2017年攻击面中最重要的发展就是勒索软件。
基于网络的勒索软件的出现替代了原有勒索软件活动中的人为参与。对一些攻击者来说,赎金并不重要,重要的是对一些系统和数据的破坏。2018年应该会有更多的勒索软件活动。
2017年,攻击者将勒索软件用到了一个新的境界。首先是利用自动化技术将人从中解放出来;其实攻击者融合了蠕虫的功能来造成大规模的破坏,让恶意软件更加有效。
恶意软件的发展非常迅速。2017年5月,WannaCry出现并迅速席卷全球。它利用了黑客组织Shadow Broker2017年4月中旬泄露的微软Windows永恒之蓝(externalBlue)漏洞。WannaCry勒索软件赎金支付的比特币地址首次提现时金额达到了14.3万美元。对比利用工具Angler,活动期间每年获利约1亿美元。
但是WannaCry并不会记录加密的破坏以及受影响的用户支付的赎金。因此,支付后收到解密密钥的用户数量也是未知的。WannaCry作为勒索软件来说,效率是非常低的,因此美国政府和许多安全研究人员相信WannaCry的赎金知识为了隐藏其真实意图的烟雾弹,该恶意软件的真实意图就是数据擦除。
Nyetya(NotPetya)是2017年6月出现的一款数据擦除的恶意软件。Nyetya伪装成勒索软件,并使用了远程代码执行漏洞eternalBlue、远程代码执行漏洞EternalRomance和其他身份窃取单元。Nyetya是通过一个税务软件包更新系统进行部署的,超过80%的乌克兰公司使用该税务软件,安装了超过100万台设备。乌克兰网络警察确认乌克兰有超过2000家公司受到Nyetya影响。
在这波自我繁殖和传播的勒索软件出现之前,恶意软件是通过3种方式分发的:drive-by download, email, 恶意USB存储设备这样的物理媒介。这3种方法在感染设备或系统时都需要人工交互。而当自我繁殖技术被攻击者采用后,发起基于网络的勒索软件活动只需要一个工作站就足够了。
一些安全专家可能会认为蠕虫是一种比较古老的威胁方式,比如蠕虫的CVE数量持续减少。但自我繁殖的恶意软件不仅是相关的威胁,而且可以攻击整个网络。WannaCry和Nyetya只是一个尝试和先兆,所以防御者需要提前做好准备。
其实WannaCry和Nyetya是可以被预防的,至少造成的危害没有如此之大。究其原因就是企业没有应用基本的安全最佳实践,比如漏洞补丁修复、建立适当的应急响应过程和策略、应用网络隔离等。
Nyetya攻击实际上也是一种供应链攻击。Nyetya之所以能够成功感染那么多设备的一个原因就是用户没有将自动软件升级当做一种安全风险,甚至没有意识到他们接收到了恶意更新包。
另一个供应链攻击的例子是发生在2017年9月,攻击者利用用来分发合法软件包的软件厂商下载服务器来分发CCleaner。含有木马后门的CCleaner二进制文件用有效证书来签名,让用户一个他们使用的软件是安全的的错觉。攻击活动的目标是使用该软件的大型科技公司(包括部分暗网用户)。
供应链攻击的体量和复杂性都在增加,这回影响大量的设备并对持续驻留几个月甚至几年。防护者应该意识到使用来自非可信厂商的软硬件带来的潜在安全风险。用户在下载新软件前要扫描确认该软件是否含有恶意软件。
迅速增加的加密web流量(包括合法的和非法的web流量)的体量让防护者很难识别、监控出潜在的安全威胁。加密可以增加安全,但是也提供给恶意攻击者一个隐藏C&C活动,也给了攻击者更多的时间来运作和造成伤害。
思科研究人员发现到2017年10月,全球web流量超过一半是加密过的。与2016年11月相比,增加了12%。驱使这一增长的一个因素是低成本和免费的SSL证书的增长。Google Chrome计划将所有未使用加密来处理敏感信息的网站标记为不安全。企业为了满足Google的HTTPS加密需求就必须使用加密,否则他们Google搜索的排名也能会降低很多。
