01 更多的供應(yīng)鏈攻擊
卡巴斯基實(shí)驗(yàn)室的全球研究和分析團(tuán)隊(duì)追蹤了超過100個(gè)APT(高級(jí)持續(xù)性威脅)的組織,發(fā)現(xiàn)有一些的攻擊活動(dòng)非常復(fù)雜,他們不僅擁有廣泛的武器庫(kù),包括零日漏洞,無(wú)文本攻擊工具等,并將傳統(tǒng)的黑客攻擊復(fù)雜化去實(shí)現(xiàn)數(shù)據(jù)滲透的目的。
在APT攻擊中,常有高級(jí)威脅行為者試圖破壞某個(gè)目標(biāo),卻不斷失敗的案例。這是因?yàn)樗麄兊墓裟繕?biāo)使用了強(qiáng)大的網(wǎng)絡(luò)安全防護(hù)體系,對(duì)員工進(jìn)行了良好的安全教育,或者遵循了諸如澳大利亞的DSD TOP35之類的防御策略。
但是,高級(jí)APT攻擊組織的威脅行為者是不會(huì)輕易放棄的,他們會(huì)一直尋找方法入侵。
當(dāng)一切嘗試都失敗時(shí),他們可能會(huì)后退一步,重新評(píng)估形勢(shì)。在重新評(píng)估中,威脅行為者會(huì)發(fā)現(xiàn)“供應(yīng)鏈攻擊”比直接進(jìn)攻更有效。
攻擊目標(biāo)即使使用了第三方軟件,構(gòu)建了世界上最好的網(wǎng)絡(luò)防御系統(tǒng)也無(wú)濟(jì)于事,因?yàn)榈谌杰浖赡苁且粋€(gè)更容易的目標(biāo),他們可以利用它來(lái)攻擊受到更好保護(hù)的原始目標(biāo)企業(yè)。
在2017年,有這樣一些案例,包括但不限于:
這些攻擊很難識(shí)別。例如,在Shadowpad的案例中,攻擊者成功地利用Netsarang軟件攜帶惡意軟件程序包,在世界各地傳播,尤其是銀行、大型企業(yè)和其他垂直行業(yè)。
在很多情況下,它們都是命令和控制(C&C)流量,畢竟用戶很難察覺到干凈的程序包和攜帶惡意代碼的程序包的差異。
在CCleaner案例中,估計(jì)有超過200萬(wàn)臺(tái)電腦被感染,這使它成為2017年最大的供應(yīng)鏈攻擊之一。
研究人員分析了惡意的CCleaner代碼后,將它與其他一些已知的后門程序聯(lián)系起來(lái),這些后門程序被APT組織“Axiom umbrella”(APT17,也叫Aurora)使用過。這證明了APT組織愿意為了實(shí)現(xiàn)其目標(biāo)拉長(zhǎng)戰(zhàn)線。
綜上所述,目前的“供應(yīng)鏈攻擊”數(shù)量可能比我們了解到的要高得多,只是這些還沒有被暴露出來(lái)。
在2018年,我們能預(yù)計(jì)無(wú)論是已經(jīng)發(fā)現(xiàn)的還是攻擊到實(shí)際的,在攻擊數(shù)量方面將出現(xiàn)更多的“供應(yīng)鏈攻擊”。
在特定區(qū)域和垂直行業(yè)上使用木馬化專業(yè)軟件,將變成類似于“水坑攻擊”的戰(zhàn)略性選擇。
02 更多高端的移動(dòng)惡意軟件
2016年8月,CitizenLab和Lookout公司公布了一份他們發(fā)現(xiàn)的一個(gè)名為“Pegasus”的移動(dòng)間諜平臺(tái)的分析報(bào)告。
Pegasus是一款所謂的“合法攔截”軟件套件,被一家名為“NSO Group”的以色列公司出售給政府和其他實(shí)體企業(yè)。
Pegasus若是結(jié)合多個(gè)零日漏洞,能夠遠(yuǎn)程繞過現(xiàn)代移動(dòng)操作系統(tǒng)(如iOS)的安全防御。
2017年4月,谷歌發(fā)布了其對(duì)Android版本的Pegasus間諜軟件的分析報(bào)告,該軟件名為“Chrysaor”。
除了Pegasus和Chrysaor等“合法監(jiān)視”間諜軟件之外,許多其他APT組織也開發(fā)了專屬的移動(dòng)惡意軟件。
由于iOS是一個(gè)特殊的操作系統(tǒng),用戶很難檢查他們的手機(jī)是否被感染。
所以,盡管Android的安全漏洞越來(lái)越嚴(yán)重,但Android上的情況要更好一些。
綜上所述,由于遙測(cè)技術(shù)的缺陷,使得一些移動(dòng)惡意軟件難以被發(fā)現(xiàn)和根除,所以,目前在野存在的移動(dòng)惡意軟件的總數(shù)可能比已經(jīng)公布的要高。
