威胁形势是高度多样化的,攻击的复杂程度也从最基本的骗局发展为国家级别的网络间谍活动。企业需要优先考虑可能影响业务运营和员工安全的最常见威胁,并部署针对性防御措施。
网络安全公司Malwarebytes在其最新发布的《年度恶意软件状态报告》中,选择了五种威胁,他们认为这些威胁是2022年观察到的一些最常见的恶意软件家族的原型:
• LockBit勒索软件
• Emotet僵尸网络
• SocGholish网页挂马攻击/过路式下载攻击( drive-by download )
• Android木马
• macOS Genio广告软件
该公司在报告中指出,“想要在2023年剩余的时间里保护业务正常运营,你需要明白一点:你将面临的最危险的网络威胁并非你所见过的最奇怪的攻击,也非最复杂或最引人注目的攻击,它们甚至并非最普遍的攻击。相反地,这些最危险的威胁往往来自一系列已知的、成熟的工具和策略,整个网络犯罪生态系统都依赖这些工具和策略,且每年从中获利数十亿美元。”
勒索软件之王LockBit
去年,勒索软件威胁形势发生了巨大变化,像Conti这样非常成功的团伙关闭了业务。这一空白很快被大量其他规模较小的组织填补。到目前为止,最突出的是LockBit,这是一家勒索软件即服务(RaaS)公司,它迅速创新并吸引了大量的附属机构。
附属机构是地下网络犯罪组织的雇佣兵。无论是单独的黑客还是专业的个人团体,他们主要负责处理入侵的初始访问和横向移动等任务,然后部署与他们相关的勒索软件程序,以获得受害者支付的很大一部分赎金。同时,勒索软件的开发者负责提供软件本身、后端基础设施,并处理与受害者的谈判过程。
LockBit并非一种新型威胁,它自2019年以来就已经存在了,最初的名字是ABCD。在成立后的头两年里,它们在Maze、Ryuk和Conti等更大、更多产的组织面前可谓黯然失色,后者也成功地吸引了大部分黑客人才。但这种情况在2021年随着LockBit 2.0的发布开始发生改变,并在去年LockBit 3.0推出时真正呈现爆发态势。现在的整个附属计划进行了大量修改,使其对在Conti消亡后寻找工作的附属机构而言更有吸引力。
Malwarebytes的研究人员称,LockBit花了很多精力向附属机构推销自己,维护一个光鲜的暗网网站,搞公关噱头,并为发现软件缺陷的人支付漏洞奖金。它声称自己已拥有100个附属机构。因此,如果其中一个被捕获,LockBit的运营也不会中断。
根据Malwarebytes的遥测数据显示,LockBit是去年迄今为止最活跃的勒索软件,受害者数量是第二活跃的勒索软件ALPHV的3.5倍。总体而言,2022年三分之一的勒索事件涉及LockBit,该团伙索要的最高赎金为5000万美元。LockBit的附属机构旨在攻击所有类型的企业——从小型律师事务所到大型跨国公司——并使用各种方法获得初始访问权限,从滥用弱远程访问凭据(RDP和VPN),到利用面向公众的系统的漏洞,再到带有恶意附件的钓鱼电子邮件。成功入侵目标后,便会销毁备份并使用横向移动技术获得域管理访问权。
恶意软件研究人员表示,如果能够理解并解决LockBit问题,你将大大降低企业受到任何勒索软件攻击的风险。
不朽的僵尸网络Emotet
地下网络犯罪的另一个大玩家是Emotet,作为一个僵尸网络,它是其他恶意软件家族的传播平台,包括近年来最多产的一些勒索软件和木马程序。
从2014年开始,Emotet经历了多次迭代,最初是一个银行木马——一个专注于窃取网上银行凭证的程序。当这一网络犯罪分支变得不那么受欢迎时,僵尸网络的所有者开始将目光转向了恶意软件的传播。Emotet的模块化架构使其非常灵活,易于定制不同的任务。
欧洲刑警组织曾将Emotet称为“世界上最危险的恶意软件”。2021年,包括美国、英国、加拿大、德国和荷兰在内的多个国家的执法机构成功接管了该僵尸网络的C2基础设施。可惜的是,拆除的喜悦只是短暂的,Emotet很快得以重建,凸显出它的弹性。
2022年11月,该僵尸网络在中断四个月后,以新的迭代形式回归,每天分发数十万封恶意电子邮件。使用电子邮件作为主要的传递机制,Emotet的创建者专门利用线程劫持和语言本地化等技术来发送垃圾邮件。最新的垃圾邮件活动将包含恶意宏的Excel文件与存档一起分发。
