信息化觀察網(wǎng)

試圖預(yù)測(cè)未來幾乎是一件不太可能的事情。不過，盡管我們沒有能夠預(yù)測(cè)未來的水晶球，但我們可以嘗試?yán)眠^去12個(gè)月中觀察到的趨勢(shì)做出一些合理的猜測(cè)，從而確定攻擊者在近期內(nèi)可能會(huì)尋求和利用的領(lǐng)域。

讓我們先回顧一下我們?cè)鴮?duì)2020年作出的預(yù)測(cè)。

· 虛旗攻擊的下一個(gè)階段

今年，我們還沒有看到類似Olympic Destroyer一樣，將一個(gè)惡意模塊打造得看起來像另一個(gè)威脅者的作品，這實(shí)在是太戲劇性了。但是，使用虛旗無疑已成為APT小組轉(zhuǎn)移別人關(guān)注的一種既定方法。今年值得注意的事件還包括MontysThree和DeathStalker。有趣的是，在DeathStalker的案例中，威脅者將臭名昭著的Sofacy證書元數(shù)據(jù)合并到其基礎(chǔ)結(jié)構(gòu)中進(jìn)行了秘密交易，以獲取他們的操作被錯(cuò)誤歸因的機(jī)會(huì)。

· 從勒索軟件到目標(biāo)勒索軟件

去年，我們重點(diǎn)介紹了向目標(biāo)勒索軟件的轉(zhuǎn)變，并預(yù)測(cè)攻擊者將使用更具攻擊性的方法從受害者那里勒索金錢。今年，幾乎每周都發(fā)生了有人試圖從大型組織勒索資金的消息，包括最近對(duì)美國多家醫(yī)院的襲擊。我們還看到了“經(jīng)紀(jì)人”的出現(xiàn)，他們提出與攻擊者進(jìn)行談判，以試圖降低贖金的費(fèi)用。一些攻擊者似乎對(duì)受害者施加了更大的壓力，即在加密數(shù)據(jù)之前竊取數(shù)據(jù)，并威脅要發(fā)布數(shù)據(jù)；并在最近的一次事件中，由于攻擊者發(fā)布了患者的敏感數(shù)據(jù)，這甚至影對(duì)許多病人的心理治療產(chǎn)生了嚴(yán)重的影響。

· 新的網(wǎng)上銀行和支付攻擊載體

今年我們還沒有看到對(duì)支付系統(tǒng)的比較引人注目的攻擊。盡管如此，金融機(jī)構(gòu)仍然是FIN7、CobaltGroup、Silent和Magecart等專業(yè)網(wǎng)絡(luò)犯罪組織以及Lazarus等APT威脅者的攻擊目標(biāo)。

· 更多的基礎(chǔ)架構(gòu)攻擊和針對(duì)非PC目標(biāo)的攻擊

從Lazarus的MATA框架擴(kuò)展、Turla的Penquin_x64后門開發(fā)以及5月針對(duì)歐洲超級(jí)計(jì)算中心的案例可見，APT威脅行動(dòng)者并未將其活動(dòng)限制在Windows上。我們還看到了在TunnelSnake的操作中使用了多平臺(tái)、多體系結(jié)構(gòu)的工具，例如Termite和Earthworm，這些工具能夠在目標(biāo)機(jī)器上創(chuàng)建隧道、傳輸數(shù)據(jù)并生成遠(yuǎn)程Shell，從而支持x86，x64，MIPS（ES），SH-4，PowerPC，SPARC和M68k。最重要的是，我們還發(fā)現(xiàn)了被稱為MosaicRegressor的框架，其中包括一個(gè)受感染的UEFI固件映像，該映像旨在將惡意軟件投放到受感染的計(jì)算機(jī)上。

· 沿亞歐之間貿(mào)易路線沿線地區(qū)的攻擊日益增加

2020年，我們觀察到一些APT威脅參與者針對(duì)的目標(biāo)是以前不太受到關(guān)注的國家。我們看到攻擊者使用各種惡意軟件攻擊科威特、埃塞俄比亞、阿爾及利亞、緬甸和中東的政府機(jī)構(gòu)。此外，我們還觀察到StrongPity正在部署其最新版本的主植入物，這一版本被稱為StrongPity4。2020年，我們發(fā)現(xiàn)了位于土耳其以外中東地區(qū)的感染了StrongPity4的受害者。

