01 更多的供應鏈攻擊
卡巴斯基實驗室的全球研究和分析團隊追蹤了超過100個APT(高級持續性威脅)的組織,發現有一些的攻擊活動非常複雜,他們不僅擁有廣泛的武器庫,包括零日漏洞,無文本攻擊工具等,並將傳統的黑客攻擊複雜化去實現數據滲透的目的。
在APT攻擊中,常有高級威脅行爲者試圖破壞某個目標,卻不斷失敗的案例。這是因爲他們的攻擊目標使用了強大的網絡安全防護體系,對員工進行了良好的安全教育,或者遵循了諸如澳大利亞的DSD TOP35之類的防禦策略。
但是,高級APT攻擊組織的威脅行爲者是不會輕易放棄的,他們會一直尋找方法入侵。
當一切嘗試都失敗時,他們可能會後退一步,重新評估形勢。在重新評估中,威脅行爲者會發現“供應鏈攻擊”比直接進攻更有效。
攻擊目標即使使用了第三方軟件,構建了世界上最好的網絡防禦系統也無濟於事,因爲第三方軟件可能是一個更容易的目標,他們可以利用它來攻擊受到更好保護的原始目標企業。
在2017年,有這樣一些案例,包括但不限於:
這些攻擊很難識別。例如,在Shadowpad的案例中,攻擊者成功地利用Netsarang軟件攜帶惡意軟件程序包,在世界各地傳播,尤其是銀行、大型企業和其他垂直行業。
在很多情況下,它們都是命令和控制(C&C)流量,畢竟用戶很難察覺到乾淨的程序包和攜帶惡意代碼的程序包的差異。
在CCleaner案例中,估計有超過200萬臺電腦被感染,這使它成爲2017年最大的供應鏈攻擊之一。
研究人員分析了惡意的CCleaner代碼後,將它與其他一些已知的後門程序聯繫起來,這些後門程序被APT組織“Axiom umbrella”(APT17,也叫Aurora)使用過。這證明了APT組織願意爲了實現其目標拉長戰線。
綜上所述,目前的“供應鏈攻擊”數量可能比我們瞭解到的要高得多,只是這些還沒有被暴露出來。
在2018年,我們能預計無論是已經發現的還是攻擊到實際的,在攻擊數量方面將出現更多的“供應鏈攻擊”。
在特定區域和垂直行業上使用木馬化專業軟件,將變成類似於“水坑攻擊”的戰略性選擇。
02 更多高端的移動惡意軟件
2016年8月,CitizenLab和Lookout公司公佈了一份他們發現的一個名爲“Pegasus”的移動間諜平臺的分析報告。
Pegasus是一款所謂的“合法攔截”軟件套件,被一家名爲“NSO Group”的以色列公司出售給政府和其他實體企業。
Pegasus若是結合多個零日漏洞,能夠遠程繞過現代移動操作系統(如iOS)的安全防禦。
2017年4月,谷歌發佈了其對Android版本的Pegasus間諜軟件的分析報告,該軟件名爲“Chrysaor”。
除了Pegasus和Chrysaor等“合法監視”間諜軟件之外,許多其他APT組織也開發了專屬的移動惡意軟件。
由於iOS是一個特殊的操作系統,用戶很難檢查他們的手機是否被感染。
所以,儘管Android的安全漏洞越來越嚴重,但Android上的情況要更好一些。
綜上所述,由於遙測技術的缺陷,使得一些移動惡意軟件難以被發現和根除,所以,目前在野存在的移動惡意軟件的總數可能比已經公佈的要高。
在2018年,我們預計將會出現針對移動設備的更高端的APT惡意軟件,畢竟安全檢測技術改進了,針對移動端的攻擊數量也在增長中,惡意軟件也需要更高端。
03 更多類似BeEF的web框架分析工具
隨着越來越多的安全和緩解技術被默認部署在操作系統中,零日漏洞的價格在2016年和2017年急劇上升。
例如,世界著名漏洞軍火商Zerodium最近表示願意出價150萬美元購買一套完整的iPhone(iOS)持續性攻擊的遠程越獄漏洞,即在沒有任何用戶交互的情況下,遠程感染目標設備。
一些政府客戶也選擇用驚人的價格爲這些漏洞買單,這意味着人們越來越多地注意保護這些漏洞,以避免意外披露。
這也意味着,攻擊者在攻擊前需要經歷一個更縝密的偵察過程。
例如,偵察階段可以強調識別目標、操作系統、插件和其他第三方軟件使用的瀏覽器的準確版本。