随着全球加密流量体量的增长,攻击者开始将加密作为隐藏C2活动的工具。思科研究人员发现在过去的12个月里,恶意软件样本使用加密网络通信的数量增加了3倍。对超过40万的恶意软件二进制文件进行分析发现,2017年10月有超过70%的比例使用了加密。
为了克服加密流量缺乏可见性的问题,研究发现越来越多的企业开始使用机器学习和人工智能技术。这些高级技术可以增强网络的安全防御能力,随着时间的推移能够学习如何自动检测web流量中的不正常模式。
机器学习来自动检测known-known威胁上是非常有效的。而其真正的价值在于监控加密的web流量,并检测known-unknown威胁和unknown-unknown威胁。机器学习技术可以在大量的加密web流量中进行学习,识别出不正常的模式,并自动向安全团队发出告警消息。
在之前的研究(Cisco 2018 Security Capabilities Benchmark Study)中发现,缺乏有经验的人员是企业中增强安全防御能力的一大障碍。而机器学习和人工智能这样自动化和智能化的工具可以帮助防御者克服技能和资源的差距,让其可以更有效、更好地识别和响应已知和新出现的威胁。
无论威胁场景如何变化,恶意邮件和垃圾邮件仍然是攻击者用来分发恶意软件的重要工具,因为这可以让恶意软件直达终端。
2016年底,研究人员发现垃圾邮件活动有明显增长而利用工具活动有明显的减少。当Angler这样的利用工具突然从市场上消失,许多这些工具的使用者会转向邮件来确保他们的利润。从图中,我们可以看出在突然增长后,2017年上半年全球垃圾邮件数量有所回落,随后持平,然后2017年5月底6月初,全球垃圾邮件数量有所下降,而8月份又有所回升。
2017年1月到4月垃圾邮件体量减少,同时监测到垃圾邮件僵尸网络活动减少,如图9。
研究人员分析了2017年1月到9月的邮件记录,找出了恶意软件家族常用的恶意文件扩展类型。
通过对恶意文件扩展的分析,研究人员发现即时在当今复杂和熟练的威胁环境下,邮件仍然是恶意软件分发的重要渠道。对企业来说,防御策略的基准包括:
应用有力的和综合的邮件安全防护工具和策略;
对员工进行钓鱼邮件和垃圾邮件中的链接和恶意附件威胁的教育。
钓鱼和鱼叉式钓鱼攻击是窃取用户凭证和其他敏感信息的重要和有效的策略。事实上,钓鱼和鱼叉式钓鱼邮件是近年来重大数据泄露事件的根本原因之一。2017年的例子有针对Gmail用户和爱尔兰能源系统的攻击事件。研究人员分析了用户提交的可能的钓鱼邮件,下图是2017年1~10月钓鱼URL和钓鱼域名的数量。从中可以看出钓鱼URL和域名的流行性。
通过分析2017年1月到8月发现的钓鱼网站,一共有326个活跃的TLD,包括.com, .org, .top等。使用不知名的TLD对攻击者来说是非常有利的,这些域名价格一般都比较便宜,而且隐私保护的价格也不高。
2017年,每个月有上万起钓鱼攻击报告给不同国家、地区的反钓鱼威胁情报机构。从中我们发现,攻击者常用来进行钓鱼攻击的技巧和攻击有:
攻击者在钓鱼和鱼叉式钓鱼攻击中持续改进社会工程的方法,诱使用户点击恶意链接或访问欺诈的web页面,并提供给攻击者身份凭证等高价值的信息。在应对这些威胁时,用户培训、审计、邮件安全技术的应用等都是非常重要的策略。
2017年9月,研究人员发现大量的恶意payload在文件关闭后分发的恶意样本。在本例中,恶意软件是被document_close事件触发的。在大多数情况下,文档在沙箱中打开和分析后是不关闭的,因此可以躲避检测。而在现实情况中,当接收者打开附件之后关闭文档,恶意payload就已经开始传播了。恶意软件使用这项技术就可以躲过沙箱检测。
Document_close事件是一个非常聪明的选择,因为它利用了office内置的宏函数,而且用户会打开那些看起来和他们相关的文档。当用户意识到该文档与他们没有关系时,就会关闭文档,此时就触发了恶意软件所隐藏的宏。
