2020預(yù)測(cè) | 新一輪網(wǎng)絡(luò)安全病毒的“狂歡”
點(diǎn)擊:2605
A+ A-
所屬頻道:新聞中心
亞信安全發(fā)布《亞信安全2019年度威脅回顧及預(yù)測(cè)》報(bào)告
在疫情肆虐的今天,遠(yuǎn)程辦公已經(jīng)成為普遍的工作方式。當(dāng)你落座家中,與各地同事溝通協(xié)作無(wú)間時(shí),有沒(méi)有想過(guò),當(dāng)你點(diǎn)開(kāi)郵件里面的“視頻會(huì)議參加鏈接”,或者打開(kāi)一封來(lái)自相關(guān)部門的煞有架勢(shì)的郵件時(shí),很可能會(huì)發(fā)現(xiàn),電腦運(yùn)行速度莫名其妙地變得緩慢,或者出現(xiàn)了要求繳納贖金的“通知”……,這可能表示勒索病毒或是挖礦病毒已經(jīng)侵入你的電腦設(shè)備。
隨著我們開(kāi)啟又一個(gè)十年新紀(jì)元,網(wǎng)絡(luò)安全也隨之過(guò)渡到新的時(shí)代。不斷演變的攻擊方式,和更多變的威脅態(tài)勢(shì),需要我們有能力“御”其變,更能主動(dòng)“預(yù)”其變。
近期亞信安全正式發(fā)布了《亞信安全2019年度安全威脅回顧及預(yù)測(cè)》,總結(jié)了2019年的安全態(tài)勢(shì),更對(duì)2020的安全趨勢(shì)進(jìn)行了預(yù)測(cè)與分析。報(bào)告顯示,勒索病毒和挖礦病毒的肆虐將從2019年持續(xù)到2020年,此外有組織的APT入侵仍在加劇,而新興的“無(wú)文件”攻擊防御也越發(fā)嚴(yán)峻。
勒索病毒:更少、但更強(qiáng)
GANDCRAB(俠盜)、Maze(迷宮)、Paradise(天堂)……這些略顯文藝范兒的名字很容易讓大家心生親近之感,但實(shí)際上,他們的真實(shí)身份卻是2019 年十大勒索病毒的成員。從總體來(lái)看,這些勒索病毒的數(shù)量在2019年的大部分時(shí)間呈現(xiàn)出持續(xù)下降的態(tài)勢(shì),攔截?cái)?shù)量從3月份14927的峰值降到12月份的9298。但需要注意的是,這些勒索病毒使用的技術(shù)卻在不斷更新,老病毒不斷變種、新病毒層出不窮,給企業(yè)防護(hù)帶來(lái)了巨大壓力。
【2019年度勒索病毒檢測(cè)數(shù)量圖】
以 GandCrab 勒索病毒為例,該勒索病毒的傳播感染方式多種多樣,使用的技術(shù)也不斷升級(jí),其采用高強(qiáng)度加密算法,導(dǎo)致加密后的文件很難解密。該勒索病毒加密后的文件擴(kuò)展名為隨機(jī)字符,其不僅加密本機(jī)文件,還會(huì)加密局域網(wǎng)共享目錄中的文件,加密完成后會(huì)修改被感染機(jī)器桌面壁紙,進(jìn)一步提示用戶勒索信息。作為GandCrab在2019年7月退出后的延續(xù),Sodinokibi勒索病毒也同樣值得關(guān)注,其不僅利用了社會(huì)工程學(xué)的傳播方式,使用的外殼保護(hù)技術(shù)也在不斷更新和變換。
【GANDCRAB 勒索病毒加密后的提示信息】
亞信安全對(duì)勒索病毒全球分布情況進(jìn)行的統(tǒng)計(jì)還顯示,印度、巴西、土耳其、中國(guó)等發(fā)展中國(guó)家和地區(qū)的勒索病毒檢測(cè)數(shù)量位居前列,其中印度居首位,占全球勒索病毒感染率的22%。網(wǎng)絡(luò)安全防范的意識(shí)相對(duì)薄弱,電腦更新?lián)Q代滯后,投入到網(wǎng)絡(luò)安全的人力財(cái)力也有限等是發(fā)展中國(guó)家易感勒索病毒的原因。而在行業(yè)方面,黑客更傾向于政府、醫(yī)療、制造業(yè)和技術(shù)等網(wǎng)絡(luò)安全相對(duì)薄弱的企事業(yè)單位。
