网络犯罪分子现在可以使用更多的民族国家技术,发动更复杂高级的持续性攻击。这对防御者来说是个坏消息。

在过去的几年里,越来越多的网络犯罪团伙开始使用曾经通常由国家资助的团队才使用的技术和程序。这种趋势让许多组织机构措手不及,尤其是那些过去专注于防范普通恶意软件的中小型企业。

高级持续威胁(advanced persistent threat APT)这个术语通常用来描述有针对性的攻击,在这种攻击中黑客会使用定制或难以监测的工具入侵系统,然后使用隐形技术(通常需要手动入侵)进行横向移动。在历史上,对间谍活动感兴趣的团队一直使用这种类型的方法,他们的目标是能长时间不被发现,以便能够观察和窃取尽可能多的秘密

与此同时,网络犯罪团伙会从黑市购买恶意软件,利用已知的漏洞,发动大规模攻击,他们通常专注于迅速获得投资回报,而不是关注隐身。网络犯罪团伙与间谍团伙重要区别在于,他们有财务动机,比如直接从受害者的账户中窃取资金,盗取具有金钱价值的数据,迫使受害者支付赎金和伪造的罚款,等等。

然而,卡巴斯基实验室(Kaspersky Lab)全球研究与分析团队负责人Costin Raiu表示,最近发现的大多数重大网络犯罪攻击都使用了APT技术,因此技术边界正在消失,而且这些犯罪分子正在相互学习。

现在一些网络间谍人员经常使用商业和公开的恶意软件,使鉴定工作变得困难。对一些网络犯罪团伙来说,隐身和手动入侵已经成为他们行动的重要组成部分。例如,朝鲜的拉撒路集团(Lazarus group)是一个不寻常的APT集团,它曾从事间谍活动和破坏活动,但现在已转向发动以金钱为导向的攻击。过去几年,该组织袭击了世界各地的中央银行和加密货币交易所,可能是为了给长期遭受全球经济制裁的朝鲜政府窃取资金。

同时像Carbanak这样的网络犯罪集团通过APT式攻击,从世界各地的银行和其他金融机构窃取了数亿美元。这些新的、更难以对付的网络犯罪集团潜伏在受害者的网络中长达数周或数月,以获得足够的访问权限,并在发动攻击之前就了解了该组织机构的工作流程。

为什么APT格局会发生变化?

《网络雇佣兵:国家、黑客和权力》一书的作者、卡耐基国际和平基金会网络政策倡议主管,外交政策专家Tim Maurer表示:

我认为有两个大趋势正在导致这种变化。首先,一些国家实际上会允许犯罪分子从事某些类型的活动,只要是为了国家的利益。

长期以来,安全领域一直有传言称,俄罗斯等国的情报机构正在直接或通过中间人与网络犯罪分子达成有关情报行动的协议。2017年曝光的一个例子中,美国司法部起诉俄罗斯联邦安全局(FSB)的两名官员雇佣了一个臭名昭著的黑客入侵雅虎的网络。

招募网络犯罪分子参与情报活动,显然会使双方交换更复杂的技术、战术和程序(TTPs)。之后他们可以将这些学到的东西用于犯罪活动中。然而,Maurer认为,这两类群体之间的技术融合更能说明他认为更令人担忧的第二个趋势,那就是网络能力的提升和攻击者的激增

我认为人们会不断向最好的东西学习。有时犯罪分子在某些方面可能比他们所在的国家做的更好,有时国家的表现更好,而他们会互相学习。这是因为大量信息变得公开和全球化。

根据Maurer的说法,现在有更多的国家拥有比10年前更具攻击性的网络能力。为了获得这些能力,一些州从网络犯罪分子那里借用了恶意软件工具,他们要么想变强,要么想掩盖自己的活动。同样,当Shadow Brokers放出据信是NSA工具一部分的永恒之蓝漏洞时,国家的和犯罪集团都将其整合到自己的行动中。

Maurer表示,随着越来越多的州正在开发这些工具,就像永恒之蓝一样,犯罪分子会使用并复制这些工具。

然后犯罪分子会变得更先进,而一些刚刚加入这场游戏的州会开始使用更复杂的犯罪工具。这是一种恶性循环,只有具备足够资源的公司才能应对这种不断进化的威胁。

网络犯罪分子使用了怎样的APT技术

现在很多网络犯罪攻击默认使用PowerShell和Windows系统上的其他应用程序。在安全行业,这种策略也被赛门铁克称为 “就地取材” 式的攻击(living off the land)。由于和传统的恶意软件程序不同,这些工具本身并不是恶意软件,因此检测起来更加困难。PowerShell被广泛用于自动化系统管理任务中,尽管微软已经添加了限制其使用的选项,但是IT团队不能完全禁用它,因为这会使他们的工作更加困难。