另外一种躲避沙箱检测的技术是伪装恶意payload存在的文件类型。如下图所示,2017年5月我们注意到许多嵌入Pdf文档的恶意word文件攻击类型。该文件沙箱绕过的方式可能是因为沙箱只打开和检测pdf文件,而不会打开和分析嵌入其中的word文件。Pdf文件中的内容会诱使用户点击和打开word文档,随之触发恶意行为。
思科研究人员建议用户使用含有内容检测特征的沙箱来确保恶意软件不使用上面提到的技术来绕过沙箱检测。
随着应用、数据和身份信息都迁徙到云上,安全团队必须要管理对失去传统网络边界的风险。攻击者也在利用这个机会来进行攻击,还有一个原因就是不清楚谁应该负责保护这些边界环境,比如云环境和物联网环境。
当攻击者用合法资源作C&C时,安全团队就很难检测到恶意网络流量,因为模仿了合法网络流量的行为。下图是思科与Anomali研究人员一起整理的过去几年被攻击者用作恶意后门C&C的合法服务的种类。
根据Anomali的研究,APT组织和有国家背景的黑客组织是第一波将合法服务用作C2的,目前该技术已被广泛采纳。攻击者使用合法服务用作C2的原因是,非常容易就可以:
对防御者来说,攻击者使用合法服务作为C2有一些明显的挑战:
攻击者并不需要注册域名,因为合法服务的账号就是最初的C2地址。攻击者也不会继续为C2方案注册SSL证书或自签名的SSL证书。
攻击者可能会在域名注册几天、几个月、几年后等待一个合适的时间去使用。研究人员发现大约只有20%的域名在注册后1周内就被使用了。
分析发现大约60%的恶意域名是与垃圾邮件活动相关的。大约1/5的域名是与恶意广告活动相关的。恶意广告已经成为将用户导向利用工具的必要攻击,比如分发勒索软件的利用工具。
创建恶意广告行动的域名相关的技术包括domain shadowing。在这些技术中,攻击者窃取合法的域名账户凭证来创建导向恶意服务器的子域名。另一个技术是使用免费的、动态的DNS服务来生成恶意的域名和子域名。这样攻击者就可以从持续改变的主机IP地址分发恶意payload。
样本中的恶意RLD会重用基础设施资源,比如注册者的邮箱地址、IP地址、ASN(autonomous system numbers)、和name server。比如,一个IP地址可以多个域名共用。所以攻击者可能会决定在IP和域名上进行投入,而不是选择服务器,因为服务器的成本更高一些。
RLD资源的复用也可以给我们一些关于恶意域名的线索。比如,注册者邮箱或IP地址的复用经常出现,这种复用的模式可能就是恶意行为。防护者非常自信能够拦截这些域名,因为这样可能不会对商业活动产生负面的影响。
在之前的安全报告中,我们讨论了决定谁可以进入网络,如何访问数据的OAuth权限和超级权限的价值。为了研究用户活动对安全的影响,研究人员利用机器学习算法对34个国家的15万使用云服务的用户进行了画像。该算法考虑的因素有下载文件的量、下载的时间、IP地址、位置等因素。
研究结果表明,在1个半月的时间里0.5%的用户存在可以下载行为。虽然用户数量不多,但是从公司云系统中下载了390万份文件,也就是说平均每1.5个月就有5200份文件下载。而下载的时间中,62%是在正常工作时间之外的,40%发生在周末。
研究人员对这390万份可疑文档进行了基于文本的分析,发现关键词主要是数据,而文档类型中,34%是PDF文档,31%是office文档。
随着IOT和IOT僵尸网络的扩张和发展,僵尸网络也在逐渐的成长和成熟,攻击者逐渐使用IOT僵尸网络来发起DDOS攻击。调查发现只有13%的企业认为IOT僵尸网络会成为2018年企业经营的主要威胁。
因为企业和用户对廉价IOT设备的使用越来越多,而这些廉价的IOT设备缺乏最基本的安全保护,因此IOT僵尸正在茁壮成长。因为大多数IOT设备是基于Linux和Unix系统的,因此IOT设备是ELF二进制文件的攻击目标。而且控制这样的设备要比控制PC要容易的多,也就是说攻击者很容易就可以建立一个僵尸网络。