· 攻擊方法越來越復(fù)雜

除了上面提到的UEFI惡意軟件外，我們還看到合法的云服務(wù)（YouTube，Google Docs，Dropbox，F(xiàn)irebase）已作為攻擊基礎(chǔ)架構(gòu)的一部分被使用（地理圍欄攻擊或托管惡意軟件，用于C2通信）。

· 進(jìn)一步關(guān)注移動(dòng)攻擊

從我們今年發(fā)布的報(bào)告中可以明顯看出這一點(diǎn)。近年來，我們已經(jīng)看到越來越多的APT參與者開發(fā)出了針對(duì)移動(dòng)設(shè)備的工具。今年的威脅工具包括TwoSail Junk背后的威脅行為者OceanLotus，以及Transparent Tribe，OrigamiElephant等。

· 個(gè)人信息的濫用：從偽造到DNA泄漏

在近距離攻擊和人身攻擊中使用到了更多被泄漏或是被盜的個(gè)人信息。威脅者比以往任何時(shí)候都更敢于與受害者進(jìn)行積極的通信，這是他們魚叉式網(wǎng)絡(luò)釣魚行動(dòng)的一部分，他們致力于破壞目標(biāo)系統(tǒng)。例如，Lazarus的ThreatNeedle活動(dòng)以及DeathStalker的行為都反映了這一點(diǎn)，他們都在努力迫使受害者啟用宏。犯罪分子使用AI軟件一名高管的聲音，誘使經(jīng)理將超過24萬元的英鎊轉(zhuǎn)入詐騙者控制的銀行帳戶。

如果說要對(duì)未來做出一些預(yù)見，我們認(rèn)為以上就是基于目前所觀察到的情況，在未來一年集我們需要重點(diǎn)關(guān)注的問題。

APT威脅者將從網(wǎng)絡(luò)罪犯那里購買初始網(wǎng)絡(luò)訪問權(quán)限

去年，我們觀察到許多使用通用惡意軟件（例如Trickbot）的具有針對(duì)性的勒索軟件攻擊，在目標(biāo)網(wǎng)絡(luò)中站穩(wěn)了腳跟。我們還觀察到，這些有針對(duì)性的勒索軟件攻擊與類似Genesis這樣的成熟的地下網(wǎng)絡(luò)之間建立了聯(lián)系，這些網(wǎng)絡(luò)經(jīng)常相互交換盜取的憑證。我們認(rèn)為，APT參與者將開始使用相同的方法來破壞其目標(biāo)。各類組織應(yīng)更加關(guān)注通用惡意軟件，并在每臺(tái)受感染的計(jì)算機(jī)上運(yùn)行基本事件響應(yīng)活動(dòng)，以確保通用惡意軟件未被用于部署復(fù)雜的威脅。

越來越多的國家將法律訴訟納入其網(wǎng)絡(luò)戰(zhàn)略的一部分

幾年前，我們預(yù)測(cè)政府將采取“點(diǎn)名批評(píng)”的方式，以引起人們對(duì)敵對(duì)APT組織活動(dòng)的關(guān)注。在過去的12個(gè)月中，我們已經(jīng)看到了幾起案例。我們認(rèn)為，美國網(wǎng)絡(luò)司令部的“持久參與”戰(zhàn)略將在來年開始見效，并引起其他國家的效仿。持續(xù)參與戰(zhàn)略包括公開發(fā)布關(guān)于威脅者的工具和活動(dòng)的報(bào)告。美國網(wǎng)絡(luò)司令部認(rèn)為，網(wǎng)絡(luò)空間的戰(zhàn)爭(zhēng)在本質(zhì)上是不同的，需要與對(duì)手進(jìn)行全職接觸，以干擾他們的行動(dòng)。他們這樣做的原因之一是，威脅情報(bào)機(jī)構(gòu)可以利用這些來促進(jìn)新調(diào)查，在某種意義上，這是一種通過情報(bào)解密來定向私人研究的方法。

以這種方式被公開的工具，對(duì)攻擊者而言使用起來將會(huì)非常困難，并且可能會(huì)暴露過去不為人知的活動(dòng)。面對(duì)這種新的威脅，威脅者必須在其風(fēng)險(xiǎn)/收益計(jì)算中考慮額外的成本（如丟失工具，或暴露這些工具的可能性大大增加）。