在2018年,我們預(yù)計(jì)將會(huì)出現(xiàn)針對(duì)移動(dòng)設(shè)備的更高端的APT惡意軟件,畢竟安全檢測(cè)技術(shù)改進(jìn)了,針對(duì)移動(dòng)端的攻擊數(shù)量也在增長(zhǎng)中,惡意軟件也需要更高端。
03 更多類似BeEF的web框架分析工具
隨著越來(lái)越多的安全和緩解技術(shù)被默認(rèn)部署在操作系統(tǒng)中,零日漏洞的價(jià)格在2016年和2017年急劇上升。
例如,世界著名漏洞軍火商Zerodium最近表示愿意出價(jià)150萬(wàn)美元購(gòu)買一套完整的iPhone(iOS)持續(xù)性攻擊的遠(yuǎn)程越獄漏洞,即在沒有任何用戶交互的情況下,遠(yuǎn)程感染目標(biāo)設(shè)備。
一些政府客戶也選擇用驚人的價(jià)格為這些漏洞買單,這意味著人們?cè)絹?lái)越多地注意保護(hù)這些漏洞,以避免意外披露。
這也意味著,攻擊者在攻擊前需要經(jīng)歷一個(gè)更縝密的偵察過程。
例如,偵察階段可以強(qiáng)調(diào)識(shí)別目標(biāo)、操作系統(tǒng)、插件和其他第三方軟件使用的瀏覽器的準(zhǔn)確版本。
憑借這些信息,攻擊者可以針對(duì)目標(biāo)特性調(diào)整他們的開發(fā)方式,交付一個(gè)不太敏感的將“1-day”或“N-day”的漏洞,而不是被譽(yù)為“皇冠上的寶石”的“0-day”漏洞。
類似于Turla、Sofacy和Newsbeef這樣的APT組織已把這類分析技術(shù)運(yùn)用得相當(dāng)熟練,其他的APT組織也以其自定義的分析框架而聞名,比如多產(chǎn)的Scanbox。
由于分析框架的普遍性和零日漏洞的高昂代價(jià),我們可以估計(jì)在2018年使用“BeEF”之類的分析工具包將會(huì)增加,更多的黑客團(tuán)隊(duì)可能采用公共框架,或者自己開發(fā)工具包。
04 先進(jìn)的UEFI和BIOS攻擊
UEFI (統(tǒng)一可擴(kuò)展固件接口)是一種軟件接口,是現(xiàn)代pc機(jī)與操作系統(tǒng)之間的媒介。由英特爾在2005年開發(fā),正在迅速取代傳統(tǒng)的BIOS標(biāo)準(zhǔn)。這是因?yàn)锽IOS缺乏一些高級(jí)特性:例如,安裝并運(yùn)行可執(zhí)行文件、網(wǎng)絡(luò)功能、加密、CPU獨(dú)立架構(gòu)和驅(qū)動(dòng)程序等能力。
而UEFI可以彌補(bǔ)BIOS缺乏的這些能力,這使得UEFI成為一個(gè)有吸引力的平臺(tái),攻擊者也在其中找到許多在BIOS平臺(tái)上并不存在的新漏洞。
例如,運(yùn)行自定義可執(zhí)行模塊的能力使得它能夠創(chuàng)建惡意軟件,而由UEFI直接執(zhí)行就能繞過任何反惡意軟件解決方案。
從2015年開始,商業(yè)級(jí)的UEFI惡意軟件就已經(jīng)存在了。但是, 到目前為止仍然缺少針對(duì)這類惡意軟件的成熟的、可靠的檢測(cè)方法。
我們預(yù)計(jì),在2018年,將會(huì)看到更多基于UEFI的惡意軟件。
05 破壞性的攻擊仍在繼續(xù)
從2016年11月開始,卡巴斯基實(shí)驗(yàn)室觀察到一波針對(duì)中東地區(qū)多個(gè)目標(biāo)的“雨刷攻擊”。
在新的襲擊中使用的惡意軟件是臭名昭著的Shamoon蠕蟲病毒的變種,該蠕蟲在2012年襲擊了Saudi Aramco和Rasgas公司。
沉寂了四年,歷史上最神秘的雨刷工具又回來(lái)了。Shamoon,也被稱為Disttrack,是一個(gè)具有高度破壞性的惡意軟件家族,它能有效地清除了受害者設(shè)備上的數(shù)據(jù)。
在襲擊當(dāng)天,一群被稱為“正義之劍”的組織發(fā)布了一份巴氏(Pastebin)信息,并對(duì)Saudi Aramco發(fā)動(dòng)攻擊,并稱此次襲擊是針對(duì)沙特王室的一項(xiàng)舉措。
在2016年11月,又發(fā)生了Shamoon 2.0攻擊事件,此次目標(biāo)是沙特阿拉伯多個(gè)關(guān)鍵部門和經(jīng)濟(jì)部門。就像之前的變種一樣,Shamoon 2.0“雨刮器”的目標(biāo)是對(duì)組織內(nèi)部系統(tǒng)和 設(shè)備進(jìn)行大規(guī)模破壞。
