有些网络犯罪分子在制定攻击计划时,会以特定的组织为目标。不管出于哪种原因,他们都很清楚两件事:攻击目标和潜在回报。一旦明确了攻击目标,几乎没有什么能阻挡他们。
网络犯罪分子像是沉迷于一场数字游戏。
他们不管被攻击的对象是组织还是个人,只是希望尽可能扩大被攻击者的数量,前提是他们能够获得他们想要的最终结果。
例如,在 2019 年首次出现的 DNS 劫持事件中,恶意攻击者正是通过控制部分特定 DNS 条目来发动攻击,悄无声息地将无防备的访问者从合法系统重定向到恶意系统,以期对方安装恶意软件或拦截保密资料及凭证。
DNS 劫持
DNS,全称域名系统(Domain Name System),用于将人类可读的域名(例如www.example.com)转换成机器可读的 IP 地址(例如 208.67.222.222)。
使用 DNS 的过程与图书管理员帮你找书的过程非常类似。输入一本书的名称,DNS “图书管理员”会将其转换为一个 IP 地址,然后在书架上搜索这个 IP 地址,然后带你到对应的网站。
思科的威胁情报研究团队 Cisco Talos 一直密切关注 DNS,而且我们在 2019 年也发现了多起利用 DNS 劫持发起的恶意攻击。
然而 DNS 攻击的关键在于,它们不会直接面向指定目标发动攻击,而是将图书管理员作为攻击对象。图书管理员没有将你带到目标书籍的正确存放位置,而是把你带去一个完全不同的地方。
更糟糕的是,你可能根本不知道自己打开的是一个错误的网站。
就这样,在你毫无防备的情况下抵达恶意服务器后,便会马上成为任由恶意攻击者摆布的受害者。恶意攻击者可能会尝试安装恶意软件,收集你的用户名和密码,或者隐蔽地充当恶意站点和合法站点之间的中间人,并拦截你出于其他目的(即身份盗用、勒索…)而访问的所有数据。
Sea Turtle(“海龟”)便是由控制 TLD(顶级域)的组织发起的一种 DNS 劫持案例。案例中的恶意攻击者正是利用多个系统漏洞控制了整个域的域名服务器。
这样一来,恶意攻击者便能对根据 DNS 请求返回的 IP 地址施加控制。它在完成一台恶意域名服务器的设置后,就能选择何时将针对特定域名的请求发送至合法站点或恶意站点。
Sea Turtle(“海龟”)攻击流程图
此外,网页邮件服务器的 DNS 记录被更改也属于 Sea Turtle 攻击的一部分。恶意攻击者由此便可以拦截用户登录网页邮件系统的连接,这样不仅可以捕获用户凭证,还可读取网页邮件系统和用户之间所传递的所有数据。
DNS 劫持是一种非直接攻击案例,对隐藏在幕后的恶意攻击者来说,他们的真正目标并非某个特定的组织,而是整个互联网的基础设施。
2020 年态势分析
今年,“海龟” DNS 劫持行动的幕后黑手并没有放慢脚步。Talos 团队发现的一些新细节也暗示出这些恶意攻击者在我们发布有关 Sea Turtle 的初步发现后已经重整旗鼓,并且针对新的基础设施方面发动了更为猛烈的攻击。
许多恶意攻击者在被发现之后便会暂时放慢攻击的步伐,但是这个团体却异常明目张胆。针对这种情况,我们建议重点关注 DNS 安全技术和多因素身份验证技术,以落实更为严格的身份认证流程。
远程访问木马(RATs)
想象一下……
你就职于一家即将发布全新产品的知名科技公司,在产品发布前,你要严守相关机密信息。但很遗憾,有人入侵公司系统,并盗取了这款新品的敏感数据。
可被恶意攻击者用来盗取公司数据的有力武器可能有很多种。下载程序,管理工具,以及资讯盗窃程序,很多时候都是催生此类攻击的重要原因。
但在类似上述攻击场景中,恶意攻击者通常会在一种简称为“RAT”的远端控制木马程序的协助下发起攻击。
如何借助 RAT 发动恶意攻击呢?
