有些網(wǎng)絡(luò)犯罪分子在制定攻擊計劃時,會以特定的組織為目標(biāo)。不管出于哪種原因,他們都很清楚兩件事:攻擊目標(biāo)和潛在回報。一旦明確了攻擊目標(biāo),幾乎沒有什么能阻擋他們。
網(wǎng)絡(luò)犯罪分子像是沉迷于一場數(shù)字游戲。
他們不管被攻擊的對象是組織還是個人,只是希望盡可能擴大被攻擊者的數(shù)量,前提是他們能夠獲得他們想要的最終結(jié)果。
例如,在 2019 年首次出現(xiàn)的 DNS 劫持事件中,惡意攻擊者正是通過控制部分特定 DNS 條目來發(fā)動攻擊,悄無聲息地將無防備的訪問者從合法系統(tǒng)重定向到惡意系統(tǒng),以期對方安裝惡意軟件或攔截保密資料及憑證。
DNS 劫持
DNS,全稱域名系統(tǒng)(Domain Name System),用于將人類可讀的域名(例如www.example.com)轉(zhuǎn)換成機器可讀的 IP 地址(例如 208.67.222.222)。
使用 DNS 的過程與圖書管理員幫你找書的過程非常類似。輸入一本書的名稱,DNS “圖書管理員”會將其轉(zhuǎn)換為一個 IP 地址,然后在書架上搜索這個 IP 地址,然后帶你到對應(yīng)的網(wǎng)站。
思科的威脅情報研究團隊 Cisco Talos 一直密切關(guān)注 DNS,而且我們在 2019 年也發(fā)現(xiàn)了多起利用 DNS 劫持發(fā)起的惡意攻擊。
然而 DNS 攻擊的關(guān)鍵在于,它們不會直接面向指定目標(biāo)發(fā)動攻擊,而是將圖書管理員作為攻擊對象。圖書管理員沒有將你帶到目標(biāo)書籍的正確存放位置,而是把你帶去一個完全不同的地方。
更糟糕的是,你可能根本不知道自己打開的是一個錯誤的網(wǎng)站。
就這樣,在你毫無防備的情況下抵達惡意服務(wù)器后,便會馬上成為任由惡意攻擊者擺布的受害者。惡意攻擊者可能會嘗試安裝惡意軟件,收集你的用戶名和密碼,或者隱蔽地充當(dāng)惡意站點和合法站點之間的中間人,并攔截你出于其他目的(即身份盜用、勒索…)而訪問的所有數(shù)據(jù)。
Sea Turtle(“海龜”)便是由控制 TLD(頂級域)的組織發(fā)起的一種 DNS 劫持案例。案例中的惡意攻擊者正是利用多個系統(tǒng)漏洞控制了整個域的域名服務(wù)器。
這樣一來,惡意攻擊者便能對根據(jù) DNS 請求返回的 IP 地址施加控制。它在完成一臺惡意域名服務(wù)器的設(shè)置后,就能選擇何時將針對特定域名的請求發(fā)送至合法站點或惡意站點。
Sea Turtle(“海龜”)攻擊流程圖
此外,網(wǎng)頁郵件服務(wù)器的 DNS 記錄被更改也屬于 Sea Turtle 攻擊的一部分。惡意攻擊者由此便可以攔截用戶登錄網(wǎng)頁郵件系統(tǒng)的連接,這樣不僅可以捕獲用戶憑證,還可讀取網(wǎng)頁郵件系統(tǒng)和用戶之間所傳遞的所有數(shù)據(jù)。
DNS 劫持是一種非直接攻擊案例,對隱藏在幕后的惡意攻擊者來說,他們的真正目標(biāo)并非某個特定的組織,而是整個互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施。
2020 年態(tài)勢分析
今年,“海龜” DNS 劫持行動的幕后黑手并沒有放慢腳步。Talos 團隊發(fā)現(xiàn)的一些新細節(jié)也暗示出這些惡意攻擊者在我們發(fā)布有關(guān) Sea Turtle 的初步發(fā)現(xiàn)后已經(jīng)重整旗鼓,并且針對新的基礎(chǔ)設(shè)施方面發(fā)動了更為猛烈的攻擊。
許多惡意攻擊者在被發(fā)現(xiàn)之后便會暫時放慢攻擊的步伐,但是這個團體卻異常明目張膽。針對這種情況,我們建議重點關(guān)注 DNS 安全技術(shù)和多因素身份驗證技術(shù),以落實更為嚴格的身份認證流程。
遠程訪問木馬(RATs)
想象一下……
你就職于一家即將發(fā)布全新產(chǎn)品的知名科技公司,在產(chǎn)品發(fā)布前,你要嚴守相關(guān)機密信息。但很遺憾,有人入侵公司系統(tǒng),并盜取了這款新品的敏感數(shù)據(jù)。
可被惡意攻擊者用來盜取公司數(shù)據(jù)的有力武器可能有很多種。下載程序,管理工具,以及資訊盜竊程序,很多時候都是催生此類攻擊的重要原因。
但在類似上述攻擊場景中,惡意攻擊者通常會在一種簡稱為“RAT”的遠端控制木馬程序的協(xié)助下發(fā)起攻擊。
如何借助 RAT 發(fā)動惡意攻擊呢?