在調(diào)查Shamoon 2.0的攻擊時(shí),卡巴斯基實(shí)驗(yàn)室還發(fā)現(xiàn)了一個(gè)以前不為人知的惡意軟件,似乎針對(duì)的也是沙特阿拉伯地區(qū)的組織。
我們已經(jīng)把這種新“雨刷器”稱為“StoneDrill”,它很有可能與Newsbeef APT組織存在關(guān)聯(lián)。
除了Shamoon和Stonedrill,發(fā)生在2017年的極具破壞性的攻擊活動(dòng)還有很多,如ExPetr/ NotPetya攻擊,最初被認(rèn)為是勒索軟件,結(jié)果被證明是一個(gè)巧妙偽裝的“雨刷器”。
緊隨其后的另一波“贖金”攻擊,使得受害者幾乎沒有機(jī)會(huì)恢復(fù)他們的數(shù)據(jù),這都是因?yàn)檫@些勒索軟件都被 “雨刷器”巧妙地掩飾了。
關(guān)于“雨刷器即勒索軟件”(wipers as ransomware)這一事實(shí),在2016年出現(xiàn)的由CloudAtlas APT組織發(fā)起的針對(duì)俄羅斯的金融機(jī)構(gòu)的攻擊活動(dòng)中可以證實(shí)。
在2018年,我們預(yù)計(jì)破壞性攻擊活動(dòng)將繼續(xù)上升,或許還會(huì)在網(wǎng)絡(luò)戰(zhàn)中占據(jù)極大地位。
06 更多的加密系統(tǒng)被顛覆
在2017年3月,美國(guó)國(guó)家安全局開發(fā)的IoT加密方案提議遭到了Simon和Speck異體ISO認(rèn)證的質(zhì)疑,這兩項(xiàng)提案都被撤回并推遲了。
2016年8月,Juniper Networks宣布在他們的NetScreen防火墻中發(fā)現(xiàn)了兩個(gè)神秘的后門。可能是Dual_EC隨機(jī)數(shù)生成器所使用的常量發(fā)生了細(xì)微的變化,使得攻擊者能夠從NetScreen設(shè)備解密VPN流量。
最初的Dual_EC算法是由國(guó)家安全局設(shè)計(jì)的,并通過了NIST標(biāo)準(zhǔn)。
早在2013年,路透社(Reuters)的一份報(bào)告就顯示,美國(guó)國(guó)家安全局(NSA)向RSA支付了1000萬(wàn)美元,把Dual_EC這個(gè)脆弱的算法集成到它的加密套件中
即使在2007年就從理論上確定了植入后門程序的可能性,一些公司(包括Juniper)仍采用了不同的常數(shù)集,繼續(xù)使用該算法,這在理論上是安全的。
但是這組不同的常量并不能改變什么,一些APT攻擊者仍會(huì)攻擊Juniper,他們會(huì)將這些常量更改為一個(gè)可以控制和利用的內(nèi)容來(lái)解密VPN流量。
這些嘗試并沒有被忽視。在2017年9月,一個(gè)國(guó)際密碼學(xué)專家小組迫使美國(guó)國(guó)家安全局放棄了兩種新的加密算法,該組織希望將其標(biāo)準(zhǔn)化。
2017年10月,新聞報(bào)道了英飛凌技術(shù)股份公司(Infineon Technologies)在他們使用的硬件芯片加密庫(kù)中的一個(gè)缺陷。雖然這一漏洞似乎是無(wú)意的,但它確實(shí)讓我們對(duì)“智能卡、無(wú)線網(wǎng)絡(luò)或加密Web流量等日常生活中使用的基礎(chǔ)加密技術(shù)的安全性”產(chǎn)生了質(zhì)疑。
在2018年,我們預(yù)測(cè)將會(huì)發(fā)現(xiàn)更加嚴(yán)重的加密漏洞,并希望無(wú)論是加密算法標(biāo)準(zhǔn)本身還是在具體的實(shí)踐中出現(xiàn)的漏洞都能被修補(bǔ)。
07 電子商務(wù)領(lǐng)域的身份認(rèn)證危機(jī)
在過去的幾年里,發(fā)生了大規(guī)模的的個(gè)人可識(shí)別信息(PII)泄露事件。
最新的數(shù)據(jù)顯示,Equifax的漏洞事件影響了約1.455億美國(guó)人。
雖然許多人已經(jīng)對(duì)這些數(shù)據(jù)泄露事件麻木,但需要明白的是,規(guī)模化的PII信息泄露可能會(huì)危及電子商務(wù)的基礎(chǔ),以及將互聯(lián)網(wǎng)用作重要文書工作的政府機(jī)構(gòu)的安全。
欺詐和身份盜用問題是一個(gè)長(zhǎng)期存在的問題,但當(dāng)基本的身份識(shí)別信息泄露如此泛濫時(shí),人們是否會(huì)認(rèn)為相關(guān)企業(yè)根本就不可靠呢?
