行業(yè)動(dòng)態(tài)

關(guān)于2020年的安全預(yù)測(cè)

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-12-06    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf

沒(méi)有什么比做預(yù)測(cè)更難的了,研究人員根據(jù)過(guò)去12個(gè)月所發(fā)生的事情,安全領(lǐng)域?qū)<业闹R(shí)和對(duì)APT攻擊的觀察研究,對(duì)未來(lái)做出如下預(yù)測(cè)。

假標(biāo)志攻擊

使用假標(biāo)志已經(jīng)成為幾個(gè)APT中的一個(gè)重要元素,通常試圖轉(zhuǎn)移安全人員對(duì)攻擊者的注意力——例如,在Lazarus惡意軟件中使用俄語(yǔ)詞匯,或WildNeutron使用羅馬尼亞語(yǔ)詞匯等。我們認(rèn)為,假標(biāo)志攻擊將進(jìn)一步發(fā)展,攻擊者不僅希望規(guī)避追蹤溯源,而且積極地將責(zé)任推給其他人。

其中也可能包括其他不相關(guān)的APT使用已建立的后門(mén)、盜竊和重復(fù)使用代碼,或者故意泄露源代碼讓其他組織使用,進(jìn)一步攪渾局面。除此之外,還應(yīng)考慮攻擊者在攻擊和橫向移動(dòng)過(guò)程中使用從其他渠道購(gòu)買(mǎi)的惡意軟件、腳本、公開(kāi)可用的安全工具或管理員軟件,使溯源工作變得越來(lái)越困難。

從勒索軟件到目標(biāo)勒索軟件

在過(guò)去的兩年里,通用勒索軟件攻擊的數(shù)量有所下降,網(wǎng)絡(luò)犯罪分子使用勒索惡意軟件變得更具針對(duì)性,這些勒索軟件攻擊的重點(diǎn)是那些可能支付大筆款項(xiàng)以恢復(fù)數(shù)據(jù)的組織。我們稱(chēng)這種技術(shù)為“目標(biāo)勒索軟件”。

在這一年中,我們記錄了幾起攻擊者使用目標(biāo)勒索軟件的案件,我們認(rèn)為未來(lái)可能會(huì)有更激進(jìn)的勒索企圖。未來(lái)可能出現(xiàn)的趨勢(shì)是,攻擊者放棄使文件無(wú)法恢復(fù)的勒索形式,會(huì)以威脅發(fā)布數(shù)據(jù)的方式代替。

除了有針對(duì)性的勒索軟件之外,網(wǎng)絡(luò)罪犯也試圖將攻擊多樣化,包括除了PC或服務(wù)器之外的其他類(lèi)型的設(shè)備。例如,消費(fèi)品中的勒索軟件,如智能電視、智能手表、智能汽車(chē)/房屋/城市,勒索軟件是從受害者身上獲取經(jīng)濟(jì)利益的最有效工具。

新的網(wǎng)上銀行和支付攻擊

新的網(wǎng)絡(luò)攻擊可能會(huì)隨著新的銀行業(yè)法規(guī)出現(xiàn),這些法規(guī)最近在整個(gè)歐盟全面生效。

PSD2(支付服務(wù)指令)規(guī)定了對(duì)提供支付服務(wù)公司的監(jiān)管要求,由于銀行將被要求向第三方開(kāi)放其基礎(chǔ)設(shè)施和數(shù)據(jù),攻擊者很可能會(huì)試圖利用新的手段濫用這些新機(jī)制。

基礎(chǔ)設(shè)施攻擊和針對(duì)非PC目標(biāo)攻擊

一段時(shí)間以來(lái),已確定攻擊者一直在將其工具集擴(kuò)展到Windows以外,甚至PC系統(tǒng)之外:例如,VPNFilter和Slingshot,目標(biāo)網(wǎng)絡(luò)硬件。攻擊者一旦控制設(shè)備,可以極大提升攻擊者的靈活性。他們可以選擇大規(guī)模僵尸網(wǎng)絡(luò)攻擊方案,并將該網(wǎng)絡(luò)用于不同的目標(biāo),或者可以利用僵尸網(wǎng)絡(luò)接近選定的目標(biāo)進(jìn)行更多的秘密攻擊。