PowerShell的滥用还与近年来流行的另一种策略有关:无文件攻击 (fileless attacks)。在这些攻击中,黑客使用各种技术,如远程线程注入、APC、Atom Bombing、进程挖空、本地shell代码注入或反射加载,将恶意代码注入在系统上运行的合法进程的内存中。目标是避免在磁盘上创建可能被杀毒软件检测到的二进制文件。

除了当做初始负载之外,PowerShell还经常用于实现持续感染,方法是将流氓脚本添加到系统注册表中,或者添加到计划的任务中,以便在重启之后重新感染系统。这是因为当系统关闭时,注入到其他进程内存中的代码会被清除。

FIN7是那些几乎只通过无文件技术进行攻击的网络犯罪团伙之一,它可能是Carbanak集团的一个分支。虽然Carbanak以攻击银行和其他金融机构而闻名,但其实FIN7的目标主要是餐饮业和酒店业的零售商和公司。FIN7的攻击目的是入侵销售点系统(point-of-sale system),窃取付款卡支付数据。美国司法部今年8月起诉了三名疑似FIN7高层人员的嫌犯,并表示该组织已经攻击了全美3600多个营业点中6500多个销售点终端,窃取了超过1500万的付款卡支付记录。

网络犯罪分子和国家资助的团队还滥用免费工具和开源工具,这些工具本来是为了渗透测试等合法目的而设计的。这些工具包括Metasploit框架、PowerSploit框架、Empire PowerShell、Cobalt Strike框架和很多其他用于凭证转储、清除文件和其他操作的免费实用程序。

Raiu表示安全公司和恶意软件研究人员面临的最大问题之一是越来越多的群体正在滥用PowerShell,他们使用的很多脚本都是从GitHub和其他公共资源中复制的,因此很难找出发起攻击的具体对象。

通过命令和控制服务器的注册数据、与以往攻击比较技术相似性、偶尔使用自定义工具(如键盘记录程序、截屏软件和漏洞利用程序等),可以将攻击与特定团体联系起来,但总的来说,攻击来源变得越来越难以确定

网络犯罪集团发起的ATP攻击会对企业产生什么样的影响?

在制定IT安全策略和决定如何使用有限的安全预算时,商业上会使用威胁模型。这意味着他们要确定什么样的威胁和攻击者对他们的行业和系统构成最大的风险,并优先安排资源来应对这些风险。因此,很多不是典型的网络间谍活动目标的公司,可能没有针对APT制定有力的防御措施,因此现在面对新一轮的混合网络犯罪攻击存在盲点。

要监测APT式攻击,企业需要的不仅仅是端点杀毒软件和防火墙。这些企业需要安全信息和事件管理(SIEM)以及高级端点检测和响应(EDR)解决方案。这些产品会监视系统,网络活动和记录来监控潜在的可疑行为并向安全团队发出警报。

这意味着他们需要更多受过专门培训的员工,这对中小型企业来说可能是一个严重的问题,因为预算限制和网络安全技能普遍不足。即使对能够负担得起这种解决方案的大型组织机构来说,他们也常常难以处理大量的警报。这可能导致积压和警报疲劳效应,安全人员很容易因为警报的数量和频率而忽略潜在的重要警报

Raiu表示,不幸的是,公司经常购买含有数百万个威胁指标的服务,每天生成数千个警报,而不是订阅那些能捕捉真实威胁的小型服务。此外这些工具使用的服务的质量,以及用于调查警报的资源也很重要。当然,将所有这些任务外包给安全服务供应商也是一种选择,很多安全公司都向中小型企业提供此类服务。

根据Raiu的说法,企业应该想到他们可能无法阻止复杂的持久性入侵,因此他们应该关注那些能够减少监测和响应此类入侵所需时间的解决方案。这需要完整的监控解决方案,可以检测网络和Internet流量或端点行为中的异常。Raiu表示:即使是没有大量预算的小型企业也可以这样做。

Tim Maurer认为,对于中小型企业来说,迁移到云也可能是保护自己免受此类复杂攻击的良好解决方案。因为他们能够从从云计算供应商的大型安全团队具备的专业知识和技术中获益。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。