威脅形勢是高度多樣化的,攻擊的復雜程度也從最基本的騙局發展為國家級別的網絡間諜活動。企業需要優先考慮可能影響業務運營和員工安全的最常見威脅,并部署針對性防御措施。
網絡安全公司Malwarebytes在其最新發布的《年度惡意軟件狀態報告》中,選擇了五種威脅,他們認為這些威脅是2022年觀察到的一些最常見的惡意軟件家族的原型:
• LockBit勒索軟件
• Emotet僵尸網絡
• SocGholish網頁掛馬攻擊/過路式下載攻擊( drive-by download )
• Android木馬
• macOS Genio廣告軟件
該公司在報告中指出,“想要在2023年剩余的時間里保護業務正常運營,你需要明白一點:你將面臨的最危險的網絡威脅并非你所見過的最奇怪的攻擊,也非最復雜或最引人注目的攻擊,它們甚至并非最普遍的攻擊。相反地,這些最危險的威脅往往來自一系列已知的、成熟的工具和策略,整個網絡犯罪生態系統都依賴這些工具和策略,且每年從中獲利數十億美元。”
勒索軟件之王LockBit
去年,勒索軟件威脅形勢發生了巨大變化,像Conti這樣非常成功的團伙關閉了業務。這一空白很快被大量其他規模較小的組織填補。到目前為止,最突出的是LockBit,這是一家勒索軟件即服務(RaaS)公司,它迅速創新并吸引了大量的附屬機構。
附屬機構是地下網絡犯罪組織的雇傭兵。無論是單獨的黑客還是專業的個人團體,他們主要負責處理入侵的初始訪問和橫向移動等任務,然后部署與他們相關的勒索軟件程序,以獲得受害者支付的很大一部分贖金。同時,勒索軟件的開發者負責提供軟件本身、后端基礎設施,并處理與受害者的談判過程。
LockBit并非一種新型威脅,它自2019年以來就已經存在了,最初的名字是ABCD。在成立后的頭兩年里,它們在Maze、Ryuk和Conti等更大、更多產的組織面前可謂黯然失色,后者也成功地吸引了大部分黑客人才。但這種情況在2021年隨著LockBit 2.0的發布開始發生改變,并在去年LockBit 3.0推出時真正呈現爆發態勢。現在的整個附屬計劃進行了大量修改,使其對在Conti消亡后尋找工作的附屬機構而言更有吸引力。
Malwarebytes的研究人員稱,LockBit花了很多精力向附屬機構推銷自己,維護一個光鮮的暗網網站,搞公關噱頭,并為發現軟件缺陷的人支付漏洞獎金。它聲稱自己已擁有100個附屬機構。因此,如果其中一個被捕獲,LockBit的運營也不會中斷。
根據Malwarebytes的遙測數據顯示,LockBit是去年迄今為止最活躍的勒索軟件,受害者數量是第二活躍的勒索軟件ALPHV的3.5倍。總體而言,2022年三分之一的勒索事件涉及LockBit,該團伙索要的最高贖金為5000萬美元。LockBit的附屬機構旨在攻擊所有類型的企業——從小型律師事務所到大型跨國公司——并使用各種方法獲得初始訪問權限,從濫用弱遠程訪問憑據(RDP和VPN),到利用面向公眾的系統的漏洞,再到帶有惡意附件的釣魚電子郵件。成功入侵目標后,便會銷毀備份并使用橫向移動技術獲得域管理訪問權。
惡意軟件研究人員表示,如果能夠理解并解決LockBit問題,你將大大降低企業受到任何勒索軟件攻擊的風險。
不朽的僵尸網絡Emotet
地下網絡犯罪的另一個大玩家是Emotet,作為一個僵尸網絡,它是其他惡意軟件家族的傳播平臺,包括近年來最多產的一些勒索軟件和木馬程序。
從2014年開始,Emotet經歷了多次迭代,最初是一個銀行木馬——一個專注于竊取網上銀行憑證的程序。當這一網絡犯罪分支變得不那么受歡迎時,僵尸網絡的所有者開始將目光轉向了惡意軟件的傳播。Emotet的模塊化架構使其非常靈活,易于定制不同的任務。
歐洲刑警組織曾將Emotet稱為“世界上最危險的惡意軟件”。2021年,包括美國、英國、加拿大、德國和荷蘭在內的多個國家的執法機構成功接管了該僵尸網絡的C2基礎設施。可惜的是,拆除的喜悅只是短暫的,Emotet很快得以重建,凸顯出它的彈性。
2022年11月,該僵尸網絡在中斷四個月后,以新的迭代形式回歸,每天分發數十萬封惡意電子郵件。使用電子郵件作為主要的傳遞機制,Emotet的創建者專門利用線程劫持和語言本地化等技術來發送垃圾郵件。最新的垃圾郵件活動將包含惡意宏的Excel文件與存檔一起分發。