而且IOT设备是24小时运行的,随时可以被攻击者调用。当攻击者增加了IOT僵尸网络的规模后,就会使用更复杂的代码和恶意软件来发起更高级的DDOS攻击。
攻击的趋势已经变成了应用层攻击逐渐增加而网络层攻击逐渐减少。Redware的研究人员认为这一趋势可能与IOT僵尸网络的发展有关。因为应用层与其他层不同,有许多不同的设备,也就是说对应用层的攻击可以使网络大部分瘫痪。而且网络层中可以利用的空间越来越小,但是应用层还是一片处女地。与PC僵尸网络相比,IOT僵尸网络并不是资源密集型的,因此攻击者可以投入更多的资源开发更高级的代码和恶意软件。
Radware研究人员发现2017年最明显的DDOS攻击趋势就是short-burst攻击的增多,而且short-burst攻击的复杂性、频率和持久性都增加了。调查中有42%的受访者在2017年经历了short-burst攻击。
2017年DDOS攻击的另一个趋势是反射放大攻击。40%的受访者在2017年经历了反射放大攻击,其中1/3的企业无法应对此类攻击。
反射放大攻击中,攻击者用合法的第三方组件来发送攻击流量到攻击目标,借以隐藏攻击者的真实身份。攻击者首先将反射服务器的源IP地址设置为目标攻击用户的IP,随后将攻击包发送到反射服务器上。这会间接地用响应包淹没攻击目标,耗尽目标可利用的资源。
为了成功地发起反射放大攻击,攻击者的带宽容量要比目标的大。反射服务器要反射一台或多台第三方设备的流量。
这种DOS攻击利用DNS的行为来放大攻击。标准的DNS请求是比DNS reply小。在DNS放大反射攻击中,攻击者故意选择DNS请求使DNS reply的长度达到DNS请求的80倍。攻击者用僵尸网络发送DNS查询到第三方的DNS服务器,并将源IP地址设置为目标用户的IP地址。第三方的DNS服务器就就会发送响应到目标的IP地址。利用这种攻击方式,一个相对较小的僵尸网络可以将大量的响应洪泛到目标设备。
这种放大攻击利用了NTP服务器来放大攻击,用UDP流量耗尽防护者资源。NTP是用来在计算机系统和包分发系统中进行时钟同步的网络协议。目前桌面系统、服务器、甚至手机设备都运用该协议进行时钟同步。许多老版本的NTP服务器有一个monlist命令,可以发送给查询者一个连接到查询服务器的最多600个主机的列表。攻击者可以重复地发送get monilist请求到随机的NTP服务器,并将请求服务器的源IP地址设备为目标服务器。NTP服务器响应会被指向目标服务器,引发源端口123的UDP流量激增。
SSDP反射攻击利用SSDP(simple service discovery protocol)协议,SSDP协议是UPnP设备用来广播自身存在的协议。该协议还可以用来发现和控制网络设备和服务,比如摄像头、网络打印机和其他类型的电子设备。
当UPnP设备连接到网络并获得IP地址后,设备就可以通过发送多播IP消息来向网络中的其他计算机广播它的服务。当计算机获得该设备的发现消息,就会请求该设备服务的详细描述。该UPnP设备直接向计算机响应该设备提供服务的完整列表。
在NTP和DNS放大DDOS攻击中,攻击者都可以用一个小的僵尸网络来查询最后的请求。而攻击者可以将源IP地址设定为目标用户的IP地址,让响应消息直接到达攻击目标。
思科研究人员对leak path做了如下定义,企业网络和互联网之间创建的策略、分段违反、未授权或者错误配置的连接,这些连接允许流量被转发到网络上的其他位置,比如恶意站点。这些意外的连接也可能在内部的两个隔离的分段网络中出现。Leak path也可能来源于不合理配置的路由器和交换机。
