自動化主動攻擊:網絡犯罪新熱潮
作者:星期三, 七月 10, 20190

保持領先或許看起來遙不可及,但不強求完美正是開始管理風險的契機。

每隔幾年,網絡罪犯從互聯網用戶身上漁利的手法就會變上一變。新世紀之初,利用簡單的緩沖區溢出、電子郵件客戶端腳本漏洞和 SQL 注入攻擊,網絡罪犯便可無情碾壓用戶的計算機。隨后,攻擊手法演進到了通過瀏覽器及其笨重插件中的漏洞進行偷渡式下載。2010 年左右,網絡罪犯開始運用社會工程,最開始是提供虛假殺毒軟件產品,然后冒充司法機構誘騙用戶支付莫須有的罰單。2013 年,機靈的罪犯走了復古路線,將 “勒索” 這一古已有之的犯罪行當發揚光大——勒索軟件攻擊開始冒頭。

以史為鑒可以知興替。網絡犯罪同樣存在一定的周期,未來某個時間點上,勒索軟件也會式微,然后演進成另一種新的攻擊。很多因素都能終結某種興盛一時的詐騙手法。具體到勒索軟件上,那就是我們最終將 Java 和 Adobe Flash Player 從大多數家用 PC 上請走了,我們的瀏覽器開始自動更新,Windos、Mac,甚至 Linux 都開始定期更新自身了。

這些辦法顯然沒有杜絕廣撒網式惡意軟件,只是讓惡意軟件的成功率下降了而已。當今大多數勒索軟件感染似乎源自電子郵件,受害者人數也比大規模 Web 漏洞利用時期少了。

雖說網絡罪犯技術水平有高低之分,隨著可利用進程的減少和傳統入侵方法風險的上升,至少低技術水平的網絡罪犯開始意識到自己該升級了。

低級網絡罪犯還將繼續為垃圾郵件投放買單,或者租用已經被感染的 PC 隨機分發商業惡意軟件。至于高端黑客,他們已經有了新手段,是腳本小子不太可能企及的高級技術,已經可以稱之為流氓滲透測試員了。

這類黑客中首先引起人們注意的是 SamSam 黑客團伙。他們成功隱蔽了兩年時間才被安全社區發現。為什么呢?因為他們都是零星作案,從不像別人似的廣撒網。VirusTotal 之類病毒檢測服務收不到幾個樣本,幾乎沒有受害者重要到能引起關注,絕大多數安全供應商都在對大量惡意軟件的統計分析中漏掉了這幾個不起眼的雜音。

滲透測試不僅要技術,還要耐心。很多具備黑客技術的人都覺得,黑別人系統還有錢拿真是再美妙不過了。但理想有多美好,現實就有多打臉。滲透測試的目標不僅僅是突破防線侵入系統,真正的目標是要記錄下突破的方法步驟并形成報告。網絡罪犯顯然懶得做這部分繁瑣的文檔工作,直接給系統植入惡意軟件了事。

這種 “犯罪滲透測試” 似乎非常成功。SamSam 做出榜樣之后,LockerGoga、MegaCortex、Ryuk 等紛紛效仿。

該攻擊模式是這樣的:

1. 找到幾個易得手的目標。

用 Shodan 聯網設備搜索引擎查找開放遠程桌面協議 (RDP) 的機器。

找出隔離區 (DMZ) 中暴露的脆弱服務。

借助僵尸網絡運營者手中已經被感染的機器。

2. 梳理搜索結果并選取感興趣的目標。

3. 識別含有敏感數據或有趣信息的計算機。

4. 加密、勒索或盜取數據以牟利。

這種行為上的重大變化帶來了戰術上的巨大改變:自動化主動攻擊。

該方法在目標選擇上綜合利用了自動化發現技術和人類智慧,部署上采用了自定義惡意軟件小量投放的方式。這種多管齊下的戰術足以搞定大多數公司企業。畢竟,大部分公司企業的防御只是為自動化惡意軟件投放準備的,并沒有想著抵御半針對性攻擊。

對網絡罪犯而言,這種方法能從一個受害者身上撈到 5 萬至 100 萬美元,而且幾乎每個公司企業都可以當作目標,相當有利可圖。即便是超小型公司,該發工資的時候手頭也還是有個幾萬美元可用的,如果正好他們沒有備份,支付贖金就成了解燃眉之急的最佳選擇了。

以隱藏保安全雖然就加密而言不是個好主意,但卻于信息安全無損。隱藏式安全不應是唯一的策略,但稍微提升一點安全程度就能避免被簡單的掃描發現,也能規避罪犯用以發起攻擊的垃圾郵件。

正如前文所述,這些攻擊都遵循一定的模式。SamSam 團伙和其他網絡犯罪組織常會找尋那些因為某些原因導致的暴露在互聯網上的 RDP 連接。要求 VPN、多因子身份驗證或強密碼就可以擋住大部分攻擊。禁用 Web 服務器旗標廣告精確投放版助手軟件,如 PHP、Perl、Ruby,甚或你的內容管理系統 (CMS) 類型,都能幫你免遭低端自動化掃描識別。

當然,如果能打造良好的企業安全文化,專注提升安全準備度和成熟度,那就更好了。跟進安全態勢已經很難,保持領先威脅一步聽起來幾乎不可能,但認清現實,承認自己無法做到完美安全,反而能解脫出來,開始著手管理風險,而不是徒勞地追趕不可能完成的目標。

相關閱讀

 

以毒攻毒 利用自動化對抗自動化

 


相關文章

寫一條評論

 

 

0條評論