身為一種工具,RAT 所具備的功能可謂豐富至極。如果惡意攻擊者的目標(biāo)是竊取財務(wù)數(shù)據(jù),那么他們可以借助一個 RAT,通過一臺被入侵的計算機獲取銀行信息,或者通過安裝鍵盤記錄程序來收集信用卡賬號。
RAT 程序的組成部分
許多 RAT 都能獲取到用戶已保存和緩存的密碼,一旦掌握了用戶名和密碼,惡意攻擊者便能試著登錄到共享服務(wù)器。
謹記一點,大部分 RAT 程序都能對已被入侵系統(tǒng)的命令行進行訪問。惡意攻擊者可借助相應(yīng)的管理權(quán)限來控制 RAT,讓它執(zhí)行惡意攻擊者計劃執(zhí)行的任何操作,例如安裝和刪除文件或安裝鍵盤記錄程序。
RAT 入侵系統(tǒng)的方式并不存在任何特殊之處。RAT 的分布方式與其他類型的惡意軟件大致相同:它們都與其他常見的攻擊媒介一道以電子郵件為發(fā)送載體,被植入程序植入系統(tǒng), 并被設(shè)置為漏洞攻擊工具的有效載荷。
2020 年態(tài)勢分析
Talos 在去年夏天就發(fā)現(xiàn):在針對政府實體、金融服務(wù)組織、信息技術(shù)服務(wù)商和咨詢公司發(fā)起的各種惡意軟件分發(fā)活動中,攻擊者一直在不斷地利用 RevengeRAT 和 Orcus RAT。
與這些活動有關(guān)的幾種獨特戰(zhàn)術(shù)、 技術(shù)和程序(TTP),包括:
使用與“無文件”惡意程序存在最普遍關(guān)聯(lián)的持久性技術(shù)
- 旨在掩蓋 C2 基礎(chǔ)架構(gòu)的迷亂技術(shù)
- 旨在繞過自動分析平臺(如惡意程序沙箱)的規(guī)避手段
- 由于網(wǎng)絡(luò)犯罪分子會繼續(xù)擴展 RAT 的用例范圍,因此它們在今年勢必構(gòu)成威脅。
- 藏匿在加密流量中的威脅
惡意攻擊者一旦成功入侵目標(biāo)組織,他們最不想遇到的情況就是自己的流量被網(wǎng)絡(luò)監(jiān)控工具監(jiān)控到。所以現(xiàn)在的很多威脅都會借助加密流量來應(yīng)對。
從惡意攻擊的角度來看,威脅加密的手段也十分繁多。從命令控制(C2)通信到數(shù)據(jù)的盜取,惡意攻擊者都會通過加密來隱藏惡意流量。
銀行木馬對其正在竊取的數(shù)據(jù)進行加密
如何能夠檢測到惡意加密流量呢?
