自动化主动攻击:网络犯罪新热潮
星期三, 七月 10, 2019
保持领先或许看起来遥不可及,但不强求完美正是开始管理风险的契机。
每隔几年,网络罪犯从互联网用户身上渔利的手法就会变上一变。新世纪之初,利用简单的缓冲区溢出、电子邮件客户端脚本漏洞和 SQL 注入攻击,网络罪犯便可无情碾压用户的计算机。随后,攻击手法演进到了通过浏览器及其笨重插件中的漏洞进行偷渡式下载。2010 年左右,网络罪犯开始运用社会工程,最开始是提供虚假杀毒软件产品,然后冒充司法机构诱骗用户支付莫须有的罚单。2013 年,机灵的罪犯走了复古路线,将 “勒索” 这一古已有之的犯罪行当发扬光大——勒索软件攻击开始冒头。
以史为鉴可以知兴替。网络犯罪同样存在一定的周期,未来某个时间点上,勒索软件也会式微,然后演进成另一种新的攻击。很多因素都能终结某种兴盛一时的诈骗手法。具体到勒索软件上,那就是我们最终将 Java 和 Adobe Flash Player 从大多数家用 PC 上请走了,我们的浏览器开始自动更新,Windos、Mac,甚至 Linux 都开始定期更新自身了。
这些办法显然没有杜绝广撒网式恶意软件,只是让恶意软件的成功率下降了而已。当今大多数勒索软件感染似乎源自电子邮件,受害者人数也比大规模 Web 漏洞利用时期少了。
虽说网络罪犯技术水平有高低之分,随着可利用进程的减少和传统入侵方法风险的上升,至少低技术水平的网络罪犯开始意识到自己该升级了。
低级网络罪犯还将继续为垃圾邮件投放买单,或者租用已经被感染的 PC 随机分发商业恶意软件。至于高端黑客,他们已经有了新手段,是脚本小子不太可能企及的高级技术,已经可以称之为流氓渗透测试员了。
这类黑客中首先引起人们注意的是 SamSam 黑客团伙。他们成功隐蔽了两年时间才被安全社区发现。为什么呢?因为他们都是零星作案,从不像别人似的广撒网。VirusTotal 之类病毒检测服务收不到几个样本,几乎没有受害者重要到能引起关注,绝大多数安全供应商都在对大量恶意软件的统计分析中漏掉了这几个不起眼的杂音。
渗透测试不仅要技术,还要耐心。很多具备黑客技术的人都觉得,黑别人系统还有钱拿真是再美妙不过了。但理想有多美好,现实就有多打脸。渗透测试的目标不仅仅是突破防线侵入系统,真正的目标是要记录下突破的方法步骤并形成报告。网络罪犯显然懒得做这部分繁琐的文档工作,直接给系统植入恶意软件了事。
这种 “犯罪渗透测试” 似乎非常成功。SamSam 做出榜样之后,LockerGoga、MegaCortex、Ryuk 等纷纷效仿。
该攻击模式是这样的:
1. 找到几个易得手的目标。
用 Shodan 联网设备搜索引擎查找开放远程桌面协议 (RDP) 的机器。
找出隔离区 (DMZ) 中暴露的脆弱服务。
借助僵尸网络运营者手中已经被感染的机器。
2. 梳理搜索结果并选取感兴趣的目标。
3. 识别含有敏感数据或有趣信息的计算机。
4. 加密、勒索或盗取数据以牟利。
这种行为上的重大变化带来了战术上的巨大改变:自动化主动攻击。
该方法在目标选择上综合利用了自动化发现技术和人类智慧,部署上采用了自定义恶意软件小量投放的方式。这种多管齐下的战术足以搞定大多数公司企业。毕竟,大部分公司企业的防御只是为自动化恶意软件投放准备的,并没有想着抵御半针对性攻击。
对网络罪犯而言,这种方法能从一个受害者身上捞到 5 万至 100 万美元,而且几乎每个公司企业都可以当作目标,相当有利可图。即便是超小型公司,该发工资的时候手头也还是有个几万美元可用的,如果正好他们没有备份,支付赎金就成了解燃眉之急的最佳选择了。
以隐藏保安全虽然就加密而言不是个好主意,但却于信息安全无损。隐藏式安全不应是唯一的策略,但稍微提升一点安全程度就能避免被简单的扫描发现,也能规避罪犯用以发起攻击的垃圾邮件。
正如前文所述,这些攻击都遵循一定的模式。SamSam 团伙和其他网络犯罪组织常会找寻那些因为某些原因导致的暴露在互联网上的 RDP 连接。要求 VPN、多因子身份验证或强密码就可以挡住大部分攻击。禁用 Web 服务器旗标广告精确投放版助手软件,如 PHP、Perl、Ruby,甚或你的内容管理系统 (CMS) 类型,都能帮你免遭低端自动化扫描识别。
当然,如果能打造良好的企业安全文化,专注提升安全准备度和成熟度,那就更好了。跟进安全态势已经很难,保持领先威胁一步听起来几乎不可能,但认清现实,承认自己无法做到完美安全,反而能解脱出来,开始着手管理风险,而不是徒劳地追赶不可能完成的目标。
相关阅读