背景介绍
虽然我们都知道,前瞻性的预测是项很难完成的技术活,但是时间到了,我们的威胁预测也再次如期而至了!
回顾即将过去的2017年,作为一名安全人员的我,不得不说内心是无比矛盾的:
一方面,看着那些曾经的理论性问题在现实的攻击中得到了验证,看到自己的研究成果获得一定的认证,我们的心情是兴奋异常的,这能够帮助我们的研究人员了解到实际的攻击面和攻击者的战术,并进一步磨练我们的狩猎和检测能力,以应对可能出现的各种新攻击。
但是另一方面,作为高度关注安全动态的人而言,不得不说,每一件全球性的安全事件都是一场无法弥补的灾难。
在这层出不穷的安全事件中,我们看到用户、电子商务、金融机构甚至政府机构都存在很多不安全的情况,也都同时面临严峻的安全挑战。
正如我们以往所表达的一样,我们的威胁预测并不是简单的“玩票”行为,而是试图通过展示未来一年安全趋势的形式进一步带动我们全年的研究,同时也为相关机构发出安全警告,领先威胁一步做好安全防范,最大限度降低威胁带来的损失。
我们的预测成功率究竟如何?
根据去年发布的威胁预测以及今年发生的攻击现状,我们做了一份简易的积分卡,看看究竟哪些预测实现了?又有哪些预测尚未发生?
01
网络间谍和APT
预测:几乎没有感染迹象的被动性植入物(Passive implants)将成为攻击新手段
结果:实现!
相关事件:Lamberts工具包——“NOBUS”后门程序,被动性植入物,其复杂性在于能够通过广播、多播和单播命令在一个网络中嗅探多个受害者,从而允许操作者在多个受感染机器的网络中精确(像外科手术一样精准)的发起攻击活动。
预测:瞬时感染/内存恶意软件(Ephemeral infections / memory malware)
结果:实现!
相关事件:针对企业网络的无文件攻击;
预测:间谍活动正在转移至针对移动设备;
结果:实现!
相关事件:Chrysaor恶意软件——在 Android 设备上,Chrysaor会强制让你的手机Root,直接取得最高权限。若Root不成功,该软件还是会透过漏洞让黑客窃取你手机中的资料。此外,Chrysaor 厉害的地方在于它一旦被发现,就会自动解除安装,使用者可能永远都不知道自己的设备遭到入侵。
02
金融攻击
预测:金融攻击的未来将日趋严峻;
结果:实现!
相关事件:lazarus组织针对金融机构的“银行劫案”;
03
勒索软件
预测:肮脏又极具欺骗性的勒索软件将呈增长趋势;
结果:实现!
相关事件:petya、WannaCry等全球性勒索软件病毒;
04
工业威胁
预测:针对工控系统的网络大战;
结果:工控系统网络大战并未到来,不过我们也很开心对于这个问题的预测结果是错误的!但是针对工控系统的网络攻击事件仍有发生,还需提高警惕;
05
物联网
预测:让物联网变“砖”的恶意软件;
结果:实现!
相关事件:BrickerBot恶意软件——通过破坏存储能力和重新配置内核参数破坏世界范围的物联网设备。
06
信息战
预测:信息战将愈演愈烈;
结果:实现!
