01 更多的供应链攻击
卡巴斯基实验室的全球研究和分析团队追踪了超过100个APT(高级持续性威胁)的组织,发现有一些的攻击活动非常复杂,他们不仅拥有广泛的武器库,包括零日漏洞,无文本攻击工具等,并将传统的黑客攻击复杂化去实现数据渗透的目的。
在APT攻击中,常有高级威胁行为者试图破坏某个目标,却不断失败的案例。这是因为他们的攻击目标使用了强大的网络安全防护体系,对员工进行了良好的安全教育,或者遵循了诸如澳大利亚的DSD TOP35之类的防御策略。
但是,高级APT攻击组织的威胁行为者是不会轻易放弃的,他们会一直寻找方法入侵。
当一切尝试都失败时,他们可能会后退一步,重新评估形势。在重新评估中,威胁行为者会发现“供应链攻击”比直接进攻更有效。
攻击目标即使使用了第三方软件,构建了世界上最好的网络防御系统也无济于事,因为第三方软件可能是一个更容易的目标,他们可以利用它来攻击受到更好保护的原始目标企业。
在2017年,有这样一些案例,包括但不限于:
Shadowpad
CCleaner
ExPetr / NotPetya
这些攻击很难识别。例如,在Shadowpad的案例中,攻击者成功地利用Netsarang软件携带恶意软件程序包,在世界各地传播,尤其是银行、大型企业和其他垂直行业。
在很多情况下,它们都是命令和控制(C&C)流量,毕竟用户很难察觉到干净的程序包和携带恶意代码的程序包的差异。
在CCleaner案例中,估计有超过200万台电脑被感染,这使它成为2017年最大的供应链攻击之一。
研究人员分析了恶意的CCleaner代码后,将它与其他一些已知的后门程序联系起来,这些后门程序被APT组织“Axiom umbrella”(APT17,也叫Aurora)使用过。这证明了APT组织愿意为了实现其目标拉长战线。
综上所述,目前的“供应链攻击”数量可能比我们了解到的要高得多,只是这些还没有被暴露出来。
在2018年,我们能预计无论是已经发现的还是攻击到实际的,在攻击数量方面将出现更多的“供应链攻击”。
在特定区域和垂直行业上使用木马化专业软件,将变成类似于“水坑攻击”的战略性选择。
02 更多高端的移动恶意软件
2016年8月,CitizenLab和Lookout公司公布了一份他们发现的一个名为“Pegasus”的移动间谍平台的分析报告。
Pegasus是一款所谓的“合法拦截”软件套件,被一家名为“NSO Group”的以色列公司出售给政府和其他实体企业。
Pegasus若是结合多个零日漏洞,能够远程绕过现代移动操作系统(如iOS)的安全防御。
2017年4月,谷歌发布了其对Android版本的Pegasus间谍软件的分析报告,该软件名为“Chrysaor”。
除了Pegasus和Chrysaor等“合法监视”间谍软件之外,许多其他APT组织也开发了专属的移动恶意软件。
由于iOS是一个特殊的操作系统,用户很难检查他们的手机是否被感染。
所以,尽管Android的安全漏洞越来越严重,但Android上的情况要更好一些。
综上所述,由于遥测技术的缺陷,使得一些移动恶意软件难以被发现和根除,所以,目前在野存在的移动恶意软件的总数可能比已经公布的要高。
在2018年,我们预计将会出现针对移动设备的更高端的APT恶意软件,毕竟安全检测技术改进了,针对移动端的攻击数量也在增长中,恶意软件也需要更高端。
03 更多类似BeEF的web框架分析工具
随着越来越多的安全和缓解技术被默认部署在操作系统中,零日漏洞的价格在2016年和2017年急剧上升。
例如,世界著名漏洞军火商Zerodium最近表示愿意出价150万美元购买一套完整的iPhone(iOS)持续性攻击的远程越狱漏洞,即在没有任何用户交互的情况下,远程感染目标设备。
一些政府客户也选择用惊人的价格为这些漏洞买单,这意味着人们越来越多地注意保护这些漏洞,以避免意外披露。
这也意味着,攻击者在攻击前需要经历一个更缜密的侦察过程。
例如,侦察阶段可以强调识别目标、操作系统、插件和其他第三方软件使用的浏览器的准确版本。
