有些網(wǎng)絡(luò )犯罪分子在制定攻擊計劃時(shí),會(huì )以特定的組織為目標。不管出于哪種原因,他們都很清楚兩件事:攻擊目標和潛在回報。一旦明確了攻擊目標,幾乎沒(méi)有什么能阻擋他們。
網(wǎng)絡(luò )犯罪分子像是沉迷于一場(chǎng)數字游戲。
他們不管被攻擊的對象是組織還是個(gè)人,只是希望盡可能擴大被攻擊者的數量,前提是他們能夠獲得他們想要的最終結果。
例如,在 2019 年首次出現的 DNS 劫持事件中,惡意攻擊者正是通過(guò)控制部分特定 DNS 條目來(lái)發(fā)動(dòng)攻擊,悄無(wú)聲息地將無(wú)防備的訪(fǎng)問(wèn)者從合法系統重定向到惡意系統,以期對方安裝惡意軟件或攔截保密資料及憑證。
DNS 劫持
DNS,全稱(chēng)域名系統(Domain Name System),用于將人類(lèi)可讀的域名(例如www.example.com)轉換成機器可讀的 IP 地址(例如 208.67.222.222)。
使用 DNS 的過(guò)程與圖書(shū)管理員幫你找書(shū)的過(guò)程非常類(lèi)似。輸入一本書(shū)的名稱(chēng),DNS “圖書(shū)管理員”會(huì )將其轉換為一個(gè) IP 地址,然后在書(shū)架上搜索這個(gè) IP 地址,然后帶你到對應的網(wǎng)站。
思科的威脅情報研究團隊 Cisco Talos 一直密切關(guān)注 DNS,而且我們在 2019 年也發(fā)現了多起利用 DNS 劫持發(fā)起的惡意攻擊。
然而 DNS 攻擊的關(guān)鍵在于,它們不會(huì )直接面向指定目標發(fā)動(dòng)攻擊,而是將圖書(shū)管理員作為攻擊對象。圖書(shū)管理員沒(méi)有將你帶到目標書(shū)籍的正確存放位置,而是把你帶去一個(gè)完全不同的地方。
更糟糕的是,你可能根本不知道自己打開(kāi)的是一個(gè)錯誤的網(wǎng)站。
就這樣,在你毫無(wú)防備的情況下抵達惡意服務(wù)器后,便會(huì )馬上成為任由惡意攻擊者擺布的受害者。惡意攻擊者可能會(huì )嘗試安裝惡意軟件,收集你的用戶(hù)名和密碼,或者隱蔽地充當惡意站點(diǎn)和合法站點(diǎn)之間的中間人,并攔截你出于其他目的(即身份盜用、勒索…)而訪(fǎng)問(wèn)的所有數據。
Sea Turtle(“海龜”)便是由控制 TLD(頂級域)的組織發(fā)起的一種 DNS 劫持案例。案例中的惡意攻擊者正是利用多個(gè)系統漏洞控制了整個(gè)域的域名服務(wù)器。
這樣一來(lái),惡意攻擊者便能對根據 DNS 請求返回的 IP 地址施加控制。它在完成一臺惡意域名服務(wù)器的設置后,就能選擇何時(shí)將針對特定域名的請求發(fā)送至合法站點(diǎn)或惡意站點(diǎn)。
Sea Turtle(“海龜”)攻擊流程圖
此外,網(wǎng)頁(yè)郵件服務(wù)器的 DNS 記錄被更改也屬于 Sea Turtle 攻擊的一部分。惡意攻擊者由此便可以攔截用戶(hù)登錄網(wǎng)頁(yè)郵件系統的連接,這樣不僅可以捕獲用戶(hù)憑證,還可讀取網(wǎng)頁(yè)郵件系統和用戶(hù)之間所傳遞的所有數據。
DNS 劫持是一種非直接攻擊案例,對隱藏在幕后的惡意攻擊者來(lái)說(shuō),他們的真正目標并非某個(gè)特定的組織,而是整個(gè)互聯(lián)網(wǎng)的基礎設施。
2020 年態(tài)勢分析
今年,“海龜” DNS 劫持行動(dòng)的幕后黑手并沒(méi)有放慢腳步。Talos 團隊發(fā)現的一些新細節也暗示出這些惡意攻擊者在我們發(fā)布有關(guān) Sea Turtle 的初步發(fā)現后已經(jīng)重整旗鼓,并且針對新的基礎設施方面發(fā)動(dòng)了更為猛烈的攻擊。
許多惡意攻擊者在被發(fā)現之后便會(huì )暫時(shí)放慢攻擊的步伐,但是這個(gè)團體卻異常明目張膽。針對這種情況,我們建議重點(diǎn)關(guān)注 DNS 安全技術(shù)和多因素身份驗證技術(shù),以落實(shí)更為嚴格的身份認證流程。
遠程訪(fǎng)問(wèn)木馬(RATs)
想象一下……
你就職于一家即將發(fā)布全新產(chǎn)品的知名科技公司,在產(chǎn)品發(fā)布前,你要嚴守相關(guān)機密信息。但很遺憾,有人入侵公司系統,并盜取了這款新品的敏感數據。
可被惡意攻擊者用來(lái)盜取公司數據的有力武器可能有很多種。下載程序,管理工具,以及資訊盜竊程序,很多時(shí)候都是催生此類(lèi)攻擊的重要原因。
但在類(lèi)似上述攻擊場(chǎng)景中,惡意攻擊者通常會(huì )在一種簡(jiǎn)稱(chēng)為“RAT”的遠端控制木馬程序的協(xié)助下發(fā)起攻擊。
如何借助 RAT 發(fā)動(dòng)惡意攻擊呢?
