不過,此次活動只是側(cè)載攻擊構(gòu)成威脅的一個主要示例。那么究竟什么是側(cè)載攻擊?它們?nèi)绾芜\行?會對企業(yè)造成什么損害?以及如何防御它們?以下是企業(yè)需要了解的有關(guān)側(cè)載攻擊的全部信息。
什么是側(cè)載攻擊(sideloading attack)?
Netacea威脅研究主管Matthew Gracey McMinn介紹稱,“側(cè)載只是將應(yīng)用程序安裝到手機或計算機等設(shè)備上。只是,它與正常安裝的主要區(qū)別在于,側(cè)載是指在不使用應(yīng)用商店的情況下安裝應(yīng)用程序的操作。例如,從Google查找應(yīng)用程序并將其安裝到iPhone中,而不是從App Store下載。”
在此過程中,攻擊者所要做的就是讓用戶相信自己正在安裝一個合法且值得信賴的應(yīng)用程序。 Redscan威脅情報主管George Glass表示,此類應(yīng)用程序可能未經(jīng)安全測試,并且本質(zhì)上可能是惡意的,因此用戶通過安裝它們會面臨安全威脅。雖然大多數(shù)設(shè)備都已禁用此訪問,需要用戶在菜單中手動啟用它才能運行,但Windows 10如今仍默認允許側(cè)載。
Glass補充道,“通常來說,這些應(yīng)用程序是在某種形式的社交工程攻擊之后通過網(wǎng)絡(luò)釣魚電子郵件或彈出廣告下載的。用戶還可能被“免費”或“破解”版本吸引,進而下載包含惡意代碼的軟件。”
最近觀察到的一個側(cè)載攻擊案例就是WizardUpdate,它偽裝成合法的應(yīng)用程序,例如 Adobe Flash Player。最初,該應(yīng)用程序只是一種偵察工具,用于收集系統(tǒng)信息并將其轉(zhuǎn)發(fā)回命令和控制(C2)服務(wù)器。然而,該應(yīng)用程序現(xiàn)在已升級為包含避免macOS網(wǎng)守保護、從應(yīng)用程序內(nèi)加載其他程序(例如廣告軟件和惡意軟件)以及更改系統(tǒng)設(shè)置等功能。
Gracey McMinn指出,鑒于許多公司都擁有不通過官方應(yīng)用商店提供,且業(yè)務(wù)流程所需的合法定制應(yīng)用程序,因此側(cè)載也就成為其生態(tài)系統(tǒng)的必要組成部分。
側(cè)載攻擊的影響
側(cè)載攻擊對企業(yè)造成的潛在損害可能是巨大的。Glass解釋稱,“側(cè)載應(yīng)用程序攻擊可能會導致企業(yè)遭到入侵,除非支付贖金,否則無法訪問數(shù)據(jù),或者是機密數(shù)據(jù)外泄。此外,側(cè)載應(yīng)用程序存在與電子郵件附帶惡意軟件類似的風險,只是側(cè)載攻擊最初的感染方法可能會受到相對較少的安全控制。”
攻擊者能夠在側(cè)載攻擊中傳播的惡意軟件范圍極廣——從簡單的鍵盤記錄器或勒索軟件,到刪除數(shù)據(jù)并使設(shè)備無法運行的惡意軟件。狡猾的網(wǎng)絡(luò)犯罪分子會嘗試將惡意軟件與有用的東西(例如免費的PDF到Word文檔轉(zhuǎn)換器)捆綁在一起。用戶安裝了自認為有用的工具,卻完全不知道后臺運行的惡意軟件。這種后臺惡意軟件會創(chuàng)建一個后門,使攻擊者可以訪問和控制設(shè)備。
一些攻擊者選擇將這些進入公司的訪問點出售給其他參與者,而另一些則會繼續(xù)利用這些訪問點發(fā)起進一步攻擊。Gracey McMinn介紹稱,“擁有網(wǎng)絡(luò)后門的網(wǎng)絡(luò)犯罪分子可以以此為立足點,進一步破壞更多端點。他們將在網(wǎng)絡(luò)中(從計算機到計算機、服務(wù)器到服務(wù)器)移動,直到獲取足夠的訪問和控制權(quán)限來發(fā)動針對目標的大規(guī)模攻擊。”
如此一來,即便是一臺計算機上的一個簡單的惡意側(cè)載應(yīng)用程序,都可能會導致關(guān)鍵服務(wù)器和業(yè)務(wù)的廣泛部分遭受全面勒索軟件攻擊,進而削弱業(yè)務(wù)并阻止其執(zhí)行核心業(yè)務(wù)功能。此類攻擊的問題在于,攻擊者可以安裝的惡意軟件類型實際上沒有限制。
如何防止側(cè)載攻擊
雖然喪失對關(guān)鍵服務(wù)、數(shù)據(jù)庫、數(shù)字流程的訪問權(quán)以及使用IT資產(chǎn)的能力,足以讓任何安全領(lǐng)導者徹夜難眠,但CISO可以采取措施幫助企業(yè)防止側(cè)載攻擊。安全專家一致認為,想要實現(xiàn)這一點,必須將技術(shù)控制與用戶意識結(jié)合起來。
技術(shù)控制可以限制用戶安裝應(yīng)用程序的能力,但這些對于業(yè)務(wù)需求來說并非總是實用的。這就是意識培訓發(fā)揮作用的地方。
Glass建議稱,考慮通過Windows組策略限制用戶權(quán)限,以防止非系統(tǒng)管理員在公司設(shè)備上下載和安裝可能不需要的程序。通過使用應(yīng)用程序允許列表,確保用戶僅直接從供應(yīng)商的網(wǎng)站或應(yīng)用程序商店而非第三方網(wǎng)站下載和安裝軟件。
企業(yè)還應(yīng)掃描電子郵件以防止惡意內(nèi)容到達受害者手中,并使用完整的網(wǎng)絡(luò)保護套件來檢測和阻止勒索軟件和其他惡意軟件,同時,監(jiān)控進出網(wǎng)絡(luò)的數(shù)據(jù)流,并使用經(jīng)過驗證且受保護的備份解決方案進行恢復(fù)(如果數(shù)據(jù)丟失的話)。此外,還需要部署零信任策略,這可以防止用戶從未經(jīng)授權(quán)的位置安裝軟件,并將每個用戶對網(wǎng)絡(luò)資源的訪問權(quán)限制在他們工作所需的范圍內(nèi)。
由于大多數(shù)側(cè)載攻擊都依賴社交工程技術(shù),因此對用戶進行教育培訓至關(guān)重要。此外,當用戶找不到應(yīng)用程序來做他們業(yè)務(wù)所需的事情時,他們經(jīng)常會嘗試側(cè)載應(yīng)用程序。為此,建議CISO確保企業(yè)中的所有員工都知道可以向他們請求獲取所需的應(yīng)用程序,以便為員工提供已知安全的應(yīng)用程序。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號