相关事件:很多,如网络谣言等;
2018年威胁预测
01
更多的供应链攻击
卡巴斯基实验室的全球研究和分析团队跟踪了超过100个APT(高级持续威胁)组织及其活动,发现其中一些攻击活动异常复杂,拥有丰富的武器库,包括零日漏洞、无文件攻击工具等,并将传统的黑客攻击与更复杂的团队结合,来完成数据渗漏的任务。
在APT攻击中,我们经常可以看到,高级威胁行为者长期试图破坏某个目标,却屡屡失败的情况。这是因为目标机构使用了强大的安全防护体系,并对员工进行了良好的安全教育,使其不易成为社会工程学的受害者,或者目标有意识地遵循诸如澳大利亚DSD TOP35之类的防御策略来应对APT攻击。
但是,一般来说,一个被称为高级APT攻击组织的威胁行为者是不会轻易放弃的,他们会继续寻找防守的突破口,直至找到合适的入侵方法或途径。
当所有尝试都失败时,他们可能会退后一步,重新评估形势。在这样重新评估的过程中,威胁行为者可能会意识到“供应链攻击”比直接攻击目标更有效。
即使目标采用了世界上最好的网络防御措施,也同样可能会使用第三方的软件。如此一来,第三方就成为一个更容易的攻击目标,可以将其作为“跳板”来攻击受到更好保护的原有目标企业。
在2017年,我们就已经发现了多起利用“供应链攻击”的案例,包括但不限于:
Shadowpad
CCleaner
Expetr / NotPetya
这些攻击可能非常难以识别或缓解。以Shadowpad为例,攻击者成功地将后门程序植入到全球各地广泛使用的NetSarang 的软件套件中,使其得以在全球范围内传播,尤其是银行、大型企业和其他垂直行业。
由于其使用了合法的NetSarang凭据签署的恶意程式,所以用户很难察觉到干净的程序包和携带恶意代码的程序包的差异——在很多情况下,它们都是命令和控制(C&C)流量。
而在CCleaner的案例中,据估计,超过200万台计算机受到感染,使其成为2017年最大的供应链攻击之一。
研究人员分析CCleaner的恶意代码后将其关联到几个已知的后门程序,这些后门程序过去曾被APT组织“Axiom umbrella”(即APT17,也被称为Aurora极光)使用过。CCleaner事件证明,APT组织为了实现其目标甘愿拉长战线。
综合上述,我们给出的评估结果是,目前“供应链攻击”的数量可能远高于我们所察觉到的,只是这些攻击尚未被注意到或暴露出来。
到2018年期间,我们预计,从发现的到实际的攻击数量方面都将出现更多的“供应链攻击”。
针对特定地区和垂直行业使用木马化专业软件,将变成类似于“水坑攻击”的战略性选择。
02
更多高端的移动恶意软件
2016年8月, 电脑 CitizenLab和Lookout发表了一份他们对发现的一个复杂的移动间谍平台“Pegasus”的分析报告。
据悉,Pegasus是一款所谓的“合法拦截”软件套件,由一家名为“NSO Group”的以色列公司专门出售给政府机构以及其他实体。
Pegasus结合了多个零日漏洞,能够远程绕过现代移动操作系统(如iOS)的安全防御。2017年4月,谷歌公布了其对Pegasus间谍软件的安卓版Chrysaor的分析报告。
除了Pegasus和Chrysaor等“合法监视”间谍软件之外,还有许多其他的APT组织也已经开发了专属于自己的移动恶意软件植入物。
由于iOS操作系统的特殊性,用户有较少的可能性来检查自身的手机是否受到了感染。
因此,尽管Android操作系统的安全漏洞越来越严重,但Android系统中想要检测恶意软件的情况就更容易一些。
综上所述,我们给出的评估是,在野存在的移动恶意软件的总数可能比目前已公布的数量要高,这是由于遥测技术的缺陷使得这些移动端恶意软件更难以被发现和根除。
我们预计,到2018年,将出现更多针对移动端的高级APT恶意软件,这一方面得益于安全检测技术的改进,另一方面是针对移动端的攻击数量也在进一步增长,需要更高端的恶意软件支持。
03
更多类似BeEF的web框架分析工具
由于操作系统在默认条件下部署的安全和缓解技术越来越受到关注,致使2016年至2017年期间,零日漏洞的价格也实现了猛涨。
例如,世界著名漏洞军火商 Zerodium最近表示愿意出价150万美元购买一套完整的iPhone(iOS)持续性攻击的远程越狱漏洞,换一种说法,即在没有任何用户交互的情况下,远程感染目标设备。