有消息稱(chēng),黑客已經(jīng)滲透到全球至少10家手機(jī)電信公司的網(wǎng)絡(luò)中,并已隱藏多年。他們能夠在電信基礎(chǔ)設(shè)施上部署自己的VPN服務(wù)。物聯(lián)網(wǎng)設(shè)備的大量使用使得現(xiàn)實(shí)世界和網(wǎng)絡(luò)世界融合,為攻擊者提供了越來(lái)越多的機(jī)會(huì)。今年有報(bào)道稱(chēng),不明身份的攻擊者使用樹(shù)莓派從美國(guó)宇航局噴氣推進(jìn)實(shí)驗(yàn)室竊取了500兆數(shù)據(jù)。去年12月,英國(guó)蓋特威克機(jī)場(chǎng)(Gatwick airport)在其中一條跑道上方發(fā)現(xiàn)無(wú)人機(jī)后,因擔(dān)心發(fā)生碰撞而停飛。由于使用了無(wú)人機(jī),該國(guó)的部分關(guān)鍵基礎(chǔ)設(shè)施陷于停頓。毫無(wú)疑問(wèn),此類(lèi)攻擊的數(shù)量將會(huì)增加。

亞歐貿(mào)易路線(xiàn)沿線(xiàn)地區(qū)的攻擊增加

Clausewitz的格言“戰(zhàn)爭(zhēng)僅僅是政治通過(guò)其他方式的延續(xù)”,可以擴(kuò)展到包括網(wǎng)絡(luò)沖突,網(wǎng)絡(luò)攻擊反映了現(xiàn)實(shí)世界的緊張和沖突。比如,俄羅斯干涉美國(guó)選舉的指控,以及擔(dān)心在2020年大選前可能再次出現(xiàn)這一局面的擔(dān)憂(yōu),我們?cè)诿绹?guó)的起訴書(shū)中看到了所謂的中國(guó)黑客。

有幾種方法可以解決這個(gè)問(wèn)題。其中包括政治間諜活動(dòng)的增長(zhǎng),因?yàn)楦鲊?guó)政府都在尋求國(guó)內(nèi)外的利益。在潛在或?qū)嶋H的經(jīng)濟(jì)危機(jī)和由此產(chǎn)生的不穩(wěn)定局勢(shì)中,也可能擴(kuò)大到技術(shù)間諜活動(dòng)。這可能導(dǎo)致亞歐貿(mào)易路線(xiàn)沿線(xiàn)的地區(qū)遭受新的襲擊,其中包括土耳其、東歐和南歐以及東非。

很有可能看到立法和政策的變化,因?yàn)檎M宄亟缍ㄊ裁词窃试S的,什么是不允許的。一方面,可以建立合理的規(guī)定政策,從而避免制裁。另一方面,可以更積極地使用技術(shù),因?yàn)樗痉ú块T(mén)熱衷于為不同類(lèi)型的“合法攔截”提供方便,以便在計(jì)算機(jī)上收集證據(jù)。犯罪集團(tuán)可能更多地使用加密技術(shù),以及隱藏其行動(dòng)。

近年來(lái),我們看到了一些針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊,這些攻擊通常與地緣政治相關(guān)。雖然工業(yè)設(shè)施中大多數(shù)感染設(shè)備來(lái)自“主流”惡意軟件,但這一事實(shí)本身突顯了這些設(shè)施的脆弱性。盡管針對(duì)關(guān)鍵基礎(chǔ)設(shè)施有針對(duì)性的攻擊不太可能成為一種主流犯罪活動(dòng),但這一數(shù)字在未來(lái)還會(huì)增長(zhǎng)。在一個(gè)物理和網(wǎng)絡(luò)日益融合的世界里,地緣政治沖突正在上演,網(wǎng)絡(luò)攻擊為政府提供了一種介于外交和戰(zhàn)爭(zhēng)之間的手段。