這時(shí),商業(yè)和政府機(jī)構(gòu)(特別是在美國(guó))將面臨一種選擇,即縮減采用互聯(lián)網(wǎng)運(yùn)營(yíng)的舒適度,或是采用其他多因素安全解決方案。
也許像ApplePay這樣的有彈性的替代方案將會(huì)成為一種現(xiàn)實(shí)的方式來(lái)確保身份和交易,但同時(shí),我們可能會(huì)看到,為了實(shí)現(xiàn)繁瑣的官僚程序的現(xiàn)代化和降低運(yùn)營(yíng)成本,互聯(lián)網(wǎng)的關(guān)鍵作用正在放緩。
08 更多的路由器和調(diào)制解調(diào)器攻擊
另一個(gè)被廣泛忽視的領(lǐng)域是路由器和調(diào)制解調(diào)器。
無(wú)論是在家里還是在企業(yè)中都存在這些硬件,它們對(duì)日常運(yùn)營(yíng)至關(guān)重要,然而這些硬件上面運(yùn)行的專有軟件卻又常處于未打補(bǔ)丁或無(wú)人看管的狀態(tài)。
一些攻擊者正是利用這一點(diǎn),獲取到網(wǎng)絡(luò)持久和隱蔽性訪問權(quán)。
此外,最新研究結(jié)果顯示,在某些情況下,攻擊者甚至可以模擬不同的互聯(lián)網(wǎng)用戶,將蹤跡轉(zhuǎn)移到完全不同的網(wǎng)絡(luò)連接地址中。
2018年,可以預(yù)計(jì),攻擊者對(duì)誤導(dǎo)和虛假標(biāo)志的興趣正在不斷增加。對(duì)這些設(shè)備進(jìn)行更嚴(yán)格的審查將會(huì)有更多的發(fā)現(xiàn)。
09 社交媒體的政治化作用凸顯
在即將過去一年里,除了信息泄露和政治鬧劇之外,社交媒體本身已經(jīng)扮演了一個(gè)重要的政治化角色。
無(wú)論是政府當(dāng)局的幕后操縱,還是《南方公園》的作者們對(duì)Facebook首席執(zhí)行官的冷嘲熱諷,人們都將目光轉(zhuǎn)向了不同的社交媒體巨頭,他們要求進(jìn)行一定程度的事實(shí)核查,以確認(rèn)虛假用戶和試圖發(fā)揮不相稱的社會(huì)影響力的機(jī)器人(即僵尸粉)的真實(shí)性。
然而,這些社交網(wǎng)絡(luò)(以“日常活躍用戶”之類的量化指標(biāo)為基礎(chǔ))幾乎沒有什么動(dòng)機(jī)來(lái)真正清除他們的機(jī)器人用戶群。
即使這些機(jī)器人正在服務(wù)于一個(gè)明顯的惡意軟件,或者可以被獨(dú)立研究人員追蹤到。
我們預(yù)計(jì),社交媒體政治化將會(huì)呈現(xiàn)更明顯的濫用趨勢(shì),大型僵尸網(wǎng)絡(luò)將成為更廣泛的政治毒瘤,更大的反彈將指向社交媒體本身的真實(shí)用戶,反感的用戶會(huì)更為迫切地需要尋找到下一個(gè)替代品。
總結(jié)
在2018年,我們希望看到先進(jìn)的威脅行為者發(fā)揮他們的新優(yōu)勢(shì),打磨他們的新工具,以及在上述領(lǐng)域更大程度地發(fā)揮他們的作用。
每年的主題和趨勢(shì)都不應(yīng)該孤立地進(jìn)行,它們相互依賴,無(wú)論是個(gè)人、企業(yè)還是政府,都能看到面臨的威脅正在不斷增長(zhǎng)。
應(yīng)對(duì)這一沖擊的唯一方式是威脅情報(bào)的共享和相關(guān)知識(shí)的應(yīng)用。
盡管這些預(yù)測(cè)涵蓋了針對(duì)先進(jìn)目標(biāo)的威脅趨勢(shì),但單個(gè)行業(yè)部門將面臨各自不同的挑戰(zhàn)。在2018年,我們也會(huì)把目光放在其中的一些上。
PDF下載地址:Kaspersky Security Bulletin