3月15日訊 根據(jù)本周二由FireEye公司旗下Mandiant事業(yè)部發(fā)布的2017 M-Trends報(bào)告顯示，目前經(jīng)濟(jì)利益型動(dòng)機(jī)類(lèi)惡意活動(dòng)在復(fù)雜程度上已經(jīng)與民族國(guó)家支持型攻擊基本持平。

該公司的這份報(bào)告是基于真實(shí)事件整理分析的調(diào)查數(shù)據(jù)，結(jié)果顯示過(guò)去幾年當(dāng)中利益驅(qū)動(dòng)型網(wǎng)絡(luò)犯罪活動(dòng)的復(fù)雜程度正不斷攀升。

截至2013年，專(zhuān)家將大部分由網(wǎng)絡(luò)犯罪分子發(fā)起的攻擊稱(chēng)為“破壞與掠奪”式攻擊，這類(lèi)攻擊持續(xù)長(zhǎng)期入侵系統(tǒng)，并不在意隱藏自己的行動(dòng)。之后，經(jīng)濟(jì)利益型攻擊者與民族國(guó)家支持型惡意方在攻擊活動(dòng)復(fù)雜度層面的界線變得越來(lái)越模糊，研究人員已確定這一界線已徹底消失。

經(jīng)濟(jì)利益動(dòng)機(jī)型黑客以往利用Web shell及Perl2Exe編譯型二進(jìn)制代碼配合一定命令與控制（簡(jiǎn)稱(chēng)C&C）基礎(chǔ)設(shè)施，現(xiàn)在則轉(zhuǎn)變方式，采用定制化后門(mén)配合合法網(wǎng)站作為C&C通信端以針對(duì)特定目標(biāo)系統(tǒng)。

Mandiant在2016年年內(nèi)還觀察到一種有趣的現(xiàn)象，即利用包含惡意宏的文檔實(shí)施入侵活動(dòng)。盡管在多數(shù)情況下，攻擊者會(huì)試圖通過(guò)電子郵件或者內(nèi)部文檔提供的說(shuō)明引導(dǎo)目標(biāo)用戶(hù)啟用宏，但在去年，研究人員們觀察到黑客已開(kāi)始向受害者撥打電話以說(shuō)服其啟用此類(lèi)惡意宏。

零售商已經(jīng)成為一類(lèi)有利可圖的顯著目標(biāo)，大多數(shù)零售企業(yè)無(wú)法確保對(duì)其網(wǎng)絡(luò)進(jìn)行分段隔離，攻擊者能在某一位置入侵PoS系統(tǒng)后繼而突破整個(gè)PCI環(huán)境。這樣的攻擊能夠帶來(lái)直接收益，網(wǎng)絡(luò)犯罪分子自然積極投入大量精力。

在FireEye開(kāi)展的一項(xiàng)調(diào)查當(dāng)中，一組攻擊者甚至利用Windows的0day漏洞在受影響系統(tǒng)內(nèi)實(shí)現(xiàn)權(quán)限提升，并借此入侵100余家企業(yè)。

網(wǎng)絡(luò)犯罪分子亦嘗試?yán)脧?fù)雜的技術(shù)手段以逃避檢測(cè)從而保障長(zhǎng)期入侵。其常用的有效方法之一，是在操作系統(tǒng)引導(dǎo)之前修改其分卷啟動(dòng)記錄（簡(jiǎn)稱(chēng)VBR）以實(shí)現(xiàn)后門(mén)加載。

FireEye公司還對(duì)指向目標(biāo)銀行的攻擊活動(dòng)進(jìn)行分析。在與亞洲某銀行相關(guān)的案例當(dāng)中，調(diào)查人員發(fā)現(xiàn)共有96臺(tái)服務(wù)器及工作站遭遇入侵。攻擊者首先以其下轄子公司的網(wǎng)絡(luò)為跳板，直至成功黑進(jìn)銀行的中央基礎(chǔ)設(shè)施。

在一起針對(duì)EMEA（即歐洲、非洲與中東）地區(qū)的銀行攻擊活動(dòng)當(dāng)中，惡意人士利用PowerShell與Metasploit在45臺(tái)服務(wù)器與工作站之間進(jìn)行橫向移動(dòng)。攻擊者利用被劫持的帳戶(hù)發(fā)起數(shù)額達(dá)數(shù)百萬(wàn)美元的轉(zhuǎn)帳操作，而后清除了事件日志并對(duì)系統(tǒng)分卷進(jìn)行重新格式化，計(jì)劃利用以此造成的業(yè)務(wù)中斷防止銀行在流程完成之前就發(fā)現(xiàn)相關(guān)欺詐交易。

根據(jù)FireEye公司的介紹，目前企業(yè)自身對(duì)于安全違規(guī)行為的發(fā)現(xiàn)能力已有所提升，全球范圍內(nèi)，安全違規(guī)發(fā)生到發(fā)現(xiàn)之間的周期已經(jīng)由2015年的平均146天下降至2016年的平均80天，北美地區(qū)的平均時(shí)長(zhǎng)則僅為35天。亞洲多個(gè)國(guó)家的安全違規(guī)發(fā)現(xiàn)能力仍然較差，這可能與“缺少安全相關(guān)投入”有關(guān)。

網(wǎng)絡(luò)攻擊活動(dòng)的嚴(yán)重性與復(fù)雜性呈現(xiàn)出顯著增長(zhǎng)趨勢(shì)，相比之下企業(yè)方的防御能力則發(fā)展緩慢。報(bào)告中提到，受害組織機(jī)構(gòu)盡管努力推動(dòng)防御體系改進(jìn)工作，但大多數(shù)企業(yè)仍然缺乏必要的基本安全控制與能力，因此暫無(wú)防范安全違規(guī)行為的能力以及降低不可避免之事件所帶來(lái)的危害與后果。

隨著民族國(guó)家與經(jīng)濟(jì)利益型威脅主體逐步向愈發(fā)高調(diào)的業(yè)務(wù)中斷、敲詐與公開(kāi)披露攻擊轉(zhuǎn)變，專(zhuān)家在這份報(bào)告中建議稱(chēng)，各IT與安全團(tuán)隊(duì)仍應(yīng)繼續(xù)將基礎(chǔ)性保護(hù)（例如數(shù)據(jù)與關(guān)鍵性應(yīng)用程序隔離、網(wǎng)絡(luò)分段以及關(guān)鍵性系統(tǒng)的持續(xù)可見(jiàn)性與監(jiān)控機(jī)制）作為核心工作重點(diǎn)。”