卡巴斯基发布2018年威胁预测,威胁情报共享成网络安全新趋势
雷锋网编辑按:作为卡巴斯基实验室的网络安全分析团队,“GReAT”每年都会根据对全球的网络攻击状况进行研究,发表针对下一年的威胁预测。近日,他们发布了对 2018 年的威胁预测,雷锋网选取了部分内容进行编译整理。
想看原版的读者请移步文末点击参考来源。
会出现更多的供应链攻击
如果从防守方来看,企业或者个人为了保护自己的网络安全,往往使用了强大的网络安全防护体系,用于抵御黑客的 APT (高级持续性威胁)攻击。
要知道,对付这些手握丰富武器库(零日漏洞、无文本攻击工具等)的黑客,并不是一件容易的事情。
卡巴斯基发现,在一些 APT攻击中,由于攻击目标使用了强大的网络安全防护体系,并对员工进行了良好的安全教育,使得黑客的攻击屡屡失败。
但是,这些黑客并未轻易放弃,一直在寻找方法继续入侵。他们重新评估形势后发现,“供应链攻击”比直接进攻更有效。
什么是供应链攻击?
简单来说,就是披着合法软件外衣的攻击行为,如影响百万电脑的暗云Ⅲ恶意软件,隐藏在正规刷机软件中的异鬼II,以及被爆盗用国内某终端管理软件数字签名的 Kuzzle 恶意软件……很多我们充分信任的软件都沦陷过,因为第三方软件可能是一个更容易的目标,他们可以利用它来攻击受到更好保护的原始目标企业。
在2017年,有这样一些案例:
Shadowpad
CCleaner
ExPetr / NotPetya
这些攻击很难识别。例如,在 Shadowpad 的案例中,攻击者成功地利用Netsarang软件携带恶意软件程序包,在世界各地传播,尤其是银行、大型企业和其他垂直行业。
在很多情况下,它们都是命令和控制(C&C)流量,毕竟用户很难察觉到干净的程序包和携带恶意代码的程序包的差异。
在CCleaner案例中,估计有超过200万台电脑被感染,这使它成为2017年最大的供应链攻击之一。
研究人员分析了恶意的CCleaner代码后,将它与其他一些已知的后门程序联系起来,这些后门程序被APT组织“Axiom umbrella”(APT17,也叫Aurora)使用过。这证明了APT组织愿意为了实现其目标拉长战线。
“GReAT”认为,目前的“供应链攻击”数量可能比我们了解到的要高得多,只是这些还没有被暴露出来。
会出现更多高端的移动恶意软件
2016 年 8 月,CitizenLab 和 Lookout 公司公布了一份名为“Pegasus”的移动间谍平台的分析报告。
Pegasus 是一款所谓的“合法拦截”软件套件,被一家名为“NSO Group”的以色列公司出售给政府和其他实体企业。
Pegasus 能结合多个零日漏洞,远程绕过 iOS 等系统的安全防御。它被认为是目前为止最危险的间谍软件之一,可以通过短信息进行控制,并具有自毁功能。此外,它还能抓取大量通信数据、WhatsApp 通话和消息记录、以及来自 Gmail、Facebook、Skype 和 Twitter 等有价值的数据。除此之外,它还能控制设备的摄像头和麦克风,并记录键盘,捕获截图。
总之,如果你的手机被这款恶意软件所控制,绝对可以上演一部现实版《楚门的世界》。
除Pegasus 外,许多其他APT组织也开发了专属的移动恶意软件。由于iOS是一个特殊的操作系统,用户很难检查他们的手机是否被感染。
总之,由于遥测技术的缺陷,一些移动恶意软件难以被发现和根除,现还未被发现的移动恶意软件的总数,可能比已经公布的要多。
会出现更多类似 BeEF 的 web 框架分析工具
随着网络安全意识的不断提高,各大互联网公司都拥有了强大的安全团队,这致使零日漏洞的发现越来越难,价格也在近两年水涨船高。
例如,世界著名漏洞军火商 Zerodium 最近表示愿意出价150万美元购买一套完整的 iPhone(iOS)持续性攻击的远程越狱漏洞,即在没有任何用户交互的情况下,远程感染目标设备。现在,你估计会对黑客陈良有不一样的认识了吧, 黑客陈良首次揭秘如何越狱 iPhone X :乔布斯的苹果终有缺口 。