一些政府客户也选择为这些漏洞利用支付惊人的价格,这意味着,人们越来越关注保护这些漏洞,防止其遭到意外披露。
同时这也意味着,攻击者在提供实际的攻击组件之前,需要执行更为缜密的侦察工作。
例如,在侦察阶段,攻击者可以重点识别目标使用的浏览器、操作系统、插件以及其他第三方软件的确切版本。
凭借这些信息,攻击者就可以针对目标的特征微调他们的漏洞利用工具包,交付一个不太敏感“1-day”或“N-day”漏洞,而不是使用被誉为“皇冠上的宝石”的“0-day”漏洞。
这类分析技术已经被类似于Turla 、Sofacy和Newsbeef这样的APT组织运用得相当熟练了,此外,其他的APT组织也以其自定义的分析框架而闻名,如,多产的Scanbox。
考虑到这些框架的普遍性,以及零日漏洞的高昂代价,我们预计,到2018年,类似“BeEF”这样的分析工具包的使用将有所增加,更多的黑客团体将采用公共框架或是开发自定义的工具包。
04
先进的UEFI和BIOS攻击
统一可扩展固件接口(UEFI)是一种软件接口,作为现代PC上固件和操作系统之间的媒介。2005年由英特尔开发,目前正在迅速取代传统的BIOS标准。
这是由于BIOS缺乏一些高级功能:例如,安装并运行可执行文件、网络功能、加密、CPU独立架构和驱动程序等能力。
正是由于UEFI弥补了BIOS缺乏的这些能力,使得UEFI成为一个颇有吸引力的平电脑台,攻击者也在其中找到许多在原始的、严格的BIOS平台上并不存在的新漏洞。
例如,运行自定义的可执行模块的能力使得它能够创建恶意软件,且由UEFI直接执行从而绕过了任何反恶意软件解决方案。
事实上,自2015年以来,商业级UEFI恶意软件就已经存在并为人所知,但令人惊讶的是,到目前为止仍然缺少针对这类恶意软件的成熟的、可靠的检测方法。
我们估计,到2018年,我们将会看到更多基于UEFI的恶意软件。
05
破坏性的攻击仍在继续
从2016年11月开始,卡巴斯基实验室观察到针对中东地区多个目标的新一轮“雨刷攻击”。
新攻击活动中使用的恶意软件是2012年针对Saudi Aramco和Rasgas公司的,一种臭名昭著的Shamoon蠕虫的变种。
沉睡四年后,历史上最神秘的雨刷工具之一又回归到人们的视野中。Shamoon,也被称为Disttrack,是一个具有高度破坏性的恶意软件家族,能够有效地擦除受害者设备上的数据。
2016年11月,研究人员又发现了Shamoon2.0的攻击活动,此次攻击的目标主要为沙特阿拉伯地区的多个关键部门和经济部门的组织。
就像之前的变种一样,Shamoon 2.0“雨刮器”的目标是大规模销毁目标组织内的系统和设备。
在调查Shamoon2.0攻击活动的同时,卡巴斯基实验室还发现了一个以前未知的雨刮器恶意软件,似乎针对的目标也是沙特阿拉伯地区的组织。
我们将这种新的“雨刮器”称为“StoneDrill”,并认为其很可能与Newsbeef 电脑 APT组织存在关联。
除了Shamoon和Stonedrill,2017年还有很多极具破坏性的攻击活动。包括最初被认定为勒索软件的ExPetr / NotPetya攻击,事实证明也是一个伪装得很巧妙的“雨刷器”。
之后由其他勒索软件掀起的攻击浪潮中,受害者恢复数据的机会微乎其微,因为这些勒索软件都是都经过巧妙地掩饰的雨刷器。
其中一个关于“雨刷器即勒索软件”(wipers as ransomware)鲜为人知的事实是,在2016年由CloudAtlas APT组织发起的针对俄罗斯金融机构的攻击活动中,这种方式就已经被广泛使用了。
我们预计,到2018年,这种极具破坏性的攻击活动将继续上升,甚至它将成为网络战中效果最明显的一种攻击类型。
06
更多的加密系统被颠覆
2016年8月,Juniper网络公司宣布其NetScreen防火墙中发现两个神秘的后门,其中最有趣的是Netscreen防火墙采用的Dual_EC随机数生成器所使用的常数发生了微妙的变化,使得经验丰富的攻击者能够解密NetScreen设备上的VPN流量。
之前的Dual_EC算法是由NSA设计的,并通过了NIST标准,而据路透社报道称,早在2013,美国国家安全局就支付了1000万美元把Dual_EC这个脆弱的算法集成到了RSA的加密套件中。