APT組的工具庫被暴露并不是什么新鮮事：Shadow Brokers的連續(xù)泄漏就是一個(gè)鮮活的例子。但是，這是第一次由國家機(jī)構(gòu)以官方身份進(jìn)行的操作。雖然無法量化威懾的影響，尤其是在沒有外交渠道討論這些問題的情況下，但我們相信，更多國家將在2021年將會(huì)遵循這一戰(zhàn)略。首先，向來與美國結(jié)盟的一些國家可能會(huì)開始模仿這個(gè)操作，隨后會(huì)開始模仿所披露的目標(biāo)。

更多硅谷公司將對(duì)0day的經(jīng)紀(jì)人采取行動(dòng)

近年來，0day經(jīng)紀(jì)人都在利用一些漏洞交易知名的商業(yè)產(chǎn)品。微軟，谷歌，F(xiàn)acebook等大公司似乎很少關(guān)注此類交易。但是在過去一年左右的時(shí)間里，發(fā)生了一些引人注目的案件，據(jù)稱這些案件是使用WhatsApp漏洞，包括Jeff Bezos和Jamal Khashoggi等入侵帳戶的。在2019年10月，WhatsApp提起訴訟，指控位于以色列的NSO Group利用了其軟件中的漏洞，NSO出售的技術(shù)被用來針對(duì)20個(gè)不同國家和地區(qū)的1,400多名客戶，其中包括人權(quán)活動(dòng)人士、記者和其他人。一名美國法官隨后裁定，該訴訟可以繼續(xù)進(jìn)行。該案的結(jié)果可能會(huì)產(chǎn)生深遠(yuǎn)的影響，其中最重要的一點(diǎn)是，這可能導(dǎo)致其他公司對(duì)利用0day漏洞進(jìn)行交易的公司提起法律訴訟。我們認(rèn)為，不斷增加的公眾壓力以及聲譽(yù)受損的風(fēng)險(xiǎn)，可能會(huì)使其他公司效仿WhatsApp的做法，對(duì)0day經(jīng)紀(jì)人采取行動(dòng)，以向其客戶證明他們正在想辦法保護(hù)客戶的安全。

對(duì)網(wǎng)絡(luò)應(yīng)用平臺(tái)的關(guān)注增加

隨著組織安全性的全面提高，我們認(rèn)為威脅者將更加傾向于利用VPN網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備中的漏洞。實(shí)際上，這種情況已經(jīng)發(fā)生了，詳情請(qǐng)點(diǎn)擊Forget Your Perimeter:

· RCE in Pulse Connect Secure (CVE-2020-8218)(https://www.gosecure.net/blog/2020/08/26/forget-your-perimeter-rce-in-pulse-connect-secure/)

· SonicWall VPN Portal Critical Flaw (CVE-2020-5135)(https://www.zdnet.com/article/hacker-groups-chain-vpn-and-windows-bugs-to-attack-us-government-networks/)

· Hacker groups chain VPN and Windows bugs to attack US government networks(https://www.tripwire.com/state-of-security/vert/sonicwall-vpn-portal-critical-flaw-cve-2020-5135/)。

這與疫情期間居家遠(yuǎn)程工作的趨勢(shì)密切相關(guān)，因?yàn)檫@使得更多的公司在其業(yè)務(wù)中依賴VPN設(shè)置。對(duì)遠(yuǎn)程工作的日益關(guān)注以及對(duì)VPN的依賴，開辟了另一種潛在的攻擊媒介：通過現(xiàn)實(shí)世界中的社會(huì)工程方法（例如“VIGHY”）收集用戶憑據(jù)以獲得對(duì)企業(yè)VPN的訪問。在某些情況下，這可能使攻擊者甚至無需在受害者的環(huán)境中部署惡意軟就可以完成間諜活動(dòng)目標(biāo)。

5G漏洞的出現(xiàn)

5G今年吸引了很多關(guān)注，美國對(duì)其友好國家施加了很大的壓力，以阻止它們購買華為產(chǎn)品。在許多國家和地區(qū)也有類似的關(guān)于可能存在健康風(fēng)險(xiǎn)的恐嚇性報(bào)導(dǎo)。這種對(duì)5G安全的關(guān)注意味著無論是公共還是私人機(jī)構(gòu)的研究人員肯定都在關(guān)注華為和其他同類公司的產(chǎn)品，以發(fā)現(xiàn)實(shí)施問題、加密漏洞甚至后門的跡象。任何此類漏洞肯定會(huì)引起媒體的廣泛關(guān)注。隨著5G使用量的增加，以及越來越多的設(shè)備依賴于5G，攻擊者將更加積極地尋找可以利用的漏洞。

