信息來源:FreeBuf
沒有什么比做預(yù)測更難的了��,研究人員根據(jù)過去12個月所發(fā)生的事情��,安全領(lǐng)域?qū)<业闹R和對APT攻擊的觀察研究,對未來做出如下預(yù)測�。
假標志攻擊
使用假標志已經(jīng)成為幾個APT中的一個重要元素,通常試圖轉(zhuǎn)移安全人員對攻擊者的注意力——例如����,在Lazarus惡意軟件中使用俄語詞匯�����,或WildNeutron使用羅馬尼亞語詞匯等����。我們認為���,假標志攻擊將進一步發(fā)展���,攻擊者不僅希望規(guī)避追蹤溯源,而且積極地將責任推給其他人���。
其中也可能包括其他不相關(guān)的APT使用已建立的后門���、盜竊和重復(fù)使用代碼,或者故意泄露源代碼讓其他組織使用�����,進一步攪渾局面�����。除此之外�,還應(yīng)考慮攻擊者在攻擊和橫向移動過程中使用從其他渠道購買的惡意軟件���、腳本����、公開可用的安全工具或管理員軟件�����,使溯源工作變得越來越困難����。
從勒索軟件到目標勒索軟件
在過去的兩年里,通用勒索軟件攻擊的數(shù)量有所下降��,網(wǎng)絡(luò)犯罪分子使用勒索惡意軟件變得更具針對性��,這些勒索軟件攻擊的重點是那些可能支付大筆款項以恢復(fù)數(shù)據(jù)的組織����。我們稱這種技術(shù)為“目標勒索軟件”。
在這一年中��,我們記錄了幾起攻擊者使用目標勒索軟件的案件�����,我們認為未來可能會有更激進的勒索企圖��。未來可能出現(xiàn)的趨勢是��,攻擊者放棄使文件無法恢復(fù)的勒索形式���,會以威脅發(fā)布數(shù)據(jù)的方式代替。
除了有針對性的勒索軟件之外��,網(wǎng)絡(luò)罪犯也試圖將攻擊多樣化��,包括除了PC或服務(wù)器之外的其他類型的設(shè)備�。例如,消費品中的勒索軟件��,如智能電視�����、智能手表�、智能汽車/房屋/城市�����,勒索軟件是從受害者身上獲取經(jīng)濟利益的最有效工具����。
新的網(wǎng)上銀行和支付攻擊
新的網(wǎng)絡(luò)攻擊可能會隨著新的銀行業(yè)法規(guī)出現(xiàn),這些法規(guī)最近在整個歐盟全面生效����。
PSD2(支付服務(wù)指令)規(guī)定了對提供支付服務(wù)公司的監(jiān)管要求,由于銀行將被要求向第三方開放其基礎(chǔ)設(shè)施和數(shù)據(jù)���,攻擊者很可能會試圖利用新的手段濫用這些新機制��。
基礎(chǔ)設(shè)施攻擊和針對非PC目標攻擊
一段時間以來,已確定攻擊者一直在將其工具集擴展到Windows以外�����,甚至PC系統(tǒng)之外:例如��,VPNFilter和Slingshot,目標網(wǎng)絡(luò)硬件���。攻擊者一旦控制設(shè)備��,可以極大提升攻擊者的靈活性��。他們可以選擇大規(guī)模僵尸網(wǎng)絡(luò)攻擊方案,并將該網(wǎng)絡(luò)用于不同的目標����,或者可以利用僵尸網(wǎng)絡(luò)接近選定的目標進行更多的秘密攻擊。
有消息稱��,黑客已經(jīng)滲透到全球至少10家手機電信公司的網(wǎng)絡(luò)中����,并已隱藏多年。他們能夠在電信基礎(chǔ)設(shè)施上部署自己的VPN服務(wù)����。物聯(lián)網(wǎng)設(shè)備的大量使用使得現(xiàn)實世界和網(wǎng)絡(luò)世界融合,為攻擊者提供了越來越多的機會���。今年有報道稱��,不明身份的攻擊者使用樹莓派從美國宇航局噴氣推進實驗室竊取了500兆數(shù)據(jù)��。去年12月,英國蓋特威克機場(Gatwick airport)在其中一條跑道上方發(fā)現(xiàn)無人機后����,因擔心發(fā)生碰撞而停飛。由于使用了無人機���,該國的部分關(guān)鍵基礎(chǔ)設(shè)施陷于停頓����。毫無疑問��,此類攻擊的數(shù)量將會增加����。
亞歐貿(mào)易路線沿線地區(qū)的攻擊增加
Clausewitz的格言“戰(zhàn)爭僅僅是政治通過其他方式的延續(xù)”�,可以擴展到包括網(wǎng)絡(luò)沖突,網(wǎng)絡(luò)攻擊反映了現(xiàn)實世界的緊張和沖突���。比如��,俄羅斯干涉美國選舉的指控���,以及擔心在2020年大選前可能再次出現(xiàn)這一局面的擔憂��,我們在美國的起訴書中看到了所謂的中國黑客�����。