部署后,Emotet將在系統中刪除額外的惡意軟件。在過去,它曾安裝與Ryuk勒索軟件有密切關系的另一個僵尸網絡TrickBot。在最近的攻擊中,可以看到僵尸網絡丟棄了XMRig加密程序和IcedID木馬,后者本身與其他惡意軟件家族有關。Emotet還會從安裝在電腦上的Outlook帳戶中竊取聯系人,并使用它們發送更多的垃圾郵件,并試圖破解網絡共享的密碼。
Malwarebytes的研究人員指出,“因為Emotet病毒會非常兇猛地感染和重新感染其他機器,所以從企業中刪除Emotet病毒可能是一項極其復雜和代價高的任務。例如,在賓夕法尼亞州阿倫敦市,一次錯誤的點擊便導致了病毒爆發,據報道花費了100萬美元才完成補救。”
就像LockBit是現代勒索軟件程序的原型一樣,Emotet也是僵尸網絡的原型,充當惡意軟件傳遞平臺,是進入企業網絡的初始訪問提供商之一。
SocGholish網頁掛馬攻擊十分活躍
網頁掛馬攻擊,也稱過路式下載攻擊(Drive-by download),指的是通過網站而非電子郵件發送的惡意軟件威脅。在Java、Flash Player和Adobe Reader等瀏覽器插件的時代,這曾經是一種流行的技術,因為攻擊者可以利用這些插件的過時版本中的漏洞。然而,這種方法仍然在使用,即使它現在需要用戶交互和一點社交工程手段。
SocGholish是一種遠程訪問木馬(RAT),用作惡意軟件加載程序。它通常是通過虛假的彈出窗口傳播的,這些彈出窗口會顯示在受攻擊的網站上,或者通過惡意廣告傳播。如果用戶接受了惡意的瀏覽器更新,他們通常會得到一個包含JavaScript文件的ZIP存檔。如果執行,該文件將對機器和網絡執行偵察,然后部署一些其他惡意軟件威脅,通常是勒索軟件。
Malwarebytes的研究人員警告稱,“SocGholish很簡單,但它利用了社交工程和目標指紋技術,其有效性足以危及知名公司,甚至關鍵的基礎設施。它的最終目標是傳播勒索軟件,這是一個需要認真對待的威脅。”
Android dropper
由于移動設備在任何公司的設備中都占了很大比例,Android的威脅不應被忽視。Android droppers是一種木馬程序,通常偽裝成合法應用程序或付費應用程序的免費版本,由第三方應用商店和用戶可能訪問的各種網站分發。
一般來說,在Windows上安裝它們不像安裝惡意軟件那么容易,因為用戶需要更改默認的安全設置并忽略警告,但在谷歌官方Play商店中也有惡意應用程序被發現的案例。這些dropper可用于部署其他威脅,如隱藏廣告、銀行木馬和竊取密碼、電子郵件、錄制音頻和拍照的應用程序。
Malwarebytes表示,在2022年,安卓系統檢測到的漏洞中,有14%是dropper。其他惡意軟件的傳播更為廣泛,但dropper對企業構成的威脅最大。
廣告軟件是Mac電腦上最普遍的威脅
與Windows相比,macOS惡意軟件生態系統要小得多,但威脅確實存在。其中最常見的一種是廣告軟件(adware),即注入不必要廣告的應用程序。macOS上最古老的此類程序之一叫做Genio,用于劫持瀏覽器搜索。
就像Android dropper一樣,大多數macOS廣告軟件和惡意軟件一般都是作為虛假應用程序或更新分發的。Genio曾經偽裝成Flash Player更新或捆綁視頻編解碼器,最近它開始偽裝成PDF閱讀或視頻轉換應用程序。
一旦部署了Genio,就很難刪除,因為它非常積極地隱藏自己。它會模仿系統文件和屬于其他應用程序的文件,并使用代碼混淆。它還會向其他進程注入庫,利用系統缺陷授予自己權限,未經同意安裝瀏覽器擴展,并操縱用戶的密碼密鑰鏈。
Malwarebytes的研究人員表示,盡管Genio被歸類為廣告軟件,但它也包含了一系列類似惡意軟件的行為,旨在隱藏自己以進一步深入安裝它的計算機,穿透防御系統并危及安全。去年,在macOS上檢測到的威脅中,有10%是這種威脅。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號