即便是早在2007年就已经在理论上确认了能够植入后门程序的可能性,几家公司(包括Juniper)仍然继续使用该算法,虽然算法使用了不同的常数集,这将使得在理论上是安全的。
但是,对于APT攻击者而言,并不会因其使用了不同的常数集而轻易放弃入侵Juniper的机会,他们可能会将常数集修改为他们可控制和利用的内容来解密VPN流量。
这种可能性并不没有被忽视。2017年9月,一组国际密码学专家迫使美国国家安全局放弃了两种新的加密算法,该组织希望能够将这两套加密算法标准化。
2017年10月,新闻报道了英飞凌技术股份公司(Infineon Technologies)制作的加密智能卡、安全令牌和其他安全硬件芯片中采用的软件库中,其所使用的 RSA 密钥生成中发现了一个新的漏洞,利用该漏洞,攻击者可以进行实际的因数分解攻击,计算出 RSA 密钥的私钥部分。
对于常用的密钥长度(包括1024和2048位),该攻击是可行的,并且会影响2012年之前生产的芯片,这种芯片非常常见。
虽然这个漏洞看起来是无意的,但是它确实让我们对于“从智能卡、无线网络或加密Web流量等日常生活中使用的基础加密技术的安全性”产生了质疑。
我们预测,到2018年,将会发现更严重的加密漏洞(有希望)被修补,无论是加密算法标准本身还是在具体的实践中。
07
电子商务领域的身份认证危机
过去几年来,越来越多的大规模个人身份信息(PII)泄露事件不断被报道。
其中,最近的Equifax公司数据泄露事件影响了约1.455亿美国用户,这一数据还不包括来自英国、加拿大以及全球其他地区的用户。
虽然人们已经渐渐对这种数据泄漏事件变得有些麻木,但需要的是要明白,规模化的PII信息泄露可能会危及电子商务的基本支柱,以及将互联网用作重要文书工作的政府机构的安全。
当然,身份欺诈和盗用已经是一个长期存在的问题了,但是试想一下,当基本的身份识别信息泄露如此泛滥时,人们是否会感觉相关企业根本就不可靠呢?
这时,商业和政府机构(尤其是美国)将不得不面临一个选择,即缩减使用互联网进行运营的舒适度,或是增加其他因素的认证和安全解决方案。
也许像ApplePay这样有弹性的替代品将成为事实上的保护身份和交易的解决方案,但与此同时,我们可能会看到,互联网在现代化繁琐的官僚程序和削减运营成本方面发挥关键作用的形势正在放缓。
08
更多的路由器和调制解调器攻击
另一个已经被广泛忽略的已知脆弱领域就是路由器和调制解调器。
无论是在家庭还是企业环境中,这些硬件都无处不在,它对我们的日常运营起到至关重要的作用,然而这些硬件上面运行的专有软件却又常常处于未打补丁或无人看管的状态。
如今,这些小型的设备正逐渐沦为攻击者获取到网络持久和隐蔽性访问权的关键点。
而且,正如一些最新的研究结果所显示的,在某些情况下,攻击者甚至可能冒充不同的网络用户,从而将攻击者的踪迹转移到完全不同的网络连接地址中。
目前,攻击者对误导和虚假标志的兴趣正在不断增加,这是一个不可忽略的现实。而如果对这些设备进行更严格的审查将不可避免地会产生一些更为有趣的发现。
09
社交媒体的政治化作用凸显
在即将过去的一年中,社交媒体本身在政治上所起到的重大影响力已经超乎了我们的想象。
无论是政府当局的幕后操纵,还是南方公园的作家对Facebooke公司CEO的冷嘲热讽,如今公众的目光已经转向了不同社交媒体巨头,要求它们对虚假用户和机器人进行一定程度的真实性核查,以避免造成不公正的舆论导向。
不幸的是,这些社交网络(其成功是基于“日常活跃量”等量化指标)基本上并没有真正地付诸实际去清除他们的机器人用户。
即使这些机器人正在服务于一个明显的恶意活动,或是可以被独立的研究人员追踪和追踪到。
我们预计,到2018年,社交媒体政治化仍将出现更明显的滥用趋势,大型僵尸网络将成为更广泛的政治毒瘤,更大的反弹将指向社交媒体本身的真实用户,反感的用户会更为迫切地需要寻找到下一个替代品。
结论
2018年,我们将有希望看到先进的威胁行为者发挥他们新的优势,磨砺他们新的工具,以及在上述这些可怕的领域更大程度地发挥他们的作用。
每年的主题和趋势都不应该是孤立进行的,它们相互依赖,无论是个人、企业还是政府,都可以从中清楚的看到面临的威胁正在不断增长。
电脑 电脑