憑藉這些信息,攻擊者可以針對目標特性調整他們的開發方式,交付一個不太敏感的將“1-day”或“N-day”的漏洞,而不是被譽爲“皇冠上的寶石”的“0-day”漏洞。
類似於Turla、ofacy和Newsbeef這樣的APT組織已把這類分析技術運用得相當熟練,其他的APT組織也以其自定義的分析框架而聞名,比如多產的Scanbox。
由於分析框架的普遍性和零日漏洞的高昂代價,我們可以估計在2018年使用“BeEF”之類的分析工具包將會增加,更多的黑客團隊可能採用公共框架,或者自己開發工具包。
04 先進的UEFI和BIOS攻擊
UEFI (統一可擴展固件接口)是一種軟件接口,是現代pc機與操作系統之間的媒介。由英特爾在2005年開發,正在迅速取代傳統的BIOS標準。這是因爲BIOS缺乏一些高級特性:例如,安裝並運行可執行文件、網絡功能、加密、CPU獨立架構和驅動程序等能力。
而UEFI可以彌補BIOS缺乏的這些能力,這使得UEFI成爲一個有吸引力的平臺,攻擊者也在其中找到許多在BIOS平臺上並不存在的新漏洞。
例如,運行自定義可執行模塊的能力使得它能夠創建惡意軟件,而由UEFI直接執行就能繞過任何反惡意軟件解決方案。
從2015年開始,商業級的UEFI惡意軟件就已經存在了。但是, 到目前爲止仍然缺少針對這類惡意軟件的成熟的、可靠的檢測方法。
我們預計,在2018年,將會看到更多基於UEFI的惡意軟件。
05 破壞性的攻擊仍在繼續
從2016年11月開始,卡巴斯基實驗室觀察到一波針對中東地區多個目標的“雨刷攻擊”。
在新的襲擊中使用的惡意軟件是臭名昭著的Shamoon蠕蟲病毒的變種,該蠕蟲在2012年襲擊了Saudi Aramco和Rasgas公司。
沉寂了四年,歷史上最神祕的雨刷工具又回來了。Shamoon,也被稱爲Disttrack,是一個具有高度破壞性的惡意軟件家族,它能有效地清除了受害者設備上的數據。
在襲擊當天,一羣被稱爲“正義之劍”的組織發佈了一份巴氏(Pastebin)信息,並對Saudi Aramco發動攻擊,並稱此次襲擊是針對沙特王室的一項舉措。
在2016年11月,又發生了Shamoon 2.0攻擊事件,此次目標是沙特阿拉伯多個關鍵部門和經濟部門。就像之前的變種一樣,Shamoon 2.0“雨刮器”的目標是對組織內部系統和 設備進行大規模破壞。
在調查Shamoon 2.0的攻擊時,卡巴斯基實驗室還發現了一個以前不爲人知的惡意軟件,似乎針對的也是沙特阿拉伯地區的組織。
我們已經把這種新“雨刷器”稱爲“StoneDrill”,它很有可能與Newsbeef APT組織存在關聯。
除了Shamoon和Stonedrill,發生在2017年的極具破壞性的攻擊活動還有很多,如ExPetr/ NotPetya攻擊,最初被認爲是勒索軟件,結果被證明是一個巧妙僞裝的“雨刷器”。
緊隨其後的另一波“贖金”攻擊,使得受害者幾乎沒有機會恢復他們的數據,這都是因爲這些勒索軟件都被 “雨刷器”巧妙地掩飾了。
關於“雨刷器即勒索軟件”(wipers as ransomware)這一事實,在2016年出現的由CloudAtlas APT組織發起的針對俄羅斯的金融機構的攻擊活動中可以證實。
在2018年,我們預計破壞性攻擊活動將繼續上升,或許還會在網絡戰中佔據極大地位。
06 更多的加密系統被顛覆
在2017年3月,美國國家安全局開發的IoT加密方案提議遭到了Simon和Speck異體ISO認證的質疑,這兩項提案都被撤回並推遲了。
2016年8月,Juniper Networks宣佈在他們的NetScreen防火牆中發現了兩個神祕的後門。可能是Dual_EC隨機數生成器所使用的常量發生了細微的變化,使得攻擊者能夠從NetScreen設備解密VPN流量。
最初的Dual_EC算法是由國家安全局設計的,並通過了NIST標準。
早在2013年,路透社(Reuters)的一份報告就顯示,美國國家安全局(NSA)向RSA支付了1000萬美元,把Dual_EC這個脆弱的算法集成到它的加密套件中
