許多網絡安全組織機構專注于解決單個弱點和可利用的漏洞,認為這足以阻止攻擊。然而如今的黑客比以往的網絡犯罪更加復雜、更頑固。他們在發現一條通往目標的途徑不奏效,便會陸續嘗試直到成功入侵系統。
趨勢科技發現,最近出現了一種新型攻擊手段:并非只利用一起攻擊,而是會充分利用兩起單獨的惡意軟件攻擊。
一種攻擊負責分散注意力;
掩蓋另一惡意軟件的秘密惡意活動——以提供途徑進一步感染,或竊取數據和知識產權。
黑客通常會利用特別明顯的勒索軟件樣本發起初始攻擊,提供理想的注意力分散工具。據趨勢科技預測,這種攻擊手段將在2018年越來越常見。
此類攻擊究竟是如何實施的?當面臨此類攻擊,組織機構如何保護自己?
警惕雙重攻擊:攻擊施展障礙法掩蓋另一起攻擊-E安全
“壞兔子”(Bad Rabbit)隱藏魚叉式網絡釣魚活動
一起攻擊掩蓋另一起更具破壞性的攻擊案例不在少數,比如“壞兔子”勒索病毒。當時它被用來感染了俄羅斯和烏克蘭200多家組織機構。“壞兔子”利用“影子經紀人”(Shadow Brokers)竊取得來的NSA漏洞利用工具,使其能迅速滲透至受害者的網絡并進行傳播。
其它臭名昭著的惡意軟件最近利用了“永恒之藍(EternalBlue)”漏洞,例如NotPetya勒索軟件。“壞兔子”則利用了“永恒浪漫”(EternalRomance) RCE(遠程代碼執行)漏洞利用。
當“壞兔子”攻擊初次浮出水面時,研究人員發現感染始于被感染俄羅斯媒體網站的路過式下載(Drive-by Download),利用虛假的Flasher player安裝惡意軟件。成功感染之后,研究人員快速發現“壞兔子”除了感染及勒索以外,其樣本還隱藏了強大的魚叉式網絡釣魚攻擊活動,大量烏克蘭實體遭遇網絡釣魚攻擊,這些網絡釣魚活動旨在竊取財務信息和其它敏感數據。
因此,最初的“壞兔子”勒索軟件只是障眼法,更具針對性的攻擊意在獲取有價值的公司數據。烏克蘭國家網絡警察局局長Serhiy Demedyuk將這些實例稱為“混合攻擊”,并指出第一個攻擊獲得大量關注,從而使得第二個攻擊低調的取得“破壞性結果”。
NotPetya意在破壞
2016年3月,Petya浮水水面,該惡意軟件利用被染的電子郵件攻擊受害者,然后繼續加密單個文件,包括.exe文件。
2017年6月,NotPetya現身,最初看起來像是典型的勒索軟件感染,能在受害者和網絡之間迅速傳播。雖然NotPetya與Petya極其類似——包括加密文件和勒索要求。
警惕雙重攻擊:攻擊施展障礙法掩蓋另一起攻擊-E安全
Petya與許多勒索軟件樣本一樣,使用被感染的電子郵件。
NotPetya能自行傳播,使用幾種不同的方法進行感染,包括不需要人為干預就能成功入侵的后門。NotPetya還能加密更多文件,以至于硬盤無法使用。
出人意料的是,NotPetya實際上并不是一款勒索軟件,也并非意圖竊取數據以出售這些信息牟利,或盜取身份或實施其它惡意活動,它只是打著勒索軟件的幌子進行數據清除的“破壞”行為。
防范混合攻擊
隨著黑客攻擊日益復雜化,企業必須緊跟步伐,防御新型威脅。這些混合型攻擊說明了解網絡活動至關重要,確保不只關注一起攻擊活動,而忽略了二次破壞性攻擊。
預防措施包括端對端監控,這種方式有助于防止秘密惡意命令。IT管理人員和決策者應尋找解決方案,幫助發現針對性攻擊活動,并提供網絡可見性。
京公網安備 11010502049343號