(lián)系人資料,而是在巧妙地利用人類的復(fù)雜情緒以及內(nèi)心深處的罪惡感。
  此外,還有另外一大批網(wǎng)絡(luò)釣魚活動,他們的目標(biāo)是通過誘騙大量收件人來幫助敲詐者獲利。為了增加郵件的真實(shí)感,他們會在郵件里加入真實(shí)的用戶名和/或密碼。其實(shí),敲詐者的真實(shí)意圖則是想通過之前竊取的數(shù)據(jù)牟利。
  這些郵件中還包含大量技術(shù)行話。這并不是說遠(yuǎn)程訪問你的桌面或網(wǎng)絡(luò)攝像頭是不可能發(fā)生的事(但它的確發(fā)生了),而是根據(jù)詐騙者所描述的方式,他們想要訪問您桌面或網(wǎng)絡(luò)攝像頭的可能性還是微乎其微的。
  2020 年態(tài)勢分析
  即使勝算很低也能獲利,因此數(shù)字勒索仍然是當(dāng)下常見的一種攻擊模式。下圖就為我們展示了最近出現(xiàn)的一個數(shù)字勒索案例。
  近期出現(xiàn)的數(shù)字勒索郵件示例
  思科專家建議
  思科“零信任”安全解決方案,保護(hù)企業(yè)中員工、工作負(fù)載和工作場所的訪問安全。是一種全面的安全方法,可確保跨網(wǎng)絡(luò),終端、應(yīng)用和云的所有訪問安全。點(diǎn)擊“閱讀原文”,了解完整安全解決方案。
  免費(fèi)試用
免費(fèi)為您的網(wǎng)絡(luò)進(jìn)行安全檢查 
免費(fèi)試用郵件安全方案 
   免費(fèi)試用思科終端安全
  AMP for Endpoints 軟件 /
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點(diǎn)判斷保持中立,不對所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔(dān)全部責(zé)任。

專題

CTI論壇會員企業(yè)