这也意味着,攻击者在攻击前需要经历一个更缜密的分析过程。
例如,侦察阶段可以强调识别目标、操作系统、插件和其他第三方软件使用的浏览器的准确版本。
凭借这些信息,攻击者可以针对目标特性调整他们的开发方式,交付一个不太敏感的将“1-day”或“N-day”的漏洞,而不是被誉为“皇冠上的宝石”的“0-day”漏洞。
类似于 Turla、Sofacy 和 Newsbeef 这样的 APT 组织已把这类分析技术运用得相当熟练,其他的APT组织也以其自定义的分析框架而闻名,比如多产的 Scanbox 。
由于分析框架的普遍性和零日漏洞的高昂代价,我们可以估计在2018年使用“BeEF”之类的分析工具包将会增加,更多的黑客团队可能采用公共框架,或者自己开发工具包。
会出现先进的 UEFI 和 BIOS 攻击
UEFI (统一可扩展固件接口)是一种软件接口,是现代pc机与操作系统之间的媒介。由英特尔在2005年开发,正在迅速取代传统的BIOS标准。这是因为BIOS缺乏一些高级特性:例如,安装并运行可执行文件、网络功能、加密、CPU独立架构和驱动程序等能力。
而UEFI可以弥补BIOS缺乏的这些能力,这使得UEFI成为一个有吸引力的平台,攻击者也在其中找到许多在BIOS平台上并不存在的新漏洞。
例如,运行自定义可执行模块的能力使得它能够创建恶意软件,而由UEFI直接执行就能绕过任何反恶意软件解决方案。
从2015年开始,商业级的UEFI恶意软件就已经存在了。但是, 到目前为止仍然缺少针对这类恶意软件的成熟的、可靠的检测方法。
我们预计,在2018年,将会看到更多基于UEFI的恶意软件。
破坏性的攻击仍在继续
从2016年11月开始,卡巴斯基实验室观察到一波针对中东地区多个目标的“雨刷攻击”。
在新的袭击中使用的恶意软件是臭名昭著的 Shamoon 蠕虫病毒的变种,该蠕虫在2012年袭击了 Saudi Aramco 和 Rasga s公司,2012年,这种病毒出现时,它的攻击目标是能源企业或能源部门,它能将受感染 Windows机器中的数据永久删除。
在袭击当天,一群被称为“正义之剑”的组织发布了一份巴氏(Pastebin)信息,并对Saudi Aramco发动攻击,并称此次袭击是针对沙特王室的一项举措。
在2016年11月,又发生了Shamoon 2.0攻击事件,此次目标是沙特阿拉伯多个关键部门和经济部门。就像之前的变种一样,Shamoon 2.0“雨刮器”的目标是对组织内部系统和 设备进行大规模破坏。
在调查Shamoon 2.0的攻击时,卡巴斯基实验室还发现了一个以前不为人知的恶意软件,似乎针对的也是沙特阿拉伯地区的组织。
我们已经把这种新“雨刷器”称为“StoneDrill”,它很有可能与Newsbeef APT组织存在关联。
除了Shamoon和Stonedrill,发生在2017年的极具破坏性的攻击活动还有很多,如ExPetr/ NotPetya攻击,最初被认为是勒索软件,结果被证明是一个巧妙伪装的“雨刷器”。
紧随其后的另一波“赎金”攻击,使得受害者几乎没有机会恢复他们的数据,这都是因为这些勒索软件都被 “雨刷器”巧妙地掩饰了。
关于“雨刷器即勒索软件”(wipers as ransomware)这一事实,在2016年出现的由CloudAtlas APT组织发起的针对俄罗斯的金融机构的攻击活动中可以证实。
在2018年,我们预计破坏性攻击活动将继续上升,或许还会在网络战中占据极大地位。
更多的加密系统会被颠覆
在2017年3月,美国国家安全局开发的 IoT 加密方案提议遭到了 Simo n和 Speck 异体ISO认证的质疑,这两项提案都被撤回并推迟了。
