作者 | 天地和兴工业网络安全研究院
【编者按】当今社会要警惕迅速出现的网络安全威胁。网络罪犯正在改变其攻击技术,使用一系列新的策略来提高成功率。从COVID-19相关的网络钓鱼和基于表单的攻击,到IoT恶意软件和对话劫持,网络犯罪分子继续演变威胁格局,随着网络犯罪分子不断改进方法,攻击变得越来越有针对性、复杂,而且代价也越来越高。与攻击相关的成本和损害可能是极端的。这对财务造成了广泛的影响,包括业务中断、生产率降低、数据丢失、监管罚款和品牌受损。商务电子邮件泄露攻击只占所有网络攻击的一小部分,近年来给全球组织造成了数十亿美元的损失。Barracuda分析了过去12个月的专项研究,提供了对最大潜在网络安全威胁的展望,以及企业可以用来帮助防御这些威胁的有效解决方案。许多攻击旨在规避传统的电子邮件安全,包括网关和垃圾邮件过滤器。攻击通常来自信誉度高的域或已经受损的电子邮件账户。攻击通常使用欺骗技术,包括“零日”链接、以前攻击中未使用的域上托管的URL或已插入被劫持合法网站的URL等。一、头号威胁:网络钓鱼攻击鱼叉式网络钓鱼、与冠状病毒有关的网络钓鱼以及与之相关的网络钓鱼攻击,不会在短期内消失。网络钓鱼仍然是一个持续的威胁,并且攻击也在不断演变。
钓鱼邮件被随机发送给大量的收件人,预计只有一小部分人会回复。举个例子:一封来自知名快递公司的官方邮件说你的包裹被延迟了,并告诉你点击链接获取更多细节。如果你点击这个链接,恶意软件就会被下载到你的设备上。这个链接也可能指向一个虚假的网站,在那里你被要求输入你的姓名、地址和社会保险号码。这些信息将在暗网上出售,被用于身份欺诈和其他犯罪。
另一方面,鱼叉式网络钓鱼攻击非常个性化。网络犯罪分子研究他们的目标,并经常冒充一个值得信赖的同事、网站或企业。鱼叉式网络钓鱼电子邮件通常试图窃取敏感信息,如登录凭据或财务信息。例如,有时骗子冒充企业、学校或其他组织的员工,索取财务或个人信息。
1.1网络钓鱼引诱账户接管受害者
Barracuda和加州大学伯克利分校的研究人员对电子邮件账户的接管、攻击的时间线、黑客试图逃避检测的行为以及识别可疑活动的方法进行了大规模分析。
为了实施账户接管攻击,攻击者利用品牌冒充、社会工程和网络钓鱼来窃取登录凭证和访问账户。一旦账户被攻破,黑客就会监控和跟踪活动,以了解公司是如何开展业务的,包括公司使用的电子邮件签名,以及金融交易的处理方式,这样黑客就可以发动成功的攻击,包括获取其他账户的额外登录凭据。
研究人员指出,攻击是在一段时间内蔓延的;它们并不总是在账户被攻破后立即发生。攻击者在地理位置上也变得越来越聪明;他们发送钓鱼电子邮件,并从与被黑客账户的类似地区和国家相关的IP地址执行其他操作。IP地址和ISP提供了重要线索;攻击者倾向于使用属于ISP的匿名IP,而这些IP不同于被黑客攻击的账户的提供商。对于网络罪犯来说,接管账户并获得对组织及其数据的访问权限可以带来丰厚的回报。
攻击者还利用会话劫持窃取金钱和敏感个人信息。根据他们从泄露的电子邮件账户或其他来源收集到的信息,攻击者将自己插入现有的商业对话或发起新的对话。利用泄露账户中的信息,包括员工、合作伙伴和客户之间的内部和外部对话,制作令人信服的消息,并从模拟的电子邮件域发送这些消息,诱骗受害者汇钱或提供个人信息。
Barracuda的研究人员发现,近几个月来,用于促进对话劫持的领域模拟攻击急剧上升。对每月约50万次电子邮件攻击的分析显示,用于会话劫持的假冒域名攻击增加了400%。虽然与其他类型的网络钓鱼攻击相比,在冒充域攻击中使用会话劫持的频率非常低,但这些复杂的攻击都是非常个性化的,因此它们非常有效、很难检测到,而且代价高昂。
1.2利用冠状病毒为主题的钓鱼攻击