有幾種方法可以解決這個問題。其中包括政治間諜活動的增長�����,因為各國政府都在尋求國內(nèi)外的利益��。在潛在或?qū)嶋H的經(jīng)濟危機和由此產(chǎn)生的不穩(wěn)定局勢中���,也可能擴大到技術(shù)間諜活動��。這可能導(dǎo)致亞歐貿(mào)易路線沿線的地區(qū)遭受新的襲擊�����,其中包括土耳其�、東歐和南歐以及東非。
很有可能看到立法和政策的變化�����,因為政府希望更清楚地界定什么是允許的�,什么是不允許的��。一方面��,可以建立合理的規(guī)定政策�����,從而避免制裁��。另一方面���,可以更積極地使用技術(shù),因為司法部門熱衷于為不同類型的“合法攔截”提供方便�,以便在計算機上收集證據(jù)。犯罪集團可能更多地使用加密技術(shù)�����,以及隱藏其行動����。
近年來,我們看到了一些針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊�����,這些攻擊通常與地緣政治相關(guān)����。雖然工業(yè)設(shè)施中大多數(shù)感染設(shè)備來自“主流”惡意軟件,但這一事實本身突顯了這些設(shè)施的脆弱性��。盡管針對關(guān)鍵基礎(chǔ)設(shè)施有針對性的攻擊不太可能成為一種主流犯罪活動��,但這一數(shù)字在未來還會增長�。在一個物理和網(wǎng)絡(luò)日益融合的世界里�����,地緣政治沖突正在上演��,網(wǎng)絡(luò)攻擊為政府提供了一種介于外交和戰(zhàn)爭之間的手段。
攻擊方法越來越復(fù)雜
很難知道頂級攻擊者到底有多先進���,他們手里有什么資源�。例如�����,幾年前我們觀察到一個無休止的零日漏洞供給����,攻擊者隨時準備為他們買單。今年,我們觀察到谷歌在8月份公布過去兩年中至少發(fā)現(xiàn)的14個iOS漏洞�。
攻擊者還可能使用非常規(guī)方法(如使用信令數(shù)據(jù)或Wi-Fi/4G)來過濾數(shù)據(jù),特別是在使用物理植入物時����。同樣,相信未來會有更多的攻擊者使用DoH(DNS over HTTPS)來隱藏活動��。最后�����,有可能在未來幾個月內(nèi),將開始發(fā)現(xiàn)更多的UEFI惡意軟件����。
移動攻擊焦點轉(zhuǎn)移
在過去的十年里,數(shù)字生活主要存儲設(shè)備已經(jīng)從個人電腦轉(zhuǎn)移到了手機�����。攻擊者很快就注意到了這一點��,并開始專注于開發(fā)手機攻擊工具�����。雖然我們一直在預(yù)測針對手機的攻擊數(shù)量會大幅增加���,但從觀察到的情況并不能反映出這一推斷�����。
上文連接中說到攻擊者如何利用iOS中至少14個零日漏洞來攻擊亞洲的某些少數(shù)群體��,最近也看到了Facebook如何起訴以色列NSO公司�����,指控其濫用服務(wù)器(部署惡意軟件攔截用戶數(shù)據(jù))���。我們還看到了Android零day現(xiàn)在比iPhone更昂貴(根據(jù)Zerodium的價格表)���,所有這些都告訴我們攻擊者在開發(fā)這些技術(shù)方面投入了大量資金。
個人信息濫用:從深度造假到DNA泄露
之前討論過數(shù)據(jù)泄漏如何幫助攻擊者制造更具說服力的社會工程攻擊�。并非每一個攻擊者都有完整的潛在受害者的資料���,這使得越來越多的泄露數(shù)據(jù)非常有價值�,勒索軟件攻擊也是如此��。
在一個記錄數(shù)據(jù)不斷增長的世界里�����,我們可以看到特別敏感的泄漏危險��,例如在生物特征數(shù)據(jù)方面�����。所有這些聽起來都十分超前���,但它與通過社交媒體驅(qū)動選舉廣告的技巧非常相似��。這項技術(shù)已經(jīng)在使用中�����,一些攻擊者利用它只是時間問題。
總結(jié)
未來有太多的可能性�,我們的預(yù)測中可能會有許多預(yù)測不到的東西,攻擊環(huán)境的復(fù)雜性提供了更多可能性�。此外,沒有一個研究管對能夠完全了解APT攻擊者的行動����。我們將繼續(xù)觀察分析和預(yù)測APT的活動,了解他們使用的方法�,同時提供對最新的分析報告。