身为一种工具,RAT 所具备的功能可谓丰富至极。如果恶意攻击者的目标是窃取财务数据,那么他们可以借助一个 RAT,通过一台被入侵的计算机获取银行信息,或者通过安装键盘记录程序来收集信用卡账号。
RAT 程序的组成部分
许多 RAT 都能获取到用户已保存和缓存的密码,一旦掌握了用户名和密码,恶意攻击者便能试着登录到共享服务器。
谨记一点,大部分 RAT 程序都能对已被入侵系统的命令行进行访问。恶意攻击者可借助相应的管理权限来控制 RAT,让它执行恶意攻击者计划执行的任何操作,例如安装和删除文件或安装键盘记录程序。
RAT 入侵系统的方式并不存在任何特殊之处。RAT 的分布方式与其他类型的恶意软件大致相同:它们都与其他常见的攻击媒介一道以电子邮件为发送载体,被植入程序植入系统, 并被设置为漏洞攻击工具的有效载荷。
2020 年态势分析
Talos 在去年夏天就发现:在针对政府实体、金融服务组织、信息技术服务商和咨询公司发起的各种恶意软件分发活动中,攻击者一直在不断地利用 RevengeRAT 和 Orcus RAT。
与这些活动有关的几种独特战术、 技术和程序(TTP),包括:
使用与“无文件”恶意程序存在最普遍关联的持久性技术
- 旨在掩盖 C2 基础架构的迷乱技术
- 旨在绕过自动分析平台(如恶意程序沙箱)的规避手段
- 由于网络犯罪分子会继续扩展 RAT 的用例范围,因此它们在今年势必构成威胁。
- 藏匿在加密流量中的威胁
恶意攻击者一旦成功入侵目标组织,他们最不想遇到的情况就是自己的流量被网络监控工具监控到。所以现在的很多威胁都会借助加密流量来应对。
从恶意攻击的角度来看,威胁加密的手段也十分繁多。从命令控制(C2)通信到数据的盗取,恶意攻击者都会通过加密来隐藏恶意流量。
银行木马对其正在窃取的数据进行加密
如何能够检测到恶意加密流量呢?
流量指纹技术就是捕捉恶意加密流量的方法之一。这项技术能够监控您网络中的加密数据包,并寻找与已知恶意活动相匹配的攻击模式。
但由于恶意攻击者能够轻而易举地将随机或虚拟数据包嵌入其流量,以掩盖可能留下的指纹,所以这项技术不足以捕捉所有恶意加密流量。在这种情况下如果要准确识别出恶意流量,就需要求助其他检测技术,例如可识别更复杂恶意连接的机器学习算法。
威胁可能仍然会想尽各种办法来规避一些机器学习检测方法,因此我们建议用户采用分层方法,综合多种技术。
2020 年态势分析
通过加密流量发动的威胁持续加剧。根据思科收集到的数据资料,思科 Stealthwatch 发现的所有威胁事件有 63% 是在加密流量中发现的。
由于整个行业不太可能放弃使用 https 技术,因此企业千万不能轻视这项加密技术,因为它很可能会成为被一些网络犯罪分子进行尝试并有效利用的一种策略。
Office 365 钓鱼攻击
现代办公已然离不开 Office 365,通过 outlook 邮件我们可以和同事随时沟通。
殊不知,或许我们的对话内容已经被恶意入侵者所掌握,因为他们已经成功破坏了企业 Office 365 的正常使用。简单说,就是他们会拦截并回复你发送给同事(比如xxx@cisco.com)的电子邮件。
恶意攻击者用来获取 Office 365 帐户访问权限的方法通常简单粗暴,这将产生一些系列连锁反应。
网络钓鱼攻击通常以貌似来自 Microsoft 的电子邮件为载体。这种电子邮件中包含一个登录请求,包括提醒用户重设密码,最近是否登录过账户,或帐户存在问题,需要他们注意。邮件中还包含一个 URL,邮件阅读者为了解决提到的问题,很可能会点进去。
在成功发起的 Office 365 网络钓鱼攻击中,用户输入的登录信息会被恶意攻击者盗取。整个伪造的网页上没有任何有用的信息,只是提示用户登录信息错误,或将用户重新带回到真正的 Office 365 登录页面。
Office 365 钓鱼邮件示例
在完成这一系列操作之后,大多数用户都不会知道自己的登录信息已被盗取。
为了让局面更加复杂,恶意攻击者经常会使用一种“会话劫持”的伎俩,就像前面提到的攻击场景一样,攻击者正是通过对已进入被攻击收件箱的电子邮件进行回复,来释放他们的恶意有效载荷。
2020 年态势分析
ESG 代表思科展开的一项最新研究表明,超过 80% 的被访者都提到了自己就职的企业都在使用类似 Office 365 的 SaaS 电子邮件服务。但是,仍有 43% 的被访者反映,在使用此类服务之后,他们反而需要通过一系列补充的安全技术来支撑他们的邮件防御系统。
Verizon 在其发布的《2019 年数据泄露调查报告》中提到,网络钓鱼是迄今为止成功率最高的一种威胁载体。去年,在近三分之一(32%)的数据泄密事件中,网络钓鱼是主要的攻击武器。
社交媒体和网络黑市
你还以为网络犯罪行为都发生在互联网深处的隐秘角落里,需要通过复杂软件和广泛授权才能访问吗?事实并非总是如此。
网络犯罪活动已经开始出现在社交网络!