凭借这些信息,攻击者可以针对目标特性调整他们的开发方式,交付一个不太敏感的将“1-day”或“N-day”的漏洞,而不是被誉为“皇冠上的宝石”的“0-day”漏洞。
类似于Turla、ofacy和Newsbeef这样的APT组织已把这类分析技术运用得相当熟练,其他的APT组织也以其自定义的分析框架而闻名,比如多产的Scanbox。
由于分析框架的普遍性和零日漏洞的高昂代价,我们可以估计在2018年使用“BeEF”之类的分析工具包将会增加,更多的黑客团队可能采用公共框架,或者自己开发工具包。
04 先进的UEFI和BIOS攻击
UEFI (统一可扩展固件接口)是一种软件接口,是现代pc机与操作系统之间的媒介。由英特尔在2005年开发,正在迅速取代传统的BIOS标准。这是因为BIOS缺乏一些高级特性:例如,安装并运行可执行文件、网络功能、加密、CPU独立架构和驱动程序等能力。
而UEFI可以弥补BIOS缺乏的这些能力,这使得UEFI成为一个有吸引力的平台,攻击者也在其中找到许多在BIOS平台上并不存在的新漏洞。
例如,运行自定义可执行模块的能力使得它能够创建恶意软件,而由UEFI直接执行就能绕过任何反恶意软件解决方案。
从2015年开始,商业级的UEFI恶意软件就已经存在了。但是, 到目前为止仍然缺少针对这类恶意软件的成熟的、可靠的检测方法。
我们预计,在2018年,将会看到更多基于UEFI的恶意软件。
05 破坏性的攻击仍在继续
从2016年11月开始,卡巴斯基实验室观察到一波针对中东地区多个目标的“雨刷攻击”。
在新的袭击中使用的恶意软件是臭名昭著的Shamoon蠕虫病毒的变种,该蠕虫在2012年袭击了Saudi Aramco和Rasgas公司。
沉寂了四年,历史上最神秘的雨刷工具又回来了。Shamoon,也被称为Disttrack,是一个具有高度破坏性的恶意软件家族,它能有效地清除了受害者设备上的数据。
在袭击当天,一群被称为“正义之剑”的组织发布了一份巴氏(Pastebin)信息,并对Saudi Aramco发动攻击,并称此次袭击是针对沙特王室的一项举措。
在2016年11月,又发生了Shamoon 2.0攻击事件,此次目标是沙特阿拉伯多个关键部门和经济部门。就像之前的变种一样,Shamoon 2.0“雨刮器”的目标是对组织内部系统和 设备进行大规模破坏。
在调查Shamoon 2.0的攻击时,卡巴斯基实验室还发现了一个以前不为人知的恶意软件,似乎针对的也是沙特阿拉伯地区的组织。
我们已经把这种新“雨刷器”称为“StoneDrill”,它很有可能与Newsbeef APT组织存在关联。
除了Shamoon和Stonedrill,发生在2017年的极具破坏性的攻击活动还有很多,如ExPetr/ NotPetya攻击,最初被认为是勒索软件,结果被证明是一个巧妙伪装的“雨刷器”。
紧随其后的另一波“赎金”攻击,使得受害者几乎没有机会恢复他们的数据,这都是因为这些勒索软件都被 “雨刷器”巧妙地掩饰了。
关于“雨刷器即勒索软件”(wipers as ransomware)这一事实,在2016年出现的由CloudAtlas APT组织发起的针对俄罗斯的金融机构的攻击活动中可以证实。
在2018年,我们预计破坏性攻击活动将继续上升,或许还会在网络战中占据极大地位。
06 更多的加密系统被颠覆
在2017年3月,美国国家安全局开发的IoT加密方案提议遭到了Simon和Speck异体ISO认证的质疑,这两项提案都被撤回并推迟了。
2016年8月,Juniper Networks宣布在他们的NetScreen防火墙中发现了两个神秘的后门。可能是Dual_EC随机数生成器所使用的常量发生了细微的变化,使得攻击者能够从NetScreen设备解密VPN流量。
最初的Dual_EC算法是由国家安全局设计的,并通过了NIST标准。
早在2013年,路透社(Reuters)的一份报告就显示,美国国家安全局(NSA)向RSA支付了1000万美元,把Dual_EC这个脆弱的算法集成到它的加密套件中
即使在2007年就从理论上确定了植入后门程序的可能性,一些公司(包括Juniper)仍采用了不同的常数集,继续使用该算法,这在理论上是安全的。