挖礦病毒:新一輪的狂歡
時(shí)間還得從2017年4月份說(shuō)起,黑客團(tuán)體公布了“永恒之藍(lán)”工具,這導(dǎo)致了轟動(dòng)世界的WannaCry勒索病毒爆發(fā)事件。經(jīng)過(guò)對(duì)此病毒的嚴(yán)防死守,大家一度認(rèn)為,“永恒之藍(lán)”已經(jīng)消失在我們的視野中。但是事實(shí)并非如此,亞信安全報(bào)告顯示,直到2019年,“永恒之藍(lán)”漏洞都是大量流行的挖礦病毒的罪魁禍?zhǔn)祝喝纭膀?qū)動(dòng)人生”、WannaMine、FakeMsdMiner 等臭名昭著的挖礦病毒。
【W(wǎng)annaMine攻擊流程】
這些挖礦病毒有一個(gè)典型的特點(diǎn),那就是其與數(shù)字貨幣的幣值高度相關(guān)。2019 年上半年比特幣重新恢復(fù)上漲之后,與之密切相關(guān)的挖礦病毒開(kāi)始新一輪活躍。由于其隱蔽性高、成本低,備受網(wǎng)絡(luò)犯罪分子青睞,挖礦病毒成為近年來(lái)流行的病毒類型之一,有些挖礦病毒家族還出現(xiàn)了快速、持續(xù)更新版本的現(xiàn)象,這表明黑客團(tuán)體在戰(zhàn)術(shù)上已經(jīng)將挖礦病毒當(dāng)成“商業(yè)化”的武器。
亞信安全在報(bào)告中特別指出,挖礦病毒具備隱蔽性高、成本低、收入高等特點(diǎn),導(dǎo)致越來(lái)越多的黑客團(tuán)伙關(guān)注和制作挖礦病毒。要防范挖礦病毒,建議用戶不要下載來(lái)歷不明的軟件,并采用更換高強(qiáng)度的密碼、阻止向 445 端口進(jìn)行連接、關(guān)閉不必要的文件共享、打全系統(tǒng)和應(yīng)用程序補(bǔ)丁程序、部署網(wǎng)絡(luò)安全防護(hù)系統(tǒng)等方式,來(lái)封堵流行的挖礦病毒。另外,歷經(jīng)10余年歷史的Windows7已于2020年1月14日停止了安全更新,這對(duì)于許多行業(yè)(如:醫(yī)療、金融)來(lái)說(shuō)將帶來(lái)巨大影響,網(wǎng)絡(luò)安全軟件肩上的責(zé)任也將更重。
APT攻擊:“老對(duì)手”的新動(dòng)作
2019年6月,阿聯(lián)酋、沙特阿拉伯、印度、日本、阿根廷、菲律賓、韓國(guó)和摩洛哥等多個(gè)國(guó)家的企業(yè)遭受了有針對(duì)性的大規(guī)模APT 攻擊。此次攻擊無(wú)論是從內(nèi)容還是手法上都讓研究人員非常熟悉:其郵件主題大多具有誘惑性,欺騙用戶點(diǎn)擊,如“您的RAKBANK稅務(wù)發(fā)票”、“免稅額度”; 通過(guò)Amadey僵尸網(wǎng)絡(luò)發(fā)送垃圾郵件,傳送“EmailStealer”信息竊取程序等。
【垃圾郵件攻擊流程】
經(jīng)過(guò)分析,亞信安全確認(rèn),這是“老對(duì)手”TA505 網(wǎng)絡(luò)間諜組織,該間諜組織自 2014 年以來(lái)就一直保持活躍狀態(tài),在過(guò)去的幾年里,該組織已經(jīng)通過(guò)利用銀行木馬 Dridex 以及勒索病毒 Locky 和 Jaff 作為攻擊工具成功發(fā)起了多起大型的網(wǎng)絡(luò)攻擊活動(dòng)。該組織在技術(shù)上不斷變化更新,攻擊目標(biāo)也在不斷擴(kuò)大,給用戶造成了極大威脅。
移動(dòng)安全:大量仿冒APP,移動(dòng)APT攻擊防不勝防
