《Akamai:2023互聯網現狀報告-攻擊快車道-深入了解惡意DNS流量(38頁).pdf》由會員分享,可在線閱讀,更多相關《Akamai:2023互聯網現狀報告-攻擊快車道-深入了解惡意DNS流量(38頁).pdf(38頁珍藏版)》請在三個皮匠報告上搜索。
1、互聯 網現狀第 9 卷,第 1 期攻擊快車道深入了解惡意 DNS 流量攻擊快車道:第 9 卷,第 1 期 SOTI1目錄域名服務器攻擊流量快車道Akamai DNS 流量分析術語 威脅當頭:企業內無處不在的惡意流量家庭用戶面臨攻擊威脅網絡釣魚現狀概述結論和建議:主動出擊,應對現代攻擊方法致謝名單2462533353637攻擊快車道:第 9 卷,第 1 期 SOTI1攻擊快車道:第 9 卷,第 1 期 SOTI2域名服務器攻擊流量快車道 域名服務器(DNS)自問世之初就一直是互聯網基礎架構的重要組成部分。無論在家中還是公司,我們的大多數網上活動都要借助 DNS 的力量,這樣我們才能夠正確導航到萬
2、維網上的目的地。當然,攻擊者往往也會選擇利用這一基礎架構來實施攻擊,比如讓攻擊威脅訪問命令和控制(C2)服務器來等候指令,或者讓遠程代碼執行連接某個域名,以將惡意文件下載到設備中。由于 DNS 無處不在,它已成為攻擊基礎架構的重要組成部分。作為一家安全公司,Akamai 具有獨特的優勢,我們可以觀察并且保護企業和家庭用戶,幫助他們抵御惡意 DNS 流量,避免由此造成系統入侵和信息被盜。在本報告中,我們將分析以全球家庭用戶和企業為攻擊目標的惡意流量。通過全面分析惡意 DNS 流量(包括其與攻擊者團體或工具的關聯),企業就能獲得重要信息,了解自身面對的最為普遍的威脅。因此,這些信息可以幫助安全從業
3、者評估其防御態勢,還可以執行缺口分析,從而滿足用于抵御這些威脅的技術和方法的需要。如果不這樣做,攻擊就有可能得逞,進而造成機密數據丟失、財務損失,或是因為不合規而遭受處罰。到 2025 年,網絡犯罪造成的損失預計會激增到每年 10.5 萬億美元,企業必須做好防范攻擊的準備。在分析針對企業和家庭用戶的惡意 DNS 流量時,我們觀察到了數次攻擊爆發和攻擊活動,例如基于 Android 的惡意軟件 FluBot 在世界各個國家或地區之間傳播,以及各類以企業為目標的網絡犯罪團伙的猖獗活動?;蛟S最好的例子莫過于與初始訪問代理(IAB)相關的 C2 流量泛濫,這些流量旨在入侵企業網絡,讓攻擊者將獲得的訪問
4、權限賣給其他方(例如勒索軟件即服務(RaaS)團伙)來謀利。我們在 DNS 這條信息快車道上觀察到了這些活動,并特此分享給大家,希望能給讀者帶來些許收獲。攻擊快車道:第 9 卷,第 1 期 SOTI3根據我們的數據,在任意給定季度,都有 10%到 16%的企業的網絡中出現過 C2 流量。C2 流量的出現表明網絡有可能正在遭遇攻擊,或者發生了 入侵,而威脅可能包括信息竊取僵尸網絡、IAB 等眾多形式。26%的受影響設備曾連接過已知的 IAB C2 域,包括與 Emotet 和 Qakbot 相關的 IAB C2 域。IAB 的主要任務就是執行初始入侵,并將訪問憑據銷售給勒索軟件團伙和其他網絡犯罪
5、團伙,因此會給企業造成重大風險。網絡連接存儲(NAS)設備正中攻擊者的下懷,因為這些設備不太可能安裝修補程序,而且存有大量高價值的數據。我們的數據表明,攻擊者在通過 QSnatch 濫用這些設備,企業網絡中有 36%的受影響設備在訪問與此類威脅有關的 C2 域。30%的受影響企業屬于制造業;這一數字是排名第二位的垂直領域的兩倍,突顯出網絡攻擊對現實世界產生的影響,例如供應鏈問題和對日常生活造成的破壞等等。網絡與信息安全指令 2(NIS2)等法規有助于遏制針對基礎行業或制造業等重要行業的攻擊。針對家庭網絡發起的攻擊不僅會嘗試濫用計算機等傳統設備,還企圖濫用手機和物聯網(IoT)。大量的攻擊流量可
6、能與移動端惡意軟件和 IoT 僵尸網絡相關。通過 DNS 數據分析,我們發現 FluBot 惡意軟件在歐洲、中東和非洲(EMEA)、拉丁美洲(LATAM)以及亞太地區和日本(APJ)迅速爆發。促使感染量增加的部分因素可能是這種惡意軟件采用了社會工程策略,并使用了多種歐盟(EU)語言。概要攻擊快車道:第 9 卷,第 1 期 SOTI3攻擊快車道:第 9 卷,第 1 期 SOTI4Akamai DNS 流量分析術語Akamai Edge DNS 和 DNS 基礎架構每天會觀察多達 7 萬億個 DNS 請求。為保護 Akamai 用戶和企業,Akamai 會觀察請求是否指向會傳輸惡意軟件的域或可能竊