身為一種工具,RAT 所具備的功能可謂豐富至極。如果惡意攻擊者的目標是竊取財務(wù)數據,那么他們可以借助一個(gè) RAT,通過(guò)一臺被入侵的計算機獲取銀行信息,或者通過(guò)安裝鍵盤(pán)記錄程序來(lái)收集信用卡賬號。
RAT 程序的組成部分
許多 RAT 都能獲取到用戶(hù)已保存和緩存的密碼,一旦掌握了用戶(hù)名和密碼,惡意攻擊者便能試著(zhù)登錄到共享服務(wù)器。
謹記一點(diǎn),大部分 RAT 程序都能對已被入侵系統的命令行進(jìn)行訪(fǎng)問(wèn)。惡意攻擊者可借助相應的管理權限來(lái)控制 RAT,讓它執行惡意攻擊者計劃執行的任何操作,例如安裝和刪除文件或安裝鍵盤(pán)記錄程序。
RAT 入侵系統的方式并不存在任何特殊之處。RAT 的分布方式與其他類(lèi)型的惡意軟件大致相同:它們都與其他常見(jiàn)的攻擊媒介一道以電子郵件為發(fā)送載體,被植入程序植入系統, 并被設置為漏洞攻擊工具的有效載荷。
2020 年態(tài)勢分析
Talos 在去年夏天就發(fā)現:在針對政府實(shí)體、金融服務(wù)組織、信息技術(shù)服務(wù)商和咨詢(xún)公司發(fā)起的各種惡意軟件分發(fā)活動(dòng)中,攻擊者一直在不斷地利用 RevengeRAT 和 Orcus RAT。
與這些活動(dòng)有關(guān)的幾種獨特戰術(shù)、 技術(shù)和程序(TTP),包括:
使用與“無(wú)文件”惡意程序存在最普遍關(guān)聯(lián)的持久性技術(shù)
- 旨在掩蓋 C2 基礎架構的迷亂技術(shù)
- 旨在繞過(guò)自動(dòng)分析平臺(如惡意程序沙箱)的規避手段
- 由于網(wǎng)絡(luò )犯罪分子會(huì )繼續擴展 RAT 的用例范圍,因此它們在今年勢必構成威脅。
- 藏匿在加密流量中的威脅
惡意攻擊者一旦成功入侵目標組織,他們最不想遇到的情況就是自己的流量被網(wǎng)絡(luò )監控工具監控到。所以現在的很多威脅都會(huì )借助加密流量來(lái)應對。
從惡意攻擊的角度來(lái)看,威脅加密的手段也十分繁多。從命令控制(C2)通信到數據的盜取,惡意攻擊者都會(huì )通過(guò)加密來(lái)隱藏惡意流量。
銀行木馬對其正在竊取的數據進(jìn)行加密
如何能夠檢測到惡意加密流量呢?