部署后,Emotet将在系统中删除额外的恶意软件。在过去,它曾安装与Ryuk勒索软件有密切关系的另一个僵尸网络TrickBot。在最近的攻击中,可以看到僵尸网络丢弃了XMRig加密程序和IcedID木马,后者本身与其他恶意软件家族有关。Emotet还会从安装在电脑上的Outlook帐户中窃取联系人,并使用它们发送更多的垃圾邮件,并试图破解网络共享的密码。
Malwarebytes的研究人员指出,“因为Emotet病毒会非常凶猛地感染和重新感染其他机器,所以从企业中删除Emotet病毒可能是一项极其复杂和代价高的任务。例如,在宾夕法尼亚州阿伦敦市,一次错误的点击便导致了病毒爆发,据报道花费了100万美元才完成补救。”
就像LockBit是现代勒索软件程序的原型一样,Emotet也是僵尸网络的原型,充当恶意软件传递平台,是进入企业网络的初始访问提供商之一。
SocGholish网页挂马攻击十分活跃
网页挂马攻击,也称过路式下载攻击(Drive-by download),指的是通过网站而非电子邮件发送的恶意软件威胁。在Java、Flash Player和Adobe Reader等浏览器插件的时代,这曾经是一种流行的技术,因为攻击者可以利用这些插件的过时版本中的漏洞。然而,这种方法仍然在使用,即使它现在需要用户交互和一点社交工程手段。
SocGholish是一种远程访问木马(RAT),用作恶意软件加载程序。它通常是通过虚假的弹出窗口传播的,这些弹出窗口会显示在受攻击的网站上,或者通过恶意广告传播。如果用户接受了恶意的浏览器更新,他们通常会得到一个包含JavaScript文件的ZIP存档。如果执行,该文件将对机器和网络执行侦察,然后部署一些其他恶意软件威胁,通常是勒索软件。
Malwarebytes的研究人员警告称,“SocGholish很简单,但它利用了社交工程和目标指纹技术,其有效性足以危及知名公司,甚至关键的基础设施。它的最终目标是传播勒索软件,这是一个需要认真对待的威胁。”
Android dropper
由于移动设备在任何公司的设备中都占了很大比例,Android的威胁不应被忽视。Android droppers是一种木马程序,通常伪装成合法应用程序或付费应用程序的免费版本,由第三方应用商店和用户可能访问的各种网站分发。
一般来说,在Windows上安装它们不像安装恶意软件那么容易,因为用户需要更改默认的安全设置并忽略警告,但在谷歌官方Play商店中也有恶意应用程序被发现的案例。这些dropper可用于部署其他威胁,如隐藏广告、银行木马和窃取密码、电子邮件、录制音频和拍照的应用程序。
Malwarebytes表示,在2022年,安卓系统检测到的漏洞中,有14%是dropper。其他恶意软件的传播更为广泛,但dropper对企业构成的威胁最大。
广告软件是Mac电脑上最普遍的威胁
与Windows相比,macOS恶意软件生态系统要小得多,但威胁确实存在。其中最常见的一种是广告软件(adware),即注入不必要广告的应用程序。macOS上最古老的此类程序之一叫做Genio,用于劫持浏览器搜索。
就像Android dropper一样,大多数macOS广告软件和恶意软件一般都是作为虚假应用程序或更新分发的。Genio曾经伪装成Flash Player更新或捆绑视频编解码器,最近它开始伪装成PDF阅读或视频转换应用程序。
一旦部署了Genio,就很难删除,因为它非常积极地隐藏自己。它会模仿系统文件和属于其他应用程序的文件,并使用代码混淆。它还会向其他进程注入库,利用系统缺陷授予自己权限,未经同意安装浏览器扩展,并操纵用户的密码密钥链。
Malwarebytes的研究人员表示,尽管Genio被归类为广告软件,但它也包含了一系列类似恶意软件的行为,旨在隐藏自己以进一步深入安装它的计算机,穿透防御系统并危及安全。去年,在macOS上检测到的威胁中,有10%是这种威胁。
关于企业网D1net(www.d1net.com):
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个IT行业公众号(微信搜索D1net即可关注)。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号