即使在2007年就從理論上確定了植入後門程序的可能性,一些公司(包括Juniper)仍採用了不同的常數集,繼續使用該算法,這在理論上是安全的。
但是這組不同的常量並不能改變什麼,一些APT攻擊者仍會攻擊Juniper,他們會將這些常量更改爲一個可以控制和利用的內容來解密VPN流量。
這些嘗試並沒有被忽視。在2017年9月,一個國際密碼學專家小組迫使美國國家安全局放棄了兩種新的加密算法,該組織希望將其標準化。
2017年10月,新聞報道了英飛凌技術股份公司(Infineon Technologies)在他們使用的硬件芯片加密庫中的一個缺陷。雖然這一漏洞似乎是無意的,但它確實讓我們對“智能卡、無線網絡或加密Web流量等日常生活中使用的基礎加密技術的安全性”產生了質疑。
在2018年,我們預測將會發現更加嚴重的加密漏洞,並希望無論是加密算法標準本身還是在具體的實踐中出現的漏洞都能被修補。
07 電子商務領域的身份認證危機
在過去的幾年裏,發生了大規模的的個人可識別信息(PII)泄露事件。
最新的數據顯示,Equifax的漏洞事件影響了約1.455億美國人。
雖然許多人已經對這些數據泄露事件麻木,但需要明白的是,規模化的PII信息泄露可能會危及電子商務的基礎,以及將互聯網用作重要文書工作的政府機構的安全。
欺詐和身份盜用問題是一個長期存在的問題,但當基本的身份識別信息泄露如此氾濫時,人們是否會認爲相關企業根本就不可靠呢?
這時,商業和政府機構(特別是在美國)將面臨一種選擇,即縮減採用互聯網運營的舒適度,或是採用其他多因素安全解決方案。
也許像ApplePay這樣的有彈性的替代方案將會成爲一種現實的方式來確保身份和交易,但同時,我們可能會看到,爲了實現繁瑣的官僚程序的現代化和降低運營成本,互聯網的關鍵作用正在放緩。
08 更多的路由器和調制解調器攻擊
另一個被廣泛忽視的領域是路由器和調制解調器。
無論是在家裏還是在企業中都存在這些硬件,它們對日常運營至關重要,然而這些硬件上面運行的專有軟件卻又常處於未打補丁或無人看管的狀態。
一些攻擊者正是利用這一點,獲取到網絡持久和隱蔽性訪問權。
此外,最新研究結果顯示,在某些情況下,攻擊者甚至可以模擬不同的互聯網用戶,將蹤跡轉移到完全不同的網絡連接地址中。
2018年,可以預計,攻擊者對誤導和虛假標誌的興趣正在不斷增加。對這些設備進行更嚴格的審查將會有更多的發現。
09 社交媒體的政治化作用凸顯
在即將過去一年裏,除了信息泄露和政治鬧劇之外,社交媒體本身已經扮演了一個重要的政治化角色。
無論是政府當局的幕後操縱,還是《南方公園》的作者們對Facebook首席執行官的冷嘲熱諷,人們都將目光轉向了不同的社交媒體巨頭,他們要求進行一定程度的事實覈查,以確認虛假用戶和試圖發揮不相稱的社會影響力的機器人(即殭屍粉)的真實性。
然而,這些社交網絡(以“日常活躍用戶”之類的量化指標爲基礎)幾乎沒有什麼動機來真正清除他們的機器人用戶羣。
即使這些機器人正在服務於一個明顯的惡意軟件,或者可以被獨立研究人員追蹤到。
我們預計,社交媒體政治化將會呈現更明顯的濫用趨勢,大型殭屍網絡將成爲更廣泛的政治毒瘤,更大的反彈將指向社交媒體本身的真實用戶,反感的用戶會更爲迫切地需要尋找到下一個替代品。
總結
在2018年,我們希望看到先進的威脅行爲者發揮他們的新優勢,打磨他們的新工具,以及在上述領域更大程度地發揮他們的作用。
每年的主題和趨勢都不應該孤立地進行,它們相互依賴,無論是個人、企業還是政府,都能看到面臨的威脅正在不斷增長。
應對這一衝擊的唯一方式是威脅情報的共享和相關知識的應用。
儘管這些預測涵蓋了針對先進目標的威脅趨勢,但單個行業部門將面臨各自不同的挑戰。在2018年,我們也會把目光放在其中的一些上。
本文由阿里聚安全編譯,原文地址:https://securelist.com/ksb-threat-predictions-for-2018/83169/
PDF下載地址:Kaspersky Security Bulletin