但是这组不同的常量并不能改变什么,一些APT攻击者仍会攻击Juniper,他们会将这些常量更改为一个可以控制和利用的内容来解密VPN流量。
这些尝试并没有被忽视。在2017年9月,一个国际密码学专家小组迫使美国国家安全局放弃了两种新的加密算法,该组织希望将其标准化。
2017年10月,新闻报道了英飞凌技术股份公司(Infineon Technologies)在他们使用的硬件芯片加密库中的一个缺陷。虽然这一漏洞似乎是无意的,但它确实让我们对“智能卡、无线网络或加密Web流量等日常生活中使用的基础加密技术的安全性”产生了质疑。
在2018年,我们预测将会发现更加严重的加密漏洞,并希望无论是加密算法标准本身还是在具体的实践中出现的漏洞都能被修补。
07 电子商务领域的身份认证危机
在过去的几年里,发生了大规模的的个人可识别信息(PII)泄露事件。
最新的数据显示,Equifax的漏洞事件影响了约1.455亿美国人。
虽然许多人已经对这些数据泄露事件麻木,但需要明白的是,规模化的PII信息泄露可能会危及电子商务的基础,以及将互联网用作重要文书工作的政府机构的安全。
欺诈和身份盗用问题是一个长期存在的问题,但当基本的身份识别信息泄露如此泛滥时,人们是否会认为相关企业根本就不可靠呢?
这时,商业和政府机构(特别是在美国)将面临一种选择,即缩减采用互联网运营的舒适度,或是采用其他多因素安全解决方案。
也许像ApplePay这样的有弹性的替代方案将会成为一种现实的方式来确保身份和交易,但同时,我们可能会看到,为了实现繁琐的官僚程序的现代化和降低运营成本,互联网的关键作用正在放缓。
08 更多的路由器和调制解调器攻击
另一个被广泛忽视的领域是路由器和调制解调器。
无论是在家里还是在企业中都存在这些硬件,它们对日常运营至关重要,然而这些硬件上面运行的专有软件却又常处于未打补丁或无人看管的状态。
一些攻击者正是利用这一点,获取到网络持久和隐蔽性访问权。
此外,最新研究结果显示,在某些情况下,攻击者甚至可以模拟不同的互联网用户,将踪迹转移到完全不同的网络连接地址中。
2018年,可以预计,攻击者对误导和虚假标志的兴趣正在不断增加。对这些设备进行更严格的审查将会有更多的发现。
09 社交媒体的政治化作用凸显
在即将过去一年里,除了信息泄露和政治闹剧之外,社交媒体本身已经扮演了一个重要的政治化角色。
无论是政府当局的幕后操纵,还是《南方公园》的作者们对Facebook首席执行官的冷嘲热讽,人们都将目光转向了不同的社交媒体巨头,他们要求进行一定程度的事实核查,以确认虚假用户和试图发挥不相称的社会影响力的机器人(即僵尸粉)的真实性。
然而,这些社交网络(以“日常活跃用户”之类的量化指标为基础)几乎没有什么动机来真正清除他们的机器人用户群。
即使这些机器人正在服务于一个明显的恶意软件,或者可以被独立研究人员追踪到。
我们预计,社交媒体政治化将会呈现更明显的滥用趋势,大型僵尸网络将成为更广泛的政治毒瘤,更大的反弹将指向社交媒体本身的真实用户,反感的用户会更为迫切地需要寻找到下一个替代品。
总结
在2018年,我们希望看到先进的威胁行为者发挥他们的新优势,打磨他们的新工具,以及在上述领域更大程度地发挥他们的作用。
每年的主题和趋势都不应该孤立地进行,它们相互依赖,无论是个人、企业还是政府,都能看到面临的威胁正在不断增长。
应对这一冲击的唯一方式是威胁情报的共享和相关知识的应用。
尽管这些预测涵盖了针对先进目标的威胁趋势,但单个行业部门将面临各自不同的挑战。在2018年,我们也会把目光放在其中的一些上。
本文由阿里聚安全
(http://jaq.alibaba.com)
编译,原文地址:https://securelist.com/ksb-threat-predictions-for-2018/83169/
PDF下载地址:Kaspersky Security Bulletin
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)