一、勒索工具
1. 事件回顧
2019年上半年,網(wǎng)絡(luò)犯罪分子對(duì)他們的勒索目標(biāo)更具選擇性,主要集中在跨國(guó)公司、企業(yè)甚至政府組織。他們的做法包括向員工發(fā)送量身定制的網(wǎng)絡(luò)釣魚(yú)電子郵件,利用安全漏洞進(jìn)入網(wǎng)絡(luò),然后在網(wǎng)絡(luò)中橫向拓展。
例如,Lockeroga勒索軟件在三月份襲擊了一家挪威制造公司,并停止了幾家工廠(chǎng)的生產(chǎn),最終導(dǎo)致超過(guò)5500萬(wàn)美元的財(cái)務(wù)損失;馬里蘭州巴爾的摩市在其系統(tǒng)5月份被Robbinhod勒索軟件感染后,已經(jīng)花費(fèi)了530萬(wàn)美元的恢復(fù)成本。
一些市政組織受到壓力,希望支付贖金能迅速恢復(fù)受影響系統(tǒng)。佛羅里達(dá)州的三個(gè)市在數(shù)周內(nèi)受到了不同的勒索軟件攻擊:Riviera Beach,受到一個(gè)身份不明的勒索軟件變種攻擊,以及Lake City和Key Biscayne,這兩個(gè)城市都受到了Ryuk勒索軟件的攻擊。
勒索軟件的<span><span><span><i text-align: center;
2. 復(fù)雜的程序
我們還觀察到文件加密之外的破壞程序。一些勒索軟件變種,設(shè)計(jì)了更多的功能以減少受害者恢復(fù)文件和系統(tǒng)的機(jī)會(huì)。
我們的數(shù)據(jù)顯示,上半年各種勒索軟件家族都很活躍。但Wannacry仍然是最容易被發(fā)現(xiàn)的勒索軟件家族,其數(shù)量遠(yuǎn)遠(yuǎn)超過(guò)其他勒索軟件家族的總和。
二、威脅趨勢(shì)
1. 無(wú)文件攻擊
正如我們所預(yù)測(cè)的,攻擊者越來(lái)越趨向于無(wú)文件攻擊手段,或者濫用合法的系統(tǒng)管理和滲透測(cè)試工具來(lái)隱藏他們的惡意活動(dòng)。
所謂的無(wú)文件攻擊不像傳統(tǒng)惡意軟件那么明顯,因?yàn)橥ǔ2粫?huì)寫(xiě)入磁盤(pán),而在系統(tǒng)內(nèi)存中執(zhí)行,或位于注冊(cè)表中,或者使用通常列為白名單的工具,如powershell、psexec或windows管理工具。
以下是檢測(cè)到的使用無(wú)文件技術(shù)的攻擊行為:
Cryptocurrency-mining malware Ransomware Banking trojan
這些攻擊有一個(gè)共同點(diǎn):使用工具PowerShell。對(duì)于系統(tǒng)管理員來(lái)說(shuō),PowerShell是一個(gè)方便的工具,但攻擊者可以使用它來(lái)啟動(dòng)有效payload,無(wú)需在受影響的系統(tǒng)本地內(nèi)存中寫(xiě)入或運(yùn)行文件。
2. 惡意宏軟件
惡意宏軟件較2018年下半年略有下降。我們對(duì)基于宏的威脅的檢測(cè)大多是在垃圾郵件中的Powload。
Powload經(jīng)過(guò)多年的發(fā)展,其有效負(fù)載更加多樣化,使用隱寫(xiě)術(shù),甚至使用特定地區(qū)的標(biāo)簽或詞匯。我們還看到其他的惡意宏軟件被用于垃圾郵件中。
三、郵件威脅
1. 網(wǎng)絡(luò)釣魚(yú)欺詐
網(wǎng)絡(luò)釣魚(yú)活動(dòng)在2019年上半年有所下降。數(shù)據(jù)顯示,阻止釣魚(yú)網(wǎng)站訪(fǎng)問(wèn)的次數(shù)減少了18%。造成這種下降的原因可能有幾個(gè),包括用戶(hù)對(duì)網(wǎng)絡(luò)釣魚(yú)欺詐的意識(shí)提高。在同一時(shí)間段內(nèi),我們注意到被屏蔽的網(wǎng)絡(luò)釣魚(yú)URL數(shù)量增加了76%。
網(wǎng)絡(luò)犯罪分子進(jìn)一步利用人們對(duì)知名品牌和工具的信任和多平臺(tái)的社會(huì)工程學(xué)進(jìn)行網(wǎng)絡(luò)釣魚(yú)。
安卓照片app釣魚(yú) 水坑攻擊 瀏覽器
2. 商業(yè)網(wǎng)絡(luò)詐騙