流量指紋技術(shù)就是捕捉惡意加密流量的方法之一。這項技術(shù)能夠監(jiān)控您網(wǎng)絡(luò)中的加密數(shù)據(jù)包,并尋找與已知惡意活動相匹配的攻擊模式。
但由于惡意攻擊者能夠輕而易舉地將隨機或虛擬數(shù)據(jù)包嵌入其流量,以掩蓋可能留下的指紋,所以這項技術(shù)不足以捕捉所有惡意加密流量。在這種情況下如果要準確識別出惡意流量,就需要求助其他檢測技術(shù),例如可識別更復(fù)雜惡意連接的機器學(xué)習(xí)算法。
威脅可能仍然會想盡各種辦法來規(guī)避一些機器學(xué)習(xí)檢測方法,因此我們建議用戶采用分層方法,綜合多種技術(shù)。
2020 年態(tài)勢分析
通過加密流量發(fā)動的威脅持續(xù)加劇。根據(jù)思科收集到的數(shù)據(jù)資料,思科 Stealthwatch 發(fā)現(xiàn)的所有威脅事件有 63% 是在加密流量中發(fā)現(xiàn)的。
由于整個行業(yè)不太可能放棄使用 https 技術(shù),因此企業(yè)千萬不能輕視這項加密技術(shù),因為它很可能會成為被一些網(wǎng)絡(luò)犯罪分子進行嘗試并有效利用的一種策略。
Office 365 釣魚攻擊
現(xiàn)代辦公已然離不開 Office 365,通過 outlook 郵件我們可以和同事隨時溝通。
殊不知,或許我們的對話內(nèi)容已經(jīng)被惡意入侵者所掌握,因為他們已經(jīng)成功破壞了企業(yè) Office 365 的正常使用。簡單說,就是他們會攔截并回復(fù)你發(fā)送給同事(比如xxx@cisco.com)的電子郵件。
惡意攻擊者用來獲取 Office 365 帳戶訪問權(quán)限的方法通常簡單粗暴,這將產(chǎn)生一些系列連鎖反應(yīng)。
網(wǎng)絡(luò)釣魚攻擊通常以貌似來自 Microsoft 的電子郵件為載體。這種電子郵件中包含一個登錄請求,包括提醒用戶重設(shè)密碼,最近是否登錄過賬戶,或帳戶存在問題,需要他們注意。郵件中還包含一個 URL,郵件閱讀者為了解決提到的問題,很可能會點進去。
在成功發(fā)起的 Office 365 網(wǎng)絡(luò)釣魚攻擊中,用戶輸入的登錄信息會被惡意攻擊者盜取。整個偽造的網(wǎng)頁上沒有任何有用的信息,只是提示用戶登錄信息錯誤,或?qū)⒂脩糁匦聨Щ氐秸嬲?Office 365 登錄頁面。
Office 365 釣魚郵件示例
在完成這一系列操作之后,大多數(shù)用戶都不會知道自己的登錄信息已被盜取。
為了讓局面更加復(fù)雜,惡意攻擊者經(jīng)常會使用一種“會話劫持”的伎倆,就像前面提到的攻擊場景一樣,攻擊者正是通過對已進入被攻擊收件箱的電子郵件進行回復(fù),來釋放他們的惡意有效載荷。
2020 年態(tài)勢分析
ESG 代表思科展開的一項最新研究表明,超過 80% 的被訪者都提到了自己就職的企業(yè)都在使用類似 Office 365 的 SaaS 電子郵件服務(wù)。但是,仍有 43% 的被訪者反映,在使用此類服務(wù)之后,他們反而需要通過一系列補充的安全技術(shù)來支撐他們的郵件防御系統(tǒng)。
Verizon 在其發(fā)布的《2019 年數(shù)據(jù)泄露調(diào)查報告》中提到,網(wǎng)絡(luò)釣魚是迄今為止成功率最高的一種威脅載體。去年,在近三分之一(32%)的數(shù)據(jù)泄密事件中,網(wǎng)絡(luò)釣魚是主要的攻擊武器。
社交媒體和網(wǎng)絡(luò)黑市
你還以為網(wǎng)絡(luò)犯罪行為都發(fā)生在互聯(lián)網(wǎng)深處的隱秘角落里,需要通過復(fù)雜軟件和廣泛授權(quán)才能訪問嗎?事實并非總是如此。
網(wǎng)絡(luò)犯罪活動已經(jīng)開始出現(xiàn)在社交網(wǎng)絡(luò)!
Talos 的研究人員在 2019 年初就發(fā)現(xiàn)了包含數(shù)十萬名成員,且以 Facebook 為公開活動平臺的多個網(wǎng)絡(luò)犯罪群組。這些群組通過社交媒體平臺與其他犯罪分子進行聯(lián)系,共享并出售各種工具、技術(shù)以及盜取的數(shù)據(jù),犯罪分子之間有時也會互相訛詐。
更想不到的是,有些已存在至少八年!