在全世界都在应对冠状病毒之时,各种钓鱼活动正利用人们对COVID-19的高度关注,散布恶意软件、窃取凭证、骗取用户钱财。这些攻击使用常见的网络钓鱼策略,但越来越多的活动正利用冠状病毒作为诱饵,并利用潜在受害者的恐惧和不确定性。早些时候,攻击者冒充世界卫生组织官员发送电子邮件,声称出售口罩或冠状病毒疗法。现在,攻击者更多地关注使用关于疫苗可用性的虚假更新来欺骗人们。
Barracuda研究人员确定了使用COVID-19主题的三种主要类型的网络钓鱼攻击:欺诈、品牌冒充和商务电子邮件泄露。以冠状病毒为诱饵的网络钓鱼攻击变得更加复杂,大量敲诈攻击也层出不穷。
鱼叉式网络钓鱼是一种针对特定组织或个人的高度个性化的网络钓鱼攻击,网络犯罪分子正利用它攻击包括教育在内的各种不同行业。
Barracuda研究人员评估了350多万个鱼叉式网络钓鱼攻击,包括针对1000多所学校、学院和大学的攻击。研究人员发现,教育机构比其他机构更容易成为商务邮件泄露(BEC)攻击的目标。事实上,超过25%的针对教育行业的鱼叉式网络钓鱼攻击都是精心策划的BEC攻击。泄露的账户随后被用来发起后续攻击并泄露其他账户。
随着解决方案的演变,攻击者也在改变策略,试图逃避检测。网络犯罪分子创建具有合法服务的电子邮件账户,并利用它们进行冒充和BEC攻击。他们写有针对性的邮件,在大多数情况下,只使用这些电子邮件账户几次,以避免被电子邮件服务提供商发现或屏蔽。
在品牌冒充攻击中,攻击者利用文件、内容共享或其他网站诱骗受害者共享登录凭据。这种高度专业化的攻击很难检测到,因为发起攻击的网络钓鱼电子邮件通常包含指向合法网站的链接,例如docs.google.com或者sway.office.com.
二、最大威胁:恶意软件攻击网络犯罪分子持续使用恶意软件发动各种攻击。恶意软件攻击是复杂的、分层的,而且还在不断演变。大多数恶意软件都以垃圾邮件的形式被广泛发送到电子邮件列表中,这些邮件列表在暗网被出售、交易、聚合和修改。通常,恶意软件隐藏在电子邮件的附件中。一旦文件被打开,要么自动安装恶意软件,要么使用一个严重混淆的宏从外部源下载并安装它。常见的恶意软件包括病毒、间谍软件、蠕虫和勒索软件。
恶意软件不断更新,包括新的规避和后门技术,旨在欺骗用户和安全服务。其中一些规避技术依赖于简单的策略,例如使用web代理来隐藏恶意流量或源IP地址。更复杂的规避技术包括多态恶意软件,它不断改变代码,以避开大多数反恶意软件工具的检测。
2.1勒索软件锁定关键文件并导致业务混乱
网络罪犯用勒索软件攻击政府、医疗保健和教育机构。恶意软件以电子邮件附件或链接的形式发送,感染网络,锁定电子邮件、数据和其他关键文件,直到被害者支付赎金。这些不断发展和复杂的攻击具有破坏性,代价高昂。它们可以破坏日常运营,造成混乱,并导致停机时间、赎金支付、回收成本和其他财务损失。例如,2018年,亚特兰大市遭遇勒索软件攻击,要求支付大约5万美元的比特币,该市最终花了260多万美元来恢复数据。
尽管勒索软件已经存在了20多年,但近年来威胁一直在迅速增长。随着疫情大流行使人们迅速而广泛地转移到远程工作,网络罪犯获得了更大的攻击面。家庭网络的安全性较弱,这使得网络罪犯更容易破坏家庭网络,并发动勒索软件攻击。
2.2新的物联网恶意软件变种构建僵尸网络
一种新的恶意软件变体正在对Mac和Android物联网设备发起攻击。此前,只有Windows和Linux电脑受到攻击。名为星际风暴的恶意软件背后的网络犯罪组织发布了新的变体,正在构建一个僵尸网络,Barracuda研究人员估计,这个僵尸网络包括分布在84个国家的约1.35万台受感染的机器,而且还在继续增长。
2.3恶意软件利用服务器和web应用程序框架