没有正确设定设备的权限的设备或没有管理的设备都易受到攻击。与影子IT相关的设备和网络都易建立leak path,因为这种设备一般都是无人管理或没有人负责维护补丁的。Lumeta的研究预测大约有40%的动态网络、终端和云基础设施是明显的基础设备盲点(缺乏检测和监测),缺乏安全团队的实时监测。
检测已存在的leak path是非常重要的,因为这些leak path可以随时被利用。新创建的leak path在实时检测上也是很重要的,因为这些是即时的IOC而且与最高级的攻击相关联。
Lumeta的研究人员发现leak path的数量在不断增长,尤其是在云环境中,因为云环境中的网络可见性和可控性都降低了。许多恶意攻击者在发现或创建了leak path后是不会马上使用的。他们会用这些leak path来安装恶意软件、安全勒索软件、窃取信息等。一些攻击者还会使用加密、混淆等技术啊来避免被检测到。
工业控制系统是制造业和过程控制系统的心脏。ICS连接到其他电子控制系统的一部分创建了一个高度互联的生态系统,而其中许多的设备都是有漏洞的,这也正是攻击者的最爱。想要攻击ICS的威胁单元最喜欢创建后门中心点用于之后的攻击。
攻击者利用该公司的DMZ服务器作为中转点来黑进内部网络中。安全运维团队收到了来自网络DMZ中嵌入的欺骗安全技术的告警。这种物理或者逻辑上的子网桥接了不可信网络与内部网络。调查发现:
电厂的重要资产包括大量的ICS基础设施和必要的SCADA组件来管理和运行相应的过程。工厂是重要的国家基础设施,并受到国家安全机关的监管。因此,可被看做是高度安全的。
安全运维团队在收到系统被入侵的告警信息后,马上进行了调查,调查结果显示:
许多的ICS入侵事件都是从企业IT网络中有漏洞的服务器和计算资源被黑开始的。TrapX的研究人员建议遵循下面的流程来减少风险,并确保操作的完整性。
2017年,虽然缓冲区溢出错误漏洞有所减少,但仍是CWE漏洞中最多的,输入有效性漏洞也增加了。
2016年10月到2017年9月间,研究人员在非思科的产品中一共发现224种新漏洞,其中40个是与第三方软件库有关的,74个与IOT设备相关。
大量第三方库的漏洞说明我们需要深入研究第三方解决方案中的安全问题。防护者也应该假设第三方软件库可以被攻击者利用;确保运行的软件是最新版本或者没有发现CVE漏洞是不够的。安全团队应该经常检查补丁更新情况,并检查第三方厂商的安全实践情况。团队可以要求厂商提供安全开发流程描述。
Qualys研究了IOT设备的补丁更新趋势,研究的设备包括智能门锁、火警报警器面板、读卡器和网络HVAC系统。研究人员一共检测了7328台设备,只有1206个设备修复了漏洞,也就是说还有83%的设备存在重要漏洞。虽然这些威胁单元没有攻击这些漏洞,但是企业就处于潜在的攻击之中了。
企业经常会将低危漏洞置之不理多年,因为企业甚至不知道这些漏洞的存在或不把这些认为是重要的危险。因此,这些低危但是高风险的漏洞提供给攻击者入侵系统的路。
TCP时间戳提供了设备运行时间的信息,攻击者可以从中了解到那种类型的漏洞可能存在。软件程序也可能会利用系统时间错来生成随机数生成器来创建加密密钥。
远程攻击者可以通过重复注入TCP RST包来猜测序列号,并发起针对永久TCP连接的DOS攻击,尤其是BGP这种使用long-lived连接的协议。
攻击者可以利用Browser exploit against SSL/TLS(BEAST)漏洞来发起MIMT攻击,读取不同部分之间交换的受保护的内容。
上面提到的低危漏洞也不容易修复,因为许多漏洞是因为配置错误或安全证书问题。企业修复低危漏洞可以预防风险,而且应该基于如何发现该漏洞去找出修复的优先级,而不是根据第三方的评级。
害怕系统被入侵的恐惧来源于攻击背后的经济损失,而这不是一个假设的数字。系统入侵会对企业带来直接的经济损失,带来的损失和破坏可能需要几个月甚至几年去恢复。