網(wǎng)絡(luò)安全研究員 Brian Krebs 最近就曝光了 120 個具有類似性質(zhì)的網(wǎng)絡(luò)群組,成員總數(shù)大約在 30 萬名。雖然這些群組名義上已經(jīng)停止活動,但從 Talos 在 2019 年匯報給 Facebook 的群組數(shù)量來看,這似乎并沒有影響此類活動成員數(shù)量的增長。
而且社交媒體平臺不僅已經(jīng)成為犯罪分子共商犯罪大計的重要場所,還變成了犯罪分子買賣工具的交易市場,包括針對如何發(fā)動攻擊提供相應(yīng)的培訓(xùn)。
2020 年態(tài)勢分析
2019年底,我們在 Facebook 上快速檢索了 幾個比較明顯的群組名稱,例如“ Spamprofessional(垃圾郵件專家)”,“ Spamand hackers(垃圾郵件和黑客)”,發(fā)現(xiàn)這些群組仍然存在,而且每天都有好幾條新的發(fā)帖記錄。作為一個網(wǎng)絡(luò)安全社群,我們不僅將繼續(xù)向 Facebook 報告這些群組的存在, 還會與 Facebook 聯(lián)手,實現(xiàn)更多突破。
數(shù)字勒索詐騙
某天,你突然收到一封標(biāo)題包含你用戶名和密碼的電子郵件,郵件的正文內(nèi)容讓你感到慌張:發(fā)件人在郵件里說他已經(jīng)入侵了一個色情網(wǎng)站,而且發(fā)現(xiàn)你訪問過這個網(wǎng)站?!
然后,詐騙者會告訴你他們已經(jīng)控制了你的顯示器和網(wǎng)絡(luò)攝像頭,記錄了你的個人資料和色情資訊,并對這兩段視頻流進行了同步處理。
更令你不安的是,詐騙者還聲稱他們已經(jīng)通過你的社交媒體帳戶和電子郵件收集了所有聯(lián)系人信息,在郵件結(jié)尾,還巧妙地暗示:如果他將視頻發(fā)給聯(lián)系人,你將會多么難堪。
接下來,詐騙者會說自己并非不近人情,想清除這些內(nèi)容并非難事,你只需支付價值 1000 美元的比特幣,就能讓這些全部消失。
這看起來像敲詐,但也不排除虛張聲勢的成分。
在這個案例中,電子郵件所聲稱的內(nèi)容都是虛假的:他們沒有入侵任何網(wǎng)站,沒有控制你的網(wǎng)絡(luò)攝像頭,也沒有盜取任何聯(lián)系人資料,而是在巧妙地利用人類的復(fù)雜情緒以及內(nèi)心深處的罪惡感。
此外,還有另外一大批網(wǎng)絡(luò)釣魚活動,他們的目標(biāo)是通過誘騙大量收件人來幫助敲詐者獲利。為了增加郵件的真實感,他們會在郵件里加入真實的用戶名和/或密碼。其實,敲詐者的真實意圖則是想通過之前竊取的數(shù)據(jù)牟利。
這些郵件中還包含大量技術(shù)行話。這并不是說遠程訪問你的桌面或網(wǎng)絡(luò)攝像頭是不可能發(fā)生的事(但它的確發(fā)生了),而是根據(jù)詐騙者所描述的方式,他們想要訪問您桌面或網(wǎng)絡(luò)攝像頭的可能性還是微乎其微的。
2020 年態(tài)勢分析
即使勝算很低也能獲利,因此數(shù)字勒索仍然是當(dāng)下常見的一種攻擊模式。下圖就為我們展示了最近出現(xiàn)的一個數(shù)字勒索案例。
近期出現(xiàn)的數(shù)字勒索郵件示例
思科專家建議
思科“零信任”安全解決方案,保護企業(yè)中員工、工作負載和工作場所的訪問安全。是一種全面的安全方法,可確保跨網(wǎng)絡(luò),終端、應(yīng)用和云的所有訪問安全。點擊“閱讀原文”,了解完整安全解決方案。
免費試用
免費為您的網(wǎng)絡(luò)進行安全檢查
免費試用郵件安全方案
免費試用思科終端安全
AMP for Endpoints 軟件 /