以前的加密恶意软件Golang的变种只攻击Linux机器,而最新的变种使用了新的漏洞池来攻击Windows机器。这种新的恶意软件攻击的不是终端用户,而是服务器。
这种新的恶意软件变种会攻击web应用程序框架、应用服务器和非http服务。其主要目标是挖掘加密货币。一旦恶意软件用初始有效载荷感染一台机器,它就会为加密程序下载大量文件,这些文件是根据被攻击平台定制的。恶意软件以蠕虫的形式传播,搜索并感染其他易受攻击的机器。
三、防御建议快速发展的威胁环境要求每个组织都采取多层次的保护策略,以最大限度地提高网络安全,并最大限度地降低成为复杂攻击受害者的风险。
3.1利用人工智能
攻击者正在调整电子邮件策略,以绕过网关和垃圾邮件过滤器,因此,关键是要有一个使用人工智能来检测和防御钓鱼攻击的解决方案,包括商业电子邮件泄露和品牌冒充。部署不完全依赖于寻找恶意链接或附件的专门构建的技术。使用机器学习来分析组织内的正常通信模式,并发现可能指示攻击的异常情况。
随着网络钓鱼的发展,即使是训练有素和知识渊博的用户也越来越难以发现攻击。组织应该投资于先进的检测技术和服务,以自动识别钓鱼邮件,阻止潜在的威胁邮件和附件到达电子邮件收件箱,而不是依赖用户自己识别它们。
3.2主动调查和补救
虽然许多恶意电子邮件看起来很有说服力,但钓鱼检测系统和相关安全软件可以捕捉到微妙的线索,帮助阻止潜在威胁的消息和附件进入电子邮件收件箱。
一些最具破坏性和最成功的鱼叉式网络钓鱼攻击来自于泄露的账户,所以要确保攻击者不会把组织作为发起这些攻击的大本营。使用技术来识别可疑活动,包括来自不寻常地点和IP地址的登录,这是账户被盗用的潜在迹象。一定要监视电子邮件账户,以防恶意的收件箱规则,因为它们经常被用作账户接管的一部分。黑客登录该账户,创建转发规则,隐藏或删除他们从该账户发送的任何电子邮件,来掩盖踪迹。部署一种技术,能够识别账户何时受到攻击,并通过向用户发出警报和自动删除从被攻击账户发送的恶意电子邮件来实时补救。
3.3培训员工识别和报告攻击
作为安全意识培训的一部分,教育员工有关网络钓鱼、恶意软件和其他类型的攻击。确保员工能够识别潜在威胁,了解欺诈性质,并知道如何报告这些威胁。
帮助员工避免犯代价高昂的错误,方法是制定指导方针,制定程序,确认通过电子邮件发出的请求。
利用网络钓鱼模拟将员工从安全责任转变为防线。向员工展示如何识别电子邮件、语音邮件和短信攻击。通过即时模拟测试训练的有效性,评估最易受到攻击的用户。
3.4使用各种高级解决方案
部署先进的出入站安全技术,包括恶意软件检测、垃圾邮件过滤器、网络和WAF防火墙以及沙盒。加密和DLP有助于防止意外和恶意数据丢失。电子邮件存档对于法规遵从性和业务连续性也至关重要。
对于附加了恶意文档的电子邮件,静态和动态分析都可以发现文档试图下载并运行可执行文件的迹象,这是任何文档都不应该做的。通常可以使用试探法或威胁情报系统来标记可执行文件的URL。静态分析检测到的混淆还可以指示文档是否可疑。
如果用户打开恶意附件或单击指向DRIVE BY下载的链接,能够进行恶意软件分析的高级网络防火墙会在可执行文件试图通过时对其进行标记,从而提供阻止攻击的机会。
3.5内置备份计划
在发生勒索软件攻击时,无论文件位于物理设备、虚拟环境还是公共云中,备份解决方案都可以最大限度地减少停机时间、防止数据丢失并快速恢复系统。
为了避免备份受到勒索软件攻击的影响,请遵循3-2-1规则:将文件的三个副本保存在两种不同的媒体类型上,其中至少一个在异地。
参考资料:1.Threat Spotlight: Defend against evolving phishing and malware attacks2.原文来源:关键基础设施安全应急响应中心