威脅：索要贖金

多年來，勒索軟件團(tuán)伙使用的策略發(fā)生了一些變化和完善。最值得注意的是，攻擊已從隨機(jī)的、投機(jī)性的攻擊演變?yōu)榫哂嗅槍?duì)性的攻擊，并且每一次攻擊都使得受害者付出了相當(dāng)大的代價(jià)。攻擊者根據(jù)受害者的支付能力、對(duì)加密數(shù)據(jù)的依賴以及攻擊的影響，精心選擇受害者。盡管勒索團(tuán)伙承諾不以醫(yī)院為攻擊目標(biāo)，但也沒有任何部門被認(rèn)為是不可供給的禁區(qū)，正如這一年我們都在見證勒索團(tuán)伙對(duì)醫(yī)療中心和醫(yī)院的攻擊。

我們還看到，如果一家公司沒能支付攻擊者所要求贖金，勒索軟件團(tuán)伙就會(huì)威脅說要發(fā)布所竊取的數(shù)據(jù)。隨著勒索軟件團(tuán)伙在尋求投資回報(bào)的最大化，這一趨勢(shì)可能會(huì)進(jìn)一步發(fā)展。

勒索軟件問題已變得十分普遍，以至外國資產(chǎn)管理辦公室（OFAC）向受害者發(fā)布了聲明，告知受害者支付勒索款項(xiàng)可能構(gòu)成違反國際制裁的行為。我們將此聲明解讀為美國當(dāng)局對(duì)網(wǎng)絡(luò)犯罪世界進(jìn)行更廣泛打擊的開始。

今年，Maze和Sodinokibi兩大團(tuán)伙都率先提出了一種“附屬”模式，涉及團(tuán)伙之間的合作。盡管如此，勒索軟件生態(tài)系統(tǒng)仍然非常多樣化。在不久的將來，我們可能會(huì)看到一些主要的威脅者將變得更加活躍并獲得類似APT的功能。但是，規(guī)模較小的團(tuán)伙將繼續(xù)采用依靠僵尸網(wǎng)絡(luò)和第三方勒索軟件等固有的方法。

更具破壞性的攻擊

我們生活中越來越多的地方都在變得越來越依賴技術(shù)和互聯(lián)網(wǎng)，我們將遭受更廣泛的攻擊。因此，將來我們可能會(huì)看到更多破壞性的攻擊。一方面，這種破壞可能是一些定向的、有組織的攻擊造成的。另一方面，這些損害可能是附帶的結(jié)果，是大規(guī)模勒索軟件針對(duì)我們?nèi)粘Ｉ钪谐Ｒ娊M織（例如教育機(jī)構(gòu)，超級(jí)市場(chǎng)，郵政和公共交通等）進(jìn)行攻擊所產(chǎn)生的副作用。

攻擊者將繼續(xù)利用COVID-19疫情

今年，COVID-19使得我們周圍的世界發(fā)生了翻天覆地的變化，幾乎影響了我們生活的每個(gè)方面。各種各樣的攻擊者，包括APT威脅行為者，迅速抓住機(jī)會(huì)，充分利用了人們對(duì)這一話題的興趣。但正如我們之前所指出的，這并不意味著TTPs發(fā)生了變化，而只是一個(gè)可以被他們用作社會(huì)工程誘餌的話題。在未來一段時(shí)間內(nèi)，大流行病將持續(xù)影響我們的生活，威脅者也將繼續(xù)利用這一點(diǎn)在目標(biāo)系統(tǒng)中立足。在過去的六個(gè)月中，有報(bào)告稱APT群體將目標(biāo)對(duì)準(zhǔn)了COVID-19研究中心。英國國家網(wǎng)絡(luò)安全中心(NCSC)表示，APT29(又名Dukes and Cozy Bear)瞄準(zhǔn)了COVID-19疫苗的開發(fā)。只要疫情還在持續(xù)，這就仍然會(huì)是是他們攻擊的目標(biāo)。