7、取信息的網站,并阻止相應請求。通過檢查這些惡意 DNS 事務,我們可以將這些域分為三類惡意軟件、釣魚網站和 C2,并開展深入研究,確定當今企業和家庭用戶面臨的重大威脅。根據對惡意 DNS 流量的謹慎數據抽樣,我們可以就最為普遍的威脅得出重要結論。我們的措施為兩類群體提供保護:其中一個群體是企業,Akamai 為企業網絡提供保護;另一個群體是在個人網絡上訪問互聯網的家庭用戶,他們面臨著多種威脅,比如旨在接管其設備以達到惡意目的(如通過加密貨幣挖礦來謀利)的僵尸網絡。4攻擊快車道:第 9 卷,第 1 期 SOTI攻擊快車道:第 9 卷,第 1 期 SOTI5首先,我們給出釣魚網站、惡意軟件和 C2
8、 這些術語的定義,并說明本報告中如何使用這些術語。釣魚網站是指與網絡釣魚工具包關聯的域名,它們會效仿和“克隆”零售企業、銀行、高科技公司和其他公司網站的外觀與體驗,誘騙用戶泄露憑據和個人身份信息(PII)等重要數據。Akamai 通過 DNS 觀察這些流量,保護企業和家庭用戶免遭身份被盜、信息丟失的煩惱。惡意軟件是指傳輸或植入惡意文件的惡意域(可能是多個域)。此類別還包括:托管惡意 JavaScript 的網站,已被入侵并且投放垃圾廣告的網站,或者將用戶重定向到含有此類廣告的網頁的網站。許多現代攻擊都需要從外部來源將惡意文件下載到設備上,以此作為初始攻擊載荷;或者下載惡意內容,以支持持續攻擊的
9、下一階段。觀測和阻止此類流量有助于保護企業,避免初始感染或持續攻擊。在我們的 DNS 流量分析中,C2 是指用來與受感染的設備通信的域,它會發送命令,隨后控制設備。在初始入侵后,攻擊者在受感染的系統與攻擊者控制的服務器之間建立 C2 通信,以發送額外的命令,比如下載和傳播其他惡意軟件、數據泄露、關閉和重啟系統等,從而給系統或網絡安全造成進一步破壞。C2 流量預示著有持續攻擊,但這些攻擊仍有可能被抵御,因此檢測 C2 流量至關重要。此外,阻止與 C2 服務器相關的域可以防止建立 C2 通信,進而阻止惡意軟件下載更多指令或命令,減少攻擊者在您的網絡中實施惡意活動的機會。5 5SOTI攻擊快車道:第
10、 9 卷,第 1 期 SOTI6威脅當頭:企業內無處不在的惡意流量根據 Akamai 的 DNS 流量分析,我們可以看到,2022 年第四季度,13%的設備至少有一次嘗試連接與惡意軟件有關的域(圖 1)。此外,6%的設備與涉及到網絡釣魚的域進行了通信。對于本報告中重點關注的 C2 領域,我們觀察到其全年呈增長趨勢,第四季度有極小幅度的下降。請注意,圖 1 僅涉及到嘗試與惡意域通信的單個設備。有必要指出,嘗試連接惡意軟件目的地(攻擊者可能借此下載惡意軟件)的設備,與嘗試連接 C2 域的設備(通常在持續攻擊中用于促進攻擊者與惡意軟件之間的通信,還可用于下載額外的惡意軟件以推進攻擊周期)之間存在差異
11、。這種差異可代表以下三者間的不同之處:網絡滲透嘗試(可能在初次嘗試將惡意軟件下載到設備時即被阻止)、成功滲透(根據我們的數據,這表示可能未經過 DNS)或正在進行的攻擊(可能聯機 C2 域以執行攻擊)。受影響設備的百分比2022 年 1 月 1 日 2022 年 12 月 31 日圖 1:我們觀察到,受保護的設備嘗試連接惡意目的地的行為呈上升趨勢9.30%4.60%0.70%12.30%6.20%0.80%10.60%6.30%0.98%13.14%6.02%0.94%10%15%5%0%第 2 季度第 1 季度第 3 季度第 4 季度惡意軟件C2網絡釣魚圖 1:我們觀察到,受保護的設備嘗試連