隨著移動(dòng)設(shè)備的數(shù)據(jù)價(jià)值越來(lái)越大,惡意程序、假冒程序、數(shù)據(jù)泄露、ATP攻擊等移動(dòng)端應(yīng)用安全威脅與日俱增,Android平臺(tái)的安全風(fēng)險(xiǎn)狀況依然嚴(yán)峻。其中,GooglePlay上發(fā)現(xiàn)了大量仿冒APP,還有偽裝成 Currency Converter 和 BatterySaverMobi程序用于傳播銀行木馬,這給“新型冠狀病毒感染肺炎疫情”期間采用遠(yuǎn)程辦公的用戶帶來(lái)極大的威脅。另外,移動(dòng)ATP攻擊也值得我們重視,比如3月韓國(guó)訪問(wèn)量最大的網(wǎng)站遭遇“水坑”釣魚(yú)攻擊,該攻擊活動(dòng)通過(guò)注入偽造的登錄表單來(lái)竊取用戶憑據(jù)。
“無(wú)文件”攻擊:“無(wú)文件”僵尸網(wǎng)絡(luò)
“無(wú)文件”攻擊給許多采用傳統(tǒng)防御技術(shù)的用戶帶來(lái)挑戰(zhàn),由于這類攻擊通過(guò)在內(nèi)存空間中直接完成惡意代碼的下載、解密和執(zhí)行,全程無(wú)文件落地,所以容易繞過(guò)傳統(tǒng)安全軟件的防御。3月,亞信安全偵測(cè)到KovCoreG攻擊活動(dòng),經(jīng)過(guò)持續(xù)追蹤,發(fā)現(xiàn)該攻擊活動(dòng)使用了Novter新型“無(wú)文件”惡意軟件,并形成了隱蔽性較強(qiáng)“無(wú)文件”僵尸網(wǎng)絡(luò)。
2020年預(yù)測(cè):企業(yè)威脅更加復(fù)雜化 傳統(tǒng)威脅與新型威脅持續(xù)混合
亞信安全預(yù)測(cè),在2020年,勒索病毒、挖礦病毒攻擊仍是主流,隨著云時(shí)代興起,配置錯(cuò)誤等人為錯(cuò)誤會(huì)帶來(lái)新安全威脅。企業(yè)威脅將更加復(fù)雜化,傳統(tǒng)威脅與新的安全技術(shù)混合在一起,讓企業(yè)面臨更加嚴(yán)峻網(wǎng)絡(luò)安全威脅。
具體來(lái)說(shuō),這些預(yù)測(cè)包括:
互聯(lián)網(wǎng)安全:更多網(wǎng)絡(luò)犯罪分子將轉(zhuǎn)向地下區(qū)塊鏈平臺(tái)交易,將會(huì)出現(xiàn)更多攻擊網(wǎng)上銀行和移動(dòng)支付的惡意軟件。此外,AI 欺詐、“可蠕蟲(chóng)”漏洞、反序列化漏洞等攻擊技術(shù)將更多的被網(wǎng)絡(luò)犯罪分子加以利用。
物聯(lián)網(wǎng)安全:在5G技術(shù)持續(xù)落地的背景下,物聯(lián)網(wǎng)安全威脅將持續(xù)拓展,網(wǎng)絡(luò)犯罪分子將更多地利用物聯(lián)網(wǎng)設(shè)備進(jìn)行間諜和勒索攻擊。此外,公用事業(yè)、基礎(chǔ)設(shè)施、家庭及遠(yuǎn)程辦公設(shè)備都將成為攻擊目標(biāo)。
云安全:由于大量企業(yè)在2020年預(yù)計(jì)將部署無(wú)服務(wù)器計(jì)算技術(shù),無(wú)服務(wù)器應(yīng)用的相關(guān)威脅將凸顯,錯(cuò)誤配置和漏洞將成為無(wú)服務(wù)器應(yīng)用程序的威脅入口點(diǎn)。云存儲(chǔ)配置很可能將導(dǎo)致數(shù)據(jù)泄露事件發(fā)生,云平臺(tái)也會(huì)成為代碼注入攻擊犧牲品。
企業(yè)安全:在2020年,無(wú)文件、Linux和信息竊取惡意軟件將持續(xù)威脅企業(yè)安全,無(wú)文件技術(shù)將持續(xù)應(yīng)用在銀行木馬、挖礦和勒索病毒之中。具有信息竊取功能的惡意軟件變種將會(huì)增加,基于Linux 的惡意軟件還將經(jīng)歷持續(xù)的熱潮。在此背景下,部署涵蓋威脅情報(bào)安全分析、完整的防御體系的企業(yè)安全防護(hù)架構(gòu)將至關(guān)重要。
(審核編輯: 智匯張瑜)