流量指紋技術(shù)就是捕捉惡意加密流量的方法之一。這項技術(shù)能夠監控您網(wǎng)絡(luò )中的加密數據包,并尋找與已知惡意活動(dòng)相匹配的攻擊模式。
但由于惡意攻擊者能夠輕而易舉地將隨機或虛擬數據包嵌入其流量,以掩蓋可能留下的指紋,所以這項技術(shù)不足以捕捉所有惡意加密流量。在這種情況下如果要準確識別出惡意流量,就需要求助其他檢測技術(shù),例如可識別更復雜惡意連接的機器學(xué)習算法。
威脅可能仍然會(huì )想盡各種辦法來(lái)規避一些機器學(xué)習檢測方法,因此我們建議用戶(hù)采用分層方法,綜合多種技術(shù)。
2020 年態(tài)勢分析
通過(guò)加密流量發(fā)動(dòng)的威脅持續加劇。根據思科收集到的數據資料,思科 Stealthwatch 發(fā)現的所有威脅事件有 63% 是在加密流量中發(fā)現的。
由于整個(gè)行業(yè)不太可能放棄使用 https 技術(shù),因此企業(yè)千萬(wàn)不能輕視這項加密技術(shù),因為它很可能會(huì )成為被一些網(wǎng)絡(luò )犯罪分子進(jìn)行嘗試并有效利用的一種策略。
Office 365 釣魚(yú)攻擊
現代辦公已然離不開(kāi) Office 365,通過(guò) outlook 郵件我們可以和同事隨時(shí)溝通。
殊不知,或許我們的對話(huà)內容已經(jīng)被惡意入侵者所掌握,因為他們已經(jīng)成功破壞了企業(yè) Office 365 的正常使用。簡(jiǎn)單說(shuō),就是他們會(huì )攔截并回復你發(fā)送給同事(比如xxx@cisco.com)的電子郵件。
惡意攻擊者用來(lái)獲取 Office 365 帳戶(hù)訪(fǎng)問(wèn)權限的方法通常簡(jiǎn)單粗暴,這將產(chǎn)生一些系列連鎖反應。
網(wǎng)絡(luò )釣魚(yú)攻擊通常以貌似來(lái)自 Microsoft 的電子郵件為載體。這種電子郵件中包含一個(gè)登錄請求,包括提醒用戶(hù)重設密碼,最近是否登錄過(guò)賬戶(hù),或帳戶(hù)存在問(wèn)題,需要他們注意。郵件中還包含一個(gè) URL,郵件閱讀者為了解決提到的問(wèn)題,很可能會(huì )點(diǎn)進(jìn)去。
在成功發(fā)起的 Office 365 網(wǎng)絡(luò )釣魚(yú)攻擊中,用戶(hù)輸入的登錄信息會(huì )被惡意攻擊者盜取。整個(gè)偽造的網(wǎng)頁(yè)上沒(méi)有任何有用的信息,只是提示用戶(hù)登錄信息錯誤,或將用戶(hù)重新帶回到真正的 Office 365 登錄頁(yè)面。
Office 365 釣魚(yú)郵件示例
在完成這一系列操作之后,大多數用戶(hù)都不會(huì )知道自己的登錄信息已被盜取。
為了讓局面更加復雜,惡意攻擊者經(jīng)常會(huì )使用一種“會(huì )話(huà)劫持”的伎倆,就像前面提到的攻擊場(chǎng)景一樣,攻擊者正是通過(guò)對已進(jìn)入被攻擊收件箱的電子郵件進(jìn)行回復,來(lái)釋放他們的惡意有效載荷。
2020 年態(tài)勢分析
ESG 代表思科展開(kāi)的一項最新研究表明,超過(guò) 80% 的被訪(fǎng)者都提到了自己就職的企業(yè)都在使用類(lèi)似 Office 365 的 SaaS 電子郵件服務(wù)。但是,仍有 43% 的被訪(fǎng)者反映,在使用此類(lèi)服務(wù)之后,他們反而需要通過(guò)一系列補充的安全技術(shù)來(lái)支撐他們的郵件防御系統。
Verizon 在其發(fā)布的《2019 年數據泄露調查報告》中提到,網(wǎng)絡(luò )釣魚(yú)是迄今為止成功率最高的一種威脅載體。去年,在近三分之一(32%)的數據泄密事件中,網(wǎng)絡(luò )釣魚(yú)是主要的攻擊武器。
社交媒體和網(wǎng)絡(luò )黑市
你還以為網(wǎng)絡(luò )犯罪行為都發(fā)生在互聯(lián)網(wǎng)深處的隱秘角落里,需要通過(guò)復雜軟件和廣泛授權才能訪(fǎng)問(wèn)嗎?事實(shí)并非總是如此。
網(wǎng)絡(luò )犯罪活動(dòng)已經(jīng)開(kāi)始出現在社交網(wǎng)絡(luò )!
Talos 的研究人員在 2019 年初就發(fā)現了包含數十萬(wàn)名成員,且以 Facebook 為公開(kāi)活動(dòng)平臺的多個(gè)網(wǎng)絡(luò )犯罪群組。這些群組通過(guò)社交媒體平臺與其他犯罪分子進(jìn)行聯(lián)系,共享并出售各種工具、技術(shù)以及盜取的數據,犯罪分子之間有時(shí)也會(huì )互相訛詐。
更想不到的是,有些已存在至少八年!