商業(yè)電子郵件詐騙(BEC)是一個(gè)簡(jiǎn)單但成本越來(lái)越高的騙局,企業(yè)必須警惕。BEC詐騙者使用各種社會(huì)工程技術(shù),通常是模仿CEO和其他高管,欺騙不知情的員工將資金轉(zhuǎn)移到他們的賬戶(hù)上。
BEC多年來(lái)一直是網(wǎng)絡(luò)詐騙威脅的一部分,騙子們一直在開(kāi)發(fā)利用受害者的新方法。也有一些實(shí)例支持我們的預(yù)測(cè),BEC詐騙者將針對(duì)公司層次結(jié)構(gòu)較低的員工。
我們的數(shù)據(jù)顯示,從2018年下半年到2019年上半年,通過(guò)垃圾郵件進(jìn)行的性騷擾增加了兩倍多,這與我們?nèi)ツ觐A(yù)測(cè)的軌跡相符。在聯(lián)邦調(diào)查局2018年收到的與敲詐勒索有關(guān)的投訴中,性侵犯占了大多數(shù)。
由于性侵犯騙局的敏感性質(zhì),受害者很可能會(huì)被迫默許性侵犯者的要求。具體例子是,共接著試圖通過(guò)發(fā)布威脅視頻來(lái)向用戶(hù)勒索錢(qián)財(cái)。
四、漏洞
1. 硬件缺陷
2018年初,熔毀和幽靈的披露為修補(bǔ)漏洞帶來(lái)了新的挑戰(zhàn)。在2019年上半年,發(fā)現(xiàn)了更多的硬件級(jí)漏洞。
今年2月,研究人員展示了一個(gè)概念證明,顯示黑客如何利用enclaves,enclaves旨在保護(hù)和訪(fǎng)問(wèn)英特爾Software Guard Extensions(SGX)中的數(shù)據(jù) ,這是一套英特爾核心和Xeon處理器中的指令。
2. 高影響漏洞
在2019年上半年的威脅形勢(shì)中,漏洞占主導(dǎo)地位。通過(guò)我們的零日計(jì)劃(ZDI)報(bào)告的大多數(shù)漏洞的嚴(yán)重性都很高。
以下是2019年上半年出現(xiàn)的一些明顯的漏洞及其對(duì)企業(yè)造成的危險(xiǎn):
五、IOT和IIOT攻擊
1. 僵尸網(wǎng)絡(luò)和蠕蟲(chóng)
正如我們預(yù)測(cè)的那樣,僵尸網(wǎng)絡(luò)和蠕蟲(chóng)一直在爭(zhēng)奪對(duì)連接到物聯(lián)網(wǎng)(IoT)設(shè)備的控制權(quán)。包括Bashlite以及Omni,Hakai和Yowai等Mirai變種。在受感染的物聯(lián)網(wǎng)設(shè)備上掃描競(jìng)爭(zhēng)對(duì)手,刪除其他惡意軟件,并嵌入自己的有效載荷。
2. 重要基礎(chǔ)設(shè)施
工業(yè)物聯(lián)網(wǎng)(IIoT)改變了工業(yè)設(shè)施和關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)行方式,提升了效率和為企業(yè)提供了運(yùn)營(yíng)可視性。 然而,運(yùn)營(yíng)技術(shù)(OT)和信息技術(shù)(IT)的融合也帶來(lái)了新的安全風(fēng)險(xiǎn),并導(dǎo)致更廣泛的攻擊面。
根據(jù)3月份發(fā)布的一項(xiàng)調(diào)查顯示,在過(guò)去兩年中,50%的被調(diào)查組織已經(jīng)發(fā)現(xiàn)其關(guān)鍵基礎(chǔ)設(shè)施遭到了攻擊。 在2019年,攻擊者正在評(píng)估IIoT目標(biāo)。 Xenotime黑客組織正在探索美國(guó)和亞太地區(qū)電網(wǎng)的工業(yè)控制系統(tǒng)(ICS)。 其組織的惡意軟件掃描并列出了目標(biāo)的遠(yuǎn)程登錄門(mén)戶(hù)和網(wǎng)絡(luò)中的漏洞。
至2019年中期,已經(jīng)出現(xiàn)了許多持續(xù)和隱蔽的威脅。對(duì)于全面防御來(lái)說(shuō),沒(méi)有一個(gè)簡(jiǎn)單的答案——企業(yè)和用戶(hù)必須找到一種多層的方法來(lái)解決他們的具體安全漏洞。網(wǎng)關(guān)、網(wǎng)絡(luò)、服務(wù)器和端點(diǎn)需要保護(hù)。對(duì)于面對(duì)使用復(fù)雜技術(shù)惡意軟件的企業(yè),需要結(jié)合專(zhuān)業(yè)知識(shí)和安全技術(shù)的解決方案來(lái)更好地檢測(cè)、關(guān)聯(lián)、響應(yīng)和補(bǔ)救威脅。