12、接惡意目的地的行為呈上升趨勢受影響設備的百分比 2022 年 1 月 1 日至 2022 年 12 月 31 日攻擊快車道:第 9 卷,第 1 期 SOTI7本報告主要關注 C2 流量,將此視為攻擊者已成功侵入設備的一個潛在指標。為便于了解這種攻擊的普遍性,我們需要通過另一種不同的視角來觀察數據。我們不考慮個別設備,而是將數據按企業匯總起來,檢查持續攻擊(通過 C2 流量的存在確定)在數據集中出現的頻率。根據我們的 DNS 數據,在任意給定季度,都有 10%16%的企業至少觀察到一次 C2 流量 從其網絡中發出的情況(圖 2)。這可能表明惡意軟件嘗試與運營者溝通,是潛在的入侵跡象。我們的解決方
13、案阻止了這些 C2 流量到達目的地,但攻擊一旦得逞,就可能會導致數據泄露、勒索軟件攻擊及其他威脅。截至 2022 年上半年,共檢測到 23 億個惡意軟件變種,平均每天 1,501 個。我們的研究強調了利用 DNS 防止惡意軟件在網絡中取得進展或造成危害的有效性。圖 2:通過分析惡意 C2 流量,我們得出了全年至少有一臺設備嘗試連接 C2 域的企業百分比受 C2 影響的公司百分比2022 年 1 月 1 日 2022 年 12 月 31 日5%0%15%10%第 1 季度第 2 季度第 4 季度第 3 季度圖 2:通過分析惡意 C2 流量,我們得出了全年至少有一臺設備 嘗試連接 C2 域的企業百
14、分比受 C2 影響的公司的百分比 2022 年 1 月 1 日至 2022 年 12 月 31 日根據我們的 DNS 數據,在任意給定季度,都有 10%16%的企業 至少觀察到一次 C2 流量從其網絡中發出的情況。攻擊快車道:第 9 卷,第 1 期 SOTI8初始訪問代理對企業構成了普遍的威脅多階段攻擊已成為現代攻擊領域中的一種主力方法(圖 3)。攻擊者發現,如果能協同工作(或彼此雇用)或在一次攻擊中結合使用各種工具,就能提高攻擊的成功率。對于這些攻擊的成敗,C2 發揮著至關重要的作用。它們不僅可用于通信,也讓攻擊者能方便地下載攻擊載荷,以及用于推進攻擊下一階段的惡意軟件。過去幾年中觀察到的
15、Emotet/TrickBot/Ryuk 勒索軟件攻擊鏈就是最好的例證。Emotet 首先滲透到受害者的網絡中,在獲得初始訪問權限后,它會聯系一個域,下載 TrickBot 的攻擊載荷,以獲取個人數據和憑據等。如果根據攻擊者的標準,受害者屬于高價值目標,惡意軟件會聯系其 C2 服務器并下載最終的攻擊載荷:Ryuk 勒索軟件。在評估本報告的信息時,請務必考慮這種事件鏈。C2 通信可能發生在攻擊的不同階段。我們近期對現代勒索軟件團伙(如 Conti 團伙)的攻擊手法開展了分析,結果表明,精明的攻擊者往往會安排操作人員進行“手動操作”(hands on keyboard),以便快速、有效地推進攻擊。
16、觀察和阻止 C2 流量的能力對于阻止持續攻擊非常重要。圖 3:C2 在攻擊各階段的作用在多階段攻擊中,攻擊者使用一系列工具(包括合法和惡意工具)來推動攻擊。C2 域在攻擊的不同階段發揮著關鍵作用,用于發送命令、下載攻擊載荷,并指揮對受害者網絡進行的攻擊。從攻擊者的域下載用于第二階段的攻擊負載初始訪問權限武器化的文檔或后漏洞利用攻擊載荷將下載下一階段的惡意軟件建立持久性惡意軟件可在目標設備上保持休眠狀態,等待被攻擊者激活C2入侵之后,攻擊者親自動手,主動從 C2 域向其惡意軟件發送命令 橫向移動在攻擊者獲得網絡中其他設備的升級訪問權限后,他們可能會利用一個域,將惡意軟件下載到網絡中的其他設備上回
17、調 C2 域以檢查新命令與攻擊者控制的域進行 C2 通信將攻擊載荷下載到其他設備DNS 多階段攻擊的作用攻擊者DNS攻擊快車道:第 9 卷,第 1 期 SOTI9我們觀察到的 C2 域可以分為兩大類:一類歸屬于特定威脅系列或攻擊者團伙的域,另一類無此歸屬。在本節中,我們將深入研究與威脅類型相關的 C2 域,幫助讀者根據各攻擊者團伙的能力和所用方法來評估風險水平。請注意,部分此類惡意軟件系列可能適合多種應用場景,具體取決于攻擊者在攻擊中使用它們的手法。圖 4 將攻擊者團伙劃分成 IAB、僵尸網絡和 RaaS 幾個分組。我們的數據表明,IAB 是企業網絡面臨的一項重大威脅,以數據泄露為目標的僵尸網
18、絡同樣如此。圖 4:攻擊目標為企業的僵尸網絡比例最高,其次是 IAB 和信息竊取工具受每種威脅類別影響的設備百分比2022 年 1 月 1 日 2022 年 12 月 31 日10%0%20%30%40%僵尸網絡初始訪問代理(IAB)信息竊取程序勒索