攻擊方法越來(lái)越復(fù)雜

很難知道頂級(jí)攻擊者到底有多先進(jìn),他們手里有什么資源。例如,幾年前我們觀察到一個(gè)無(wú)休止的零日漏洞供給,攻擊者隨時(shí)準(zhǔn)備為他們買(mǎi)單。今年,我們觀察到谷歌在8月份公布過(guò)去兩年中至少發(fā)現(xiàn)的14個(gè)iOS漏洞。

攻擊者還可能使用非常規(guī)方法(如使用信令數(shù)據(jù)或Wi-Fi/4G)來(lái)過(guò)濾數(shù)據(jù),特別是在使用物理植入物時(shí)。同樣,相信未來(lái)會(huì)有更多的攻擊者使用DoH(DNS over HTTPS)來(lái)隱藏活動(dòng)。最后,有可能在未來(lái)幾個(gè)月內(nèi),將開(kāi)始發(fā)現(xiàn)更多的UEFI惡意軟件。

移動(dòng)攻擊焦點(diǎn)轉(zhuǎn)移

在過(guò)去的十年里,數(shù)字生活主要存儲(chǔ)設(shè)備已經(jīng)從個(gè)人電腦轉(zhuǎn)移到了手機(jī)。攻擊者很快就注意到了這一點(diǎn),并開(kāi)始專(zhuān)注于開(kāi)發(fā)手機(jī)攻擊工具。雖然我們一直在預(yù)測(cè)針對(duì)手機(jī)的攻擊數(shù)量會(huì)大幅增加,但從觀察到的情況并不能反映出這一推斷。

上文連接中說(shuō)到攻擊者如何利用iOS中至少14個(gè)零日漏洞來(lái)攻擊亞洲的某些少數(shù)群體,最近也看到了Facebook如何起訴以色列NSO公司,指控其濫用服務(wù)器(部署惡意軟件攔截用戶(hù)數(shù)據(jù))。我們還看到了Android零day現(xiàn)在比iPhone更昂貴(根據(jù)Zerodium的價(jià)格表),所有這些都告訴我們攻擊者在開(kāi)發(fā)這些技術(shù)方面投入了大量資金。

個(gè)人信息濫用:從深度造假到DNA泄露

之前討論過(guò)數(shù)據(jù)泄漏如何幫助攻擊者制造更具說(shuō)服力的社會(huì)工程攻擊。并非每一個(gè)攻擊者都有完整的潛在受害者的資料,這使得越來(lái)越多的泄露數(shù)據(jù)非常有價(jià)值,勒索軟件攻擊也是如此。

在一個(gè)記錄數(shù)據(jù)不斷增長(zhǎng)的世界里,我們可以看到特別敏感的泄漏危險(xiǎn),例如在生物特征數(shù)據(jù)方面。所有這些聽(tīng)起來(lái)都十分超前,但它與通過(guò)社交媒體驅(qū)動(dòng)選舉廣告的技巧非常相似。這項(xiàng)技術(shù)已經(jīng)在使用中,一些攻擊者利用它只是時(shí)間問(wèn)題。

總結(jié)

未來(lái)有太多的可能性,我們的預(yù)測(cè)中可能會(huì)有許多預(yù)測(cè)不到的東西,攻擊環(huán)境的復(fù)雜性提供了更多可能性。此外,沒(méi)有一個(gè)研究管對(duì)能夠完全了解APT攻擊者的行動(dòng)。我們將繼續(xù)觀察分析和預(yù)測(cè)APT的活動(dòng),了解他們使用的方法,同時(shí)提供對(duì)最新的分析報(bào)告。

 
 

上一篇:個(gè)人信息和數(shù)據(jù)泄露風(fēng)險(xiǎn)愈加凸顯,如何解決信息安全問(wèn)題?

下一篇:LokiBot用隱寫(xiě)術(shù)隱藏蹤跡