安全团队在保护企业时,会面临很多的障碍。企业必须保护一些领域和功能,这就增加了安全的挑战。其中,最具挑战的领域和功能保护手机设备、共有云数据、用户行为等。
安全专家的预算、可操作性和人员是管理安全的主要限制。缺乏有经验的人员也是采用先进安全过程和技术的挑战。2017年的数据统计中,27%认为缺乏人才是障碍之一,而2016和2015年的数据分别是25%和22%。
因为防护者应用了不同的安全产品,这些产品来自不同的厂商。这种产品带来的复杂性对企业预防攻击的能力有一定的影响。2017年,有25%的安全专家说他们使用了11到20种厂商的产品,而2016年的数据是18%;有16%企业使用了21~50个厂商的产品,2016年的数据为7%。
随着厂商数量的增多,也带来了一些挑战。54%的安全专家说处理这些产品的告警消息有时候是很有困难的,有20%的专家说非常有挑战性。
因为告警消息太多,导致没有精力调查所有的告警消息,一些真实的告警消息就被错过了。根据统计的数据,每天平均有44%的告警消息得不到调查;而经过调查的告警消息中,只有34%是真实的;这些真实的告警消息中,只有51%的被修复了,也就是有49%的真实告警没有被修复。一个重要原因就是缺乏有经验的人员来调查这些告警消息。
即使企业努力为满足未来安全挑战做了很多的准备,安全专家预测企业还是会成为需要公众监督的入侵事件的受害者。55%的受访者说在过去一年里,他们所在的企业必须处理入侵带来的公共监督。
在负责的安全环境中,企业好像能更好地处理入侵事件。使用1到5个厂商安全产品的企业中,有28%说他们必须在入侵事件后处理公共监督事件;在使用超过50种安全产品的企业中,这个数字上升到80%。
当使用的安全产品变多以后,如何处理管理复杂的安全环境呢?best of breed方法就是安全团队对每种安全需求选择最佳的安全方案,安全专家也认为这是最佳性价比的。
与集成安全方案相比,72%的安全专家选择best of breed的安全方案。在使用best of breed方案的企业中,57%认为追求性价比是主要原因。采用集成方案的企业中56%认为集成方案的性价比更高,47%认为容易实施。
面临潜在的损失和对系统的恶意影响,企业单单依赖技术来防御已经不行了。也就是说需要寻找其他的机会来改善安全,比如用策略和培训用户。如果企业单独使用技术来修复安全漏洞,在模拟攻击者只能解决26%的安全问题。如果企业单独使用策略来解决安全问题,只能解决10%的安全问题;利用培训只能解决4%的安全问题。
安全专家认为,企业面临的安全威胁仍然是复杂和富有挑战的。攻击者会开发更加复杂和更具破坏性的方式来入侵网络。随着威胁的增加,许多安全专家认为他们会处于更多的监督之下,包括政府监管、股东、管理层、合作伙伴和客户。为了减少风险和损失的可能性,防护者必须决定将有限的资源投资到哪些地方。安全专家说安全预算仍然很紧张,除非有大的安全事件使管理层重新考虑安全问题。
大多数的安全团队负责人说所在公司的安全预算是根据上一年的预算决定的,而且话费的比例适当。在规划预算时,企业一般会从综合安全方案的愿望清单中选择。当预算下达时,会根据新漏洞的出现、系统入侵事件、第三方的风险评估报告等改变具体的支出。影响未来预算的主要因素是入侵事件。。。
在当今的威胁场景中,攻击者在攻击中熟练地避免被检测到。攻击者使用更加高效的工具和聪明的技术来隐藏恶意活动并逐渐破坏传统的安全技术。并不断更新使用的技术来使恶意软件保持新鲜和有效。
防护者可以看到的一个明显数据就是陡增的潜在恶意流量,同时增加的还有整体的恶意软件的量。恶意软件量的变化趋势对防护者的TTD(time to detection)有一定的影响。TTD是企业理解在来自恶意软件的持续攻击的压力下安全防护措施执行情况的重要度量。基于云的安全技术的使用是使思科TTD中位数在较低水平的关键因素。云可以在整体安全事件和攻击终端的恶意软件持续增长的情况下,帮助度量和维持性能。