網(wǎng)絡(luò )安全研究員 Brian Krebs 最近就曝光了 120 個(gè)具有類(lèi)似性質(zhì)的網(wǎng)絡(luò )群組,成員總數大約在 30 萬(wàn)名。雖然這些群組名義上已經(jīng)停止活動(dòng),但從 Talos 在 2019 年匯報給 Facebook 的群組數量來(lái)看,這似乎并沒(méi)有影響此類(lèi)活動(dòng)成員數量的增長(cháng)。
而且社交媒體平臺不僅已經(jīng)成為犯罪分子共商犯罪大計的重要場(chǎng)所,還變成了犯罪分子買(mǎi)賣(mài)工具的交易市場(chǎng),包括針對如何發(fā)動(dòng)攻擊提供相應的培訓。
2020 年態(tài)勢分析
2019年底,我們在 Facebook 上快速檢索了 幾個(gè)比較明顯的群組名稱(chēng),例如“ Spamprofessional(垃圾郵件專(zhuān)家)”,“ Spamand hackers(垃圾郵件和黑客)”,發(fā)現這些群組仍然存在,而且每天都有好幾條新的發(fā)帖記錄。作為一個(gè)網(wǎng)絡(luò )安全社群,我們不僅將繼續向 Facebook 報告這些群組的存在, 還會(huì )與 Facebook 聯(lián)手,實(shí)現更多突破。
數字勒索詐騙
某天,你突然收到一封標題包含你用戶(hù)名和密碼的電子郵件,郵件的正文內容讓你感到慌張:發(fā)件人在郵件里說(shuō)他已經(jīng)入侵了一個(gè)色情網(wǎng)站,而且發(fā)現你訪(fǎng)問(wèn)過(guò)這個(gè)網(wǎng)站?!
然后,詐騙者會(huì )告訴你他們已經(jīng)控制了你的顯示器和網(wǎng)絡(luò )攝像頭,記錄了你的個(gè)人資料和色情資訊,并對這兩段視頻流進(jìn)行了同步處理。
更令你不安的是,詐騙者還聲稱(chēng)他們已經(jīng)通過(guò)你的社交媒體帳戶(hù)和電子郵件收集了所有聯(lián)系人信息,在郵件結尾,還巧妙地暗示:如果他將視頻發(fā)給聯(lián)系人,你將會(huì )多么難堪。
接下來(lái),詐騙者會(huì )說(shuō)自己并非不近人情,想清除這些內容并非難事,你只需支付價(jià)值 1000 美元的比特幣,就能讓這些全部消失。
這看起來(lái)像敲詐,但也不排除虛張聲勢的成分。
在這個(gè)案例中,電子郵件所聲稱(chēng)的內容都是虛假的:他們沒(méi)有入侵任何網(wǎng)站,沒(méi)有控制你的網(wǎng)絡(luò )攝像頭,也沒(méi)有盜取任何聯(lián)系人資料,而是在巧妙地利用人類(lèi)的復雜情緒以及內心深處的罪惡感。
此外,還有另外一大批網(wǎng)絡(luò )釣魚(yú)活動(dòng),他們的目標是通過(guò)誘騙大量收件人來(lái)幫助敲詐者獲利。為了增加郵件的真實(shí)感,他們會(huì )在郵件里加入真實(shí)的用戶(hù)名和/或密碼。其實(shí),敲詐者的真實(shí)意圖則是想通過(guò)之前竊取的數據牟利。
這些郵件中還包含大量技術(shù)行話(huà)。這并不是說(shuō)遠程訪(fǎng)問(wèn)你的桌面或網(wǎng)絡(luò )攝像頭是不可能發(fā)生的事(但它的確發(fā)生了),而是根據詐騙者所描述的方式,他們想要訪(fǎng)問(wèn)您桌面或網(wǎng)絡(luò )攝像頭的可能性還是微乎其微的。
2020 年態(tài)勢分析
即使勝算很低也能獲利,因此數字勒索仍然是當下常見(jiàn)的一種攻擊模式。下圖就為我們展示了最近出現的一個(gè)數字勒索案例。
近期出現的數字勒索郵件示例
思科專(zhuān)家建議
思科“零信任”安全解決方案,保護企業(yè)中員工、工作負載和工作場(chǎng)所的訪(fǎng)問(wèn)安全。是一種全面的安全方法,可確保跨網(wǎng)絡(luò ),終端、應用和云的所有訪(fǎng)問(wèn)安全。點(diǎn)擊“閱讀原文”,了解完整安全解決方案。
免費試用
免費為您的網(wǎng)絡(luò )進(jìn)行安全檢查
免費試用郵件安全方案
免費試用思科終端安全
AMP for Endpoints 軟件 /