Talos 的研究人员在 2019 年初就发现了包含数十万名成员,且以 Facebook 为公开活动平台的多个网络犯罪群组。这些群组通过社交媒体平台与其他犯罪分子进行联系,共享并出售各种工具、技术以及盗取的数据,犯罪分子之间有时也会互相讹诈。
更想不到的是,有些已存在至少八年!
网络安全研究员 Brian Krebs 最近就曝光了 120 个具有类似性质的网络群组,成员总数大约在 30 万名。虽然这些群组名义上已经停止活动,但从 Talos 在 2019 年汇报给 Facebook 的群组数量来看,这似乎并没有影响此类活动成员数量的增长。
而且社交媒体平台不仅已经成为犯罪分子共商犯罪大计的重要场所,还变成了犯罪分子买卖工具的交易市场,包括针对如何发动攻击提供相应的培训。
2020 年态势分析
2019年底,我们在 Facebook 上快速检索了 几个比较明显的群组名称,例如“ Spamprofessional(垃圾邮件专家)”,“ Spamand hackers(垃圾邮件和黑客)”,发现这些群组仍然存在,而且每天都有好几条新的发帖记录。作为一个网络安全社群,我们不仅将继续向 Facebook 报告这些群组的存在, 还会与 Facebook 联手,实现更多突破。
数字勒索诈骗
某天,你突然收到一封标题包含你用户名和密码的电子邮件,邮件的正文内容让你感到慌张:发件人在邮件里说他已经入侵了一个色情网站,而且发现你访问过这个网站?!
然后,诈骗者会告诉你他们已经控制了你的显示器和网络摄像头,记录了你的个人资料和色情资讯,并对这两段视频流进行了同步处理。
更令你不安的是,诈骗者还声称他们已经通过你的社交媒体帐户和电子邮件收集了所有联系人信息,在邮件结尾,还巧妙地暗示:如果他将视频发给联系人,你将会多么难堪。
接下来,诈骗者会说自己并非不近人情,想清除这些内容并非难事,你只需支付价值 1000 美元的比特币,就能让这些全部消失。
这看起来像敲诈,但也不排除虚张声势的成分。
在这个案例中,电子邮件所声称的内容都是虚假的:他们没有入侵任何网站,没有控制你的网络摄像头,也没有盗取任何联系人资料,而是在巧妙地利用人类的复杂情绪以及内心深处的罪恶感。
此外,还有另外一大批网络钓鱼活动,他们的目标是通过诱骗大量收件人来帮助敲诈者获利。为了增加邮件的真实感,他们会在邮件里加入真实的用户名和/或密码。其实,敲诈者的真实意图则是想通过之前窃取的数据牟利。
这些邮件中还包含大量技术行话。这并不是说远程访问你的桌面或网络摄像头是不可能发生的事(但它的确发生了),而是根据诈骗者所描述的方式,他们想要访问您桌面或网络摄像头的可能性还是微乎其微的。
2020 年态势分析
即使胜算很低也能获利,因此数字勒索仍然是当下常见的一种攻击模式。下图就为我们展示了最近出现的一个数字勒索案例。
近期出现的数字勒索邮件示例
思科专家建议
思科“零信任”安全解决方案,保护企业中员工、工作负载和工作场所的访问安全。是一种全面的安全方法,可确保跨网络,终端、应用和云的所有访问安全。点击“阅读原文”,了解完整安全解决方案。
免费试用
免费为您的网络进行安全检查
免费试用邮件安全方案
免费试用思科终端安全
AMP for Endpoints 软件 /
