正如安全自动化可以帮助企业更有效地检测、响应和缓解网络威胁一样,自动化工具也能让网络犯罪分子“如虎添翼”。
网络安全公司Recorded Future最近分析了来自威胁情报平台、开放源情报源和公共报告的数据,统计出了网络犯罪分子最常用的十类自动化攻击工具和服务。
Recorded Future指出,网络犯罪分子已经创建了一个欣欣向荣的工具和资源生态系统,地下黑市销售的各种工具能够让攻击链(KillChain)几乎每个环节都实现自动化,从最初的侦察、网络侵入到有效负载投递、逃避检测、泄露数据以及被盗数据的货币化。
Recorded Future发现,“产品化”甚至“商品化”的恶意软件使过去需要攻击者花费数月时间才能开发、测试和部署的攻击,现在已经可以“开箱即用”,这使菜鸟攻击者也可以毫不费力地参与网络非法活动。例如,快速验证或访问数千个帐户密码,绕过反恶意软件产品投递有效载荷和工具,从受感染系统中窃取凭据和其他敏感数据,以及从电子商务站点和地下市场窃取支付卡数据的嗅探器,不法分子甚至可以全自动方式出售被盗的凭据和其他数据。
以下是Recorded Future报告中给出的十大自动化攻击工具类别,以及企业如何用威胁情报、自动检测防御、SOAR等安全自动化技术来缓解此类威胁:
一、数据库泄露与销售工具
针对企业数据库的自动化攻击工具可以让攻击者获得对网络的未授权访问,窃取数据或账户信息,然后在网络地下黑市中销售。常见的数据泄露自动化攻击工具包括账户提权、企业电子邮件泄露、勒索软件等类型。
缓解措施
确保所有软件和应用程序保持最新
过滤电子邮件中的垃圾邮件并仔细检查链接和附件
定期备份系统并离线存储
区分公司敏感数据
建立基于角色的访问
应用数据加密标准
二、检查器与暴力破解工具
攻击者通过数据泄露攻击获得账户后,可利用检查器和暴力破解器来发起大规模的自动登录请求,以检验受害者账户的有效性,或通过对数千个帐户的凭据填充攻击来获得未经授权的访问。
缓解措施
除密码管理器外,还应为帐户设置唯一的密码
启用登录验证(例如CAPTCHA)或多因素身份验证(MFA)
部署定制的Web应用程序防火墙
限制登录流量和频次
删除未使用的面向公众的登录名
为流量和网络请求建立基准,以监视意外流量
三、加载程序和加密程序
攻击者经常使用加载程序和加密程序来避免被端点安全产品(例如防病毒软件)检测到,然后下载并执行一个或多个恶意有效载荷(例如恶意软件)。
缓解措施
定期更新防病毒软件
部署除防病毒之外的其他响应和检测控制措施,以检测恶意负载
对网络钓鱼和相关风险进行培训和教育
四、窃密程序和键盘记录器
窃密器和键盘记录器用于从受害者那里窃取敏感信息,包括账户、隐私信息和支付卡信息,而且还能将有效负载安装到受害者的系统上。
缓解措施
投资提供补丁状态报告的解决方案
配置网络防御机制以警告设备上的恶意活动
监视文件驱动器和注册表的可疑更改
五、金融恶意代码注入
攻击者无需自己编写脚本即可自动执行攻击,攻击者如今可以轻松获得流行且功能强大的金融欺诈工具。这些工具或模块可以与银行木马一起使用,在用户被重定向到合法网站之前,通过注入HTML或JavaScript代码收集敏感信息。
缓解措施
使软件和应用程序保持最新
在所有设备上安装防病毒解决方案,安排更新并监视防病毒状态
通过SMS身份验证器应用程序启用MFA多因素认证
仅使用HTTPS连接web服务
教育员工并进行安全意识培训
部署垃圾邮件和Web过滤器
加密所有公司敏感信息
禁用HTML或将HTML电子邮件转换为纯文本电子邮件
六、漏洞利用工具
漏洞利用工具包用于自动利用Web浏览器漏洞,以最大程度地传播感染,并提供诸如木马、装载程序、勒索软件和其他恶意软件之类的恶意负载。
缓解措施
优先修补技术产品中微软产品和较旧漏洞的补丁
确保在浏览器设置中自动禁用Adobe Flash Player
开展并长期坚持网络钓鱼安全意识培训
七、钓鱼与垃圾邮件
攻击者利用垃圾邮件和网络钓鱼服务来开展电子邮件攻击活动,访问成千上万的受害者,以部署恶意软件或进一步访问网络。
缓解措施
不要在线发布您的电子邮件地址或回复垃圾邮件
下载安装额外的垃圾邮件过滤工具和防病毒软件
在线注册时避免使用个人或公司电子邮件地址
制定密码安全策略
要求所有员工落实加密措施
开展专项员工安全培训
八、“防弹”托管服务(BPHS)
为了争取更多的犯罪时间,攻击者会利用代理和防弹托管服务(BPHS)来掩盖其活动。BPHS依靠一种模型保证向恶意内容和活动提供匿名安全托管,并承诺不会因司法请求而中断犯罪活动或导致攻击者被捕。
缓解措施
利用威胁情报平台来协助监视恶意服务提供商
将与恶意BPHS关联的服务器列入黑名单
九、嗅探器
在暗网经济中,嗅探器(Sniffer)指的是一种用JavaScript编写的恶意软件,能从电子商务网站的支付页面渗透并窃取无卡交易(CNP)数据。
缓解措施
对网站进行定期审核,以识别可疑脚本或网络行为
防止不必要的外部脚本加载到支付页面上
评估电子商务网站上的第三方插件并监视其代码或行为的更改
十、自动化网络黑市
为了将攻击获得的内容货币化,攻击者会通过在线信用卡商店、帐户商店和暗网市场中出售被盗数据。通过买卖银行帐户、手机帐户、在线商店账户、约会帐户乃至受感染系统的数字指纹凭证来赚钱,这些交易将推动进一步的攻击和破坏。
缓解措施
监视商店和市场中与您企业相关的帐户
对“黑店”中失窃帐户数量激增做出及时反应
留意非公开域的账户泄露
通过SMS身份验证器应用程序启用MFA
参考报告
暗网经济的自动化与商品化:
https://go.recordedfuture.com/automation-report
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。