2016年8月,Juniper Networks宣布在他们的NetScreen防火墙中发现了两个神秘的后门。可能是Dual_EC随机数生成器所使用的常量发生了细微的变化,使得攻击者能够从NetScreen设备解密VPN流量。
最初的Dual_EC算法是由国家安全局设计的,并通过了NIST标准。
早在2013年,路透社(Reuters)的一份报告就显示,美国国家安全局(NSA)向RSA支付了1000万美元,把Dual_EC这个脆弱的算法集成到它的加密套件中
即使在2007年就从理论上确定了植入后门程序的可能性,一些公司(包括Juniper)仍采用了不同的常数集,继续使用该算法,这在理论上是安全的。
但是这组不同的常量并不能改变什么,一些APT攻击者仍会攻击Juniper,他们会将这些常量更改为一个可以控制和利用的内容来解密VPN流量。
这些尝试并没有被忽视。在2017年9月,一个国际密码学专家小组迫使美国国家安全局放弃了两种新的加密算法,该组织希望将其标准化。
2017年10月,新闻报道了英飞凌技术股份公司(Infineon Technologies)在他们使用的硬件芯片加密库中的一个缺陷。虽然这一漏洞似乎是无意的,但它确实让我们对“智能卡、无线网络或加密Web流量等日常生活中使用的基础加密技术的安全性”产生了质疑。
在2018年,我们预测将会发现更加严重的加密漏洞,并希望无论是加密算法标准本身还是在具体的实践中出现的漏洞都能被修补。
电子商务领域的身份认证危机
在过去的几年里,发生了大规模的个人信息泄露事件,比如涉及半数美国人的Equifax 漏洞事件。
虽然许多人已经对这些数据泄露事件麻木,但需要明白的是,规模化的个人信息信息泄露,可能会危及电子商务的基础。
欺诈和身份盗用问题是一个长期存在的问题,但当基本的身份识别信息泄露如此泛滥时,人们是否会认为相关企业根本就不可靠呢?
这时,商业和政府机构 (特别是在美国) 将面临一种选择,即缩减采用互联网运营的舒适度,或是采用其他多因素安全解决方案。换句话说,可能以后为了保证安全,用户体验可能没那么便捷了。
也许像 ApplePay 这样的有弹性的替代方案将会成为一种现实的方式来确保身份和交易,但同时,我们可能会看到,为了实现繁琐的官僚程序的现代化和降低运营成本,互联网的关键作用正在放缓。
会出现更多的路由器和调制解调器攻击
另一个被广泛忽视的领域是路由器和调制解调器。
其实,路由器已经成为各类破解秀中的常客了,因为不论是家里还是单位,它都成为了一个必不可少的硬件,,然而这些硬件上面运行的专有软件却又常处于未打补丁或无人看管的状态。
一些攻击者正是利用这一点,获取到网络持久和隐蔽性访问权。
究竟情况有多糟糕,雷锋网此前进行过报道, 全球 57 万台打印机端口暴露在物联网,打印机厂商怎么看(内附独家回复) 。
在某些情况下,攻击者甚至可以模拟不同的互联网用户,将踪迹转移到完全不同的网络连接地址中。
预计到2018年,攻击者对误导和虚假标志的兴趣正在不断增加。对这些设备进行更严格的审查将会有更多的发现。
社交媒体的政治化作用凸显
从特朗普身上,大家应该都能感受到,社交媒体已经逐渐担任了重要的政治化角色,不少美国人甚至认为,是facebook帮助特朗普赢得了美国大选。
卡巴斯基预计,社交媒体政治化将会呈现更明显的滥用趋势,大型僵尸网络将成为更广泛的政治毒瘤,看来,大家对僵尸粉的厌恶是部分国界的。
总结
其实, 每一年的主题和趋势都不是孤立,翻看前几年的威胁预测可以看出,它们相互依赖,无论是个人、企业还是政府,所面临的威胁都在不断增长,能缓解这些威胁的,是高保真威胁情报,以及对于威胁情报的分享和应用。
虽然这些预测涵盖了高级目标威胁的趋势,但个别行业将面临自己独特的挑战。2018年,我们将把目光更多的放在医疗、汽车、金融服务、工控安全等部门。
参考来源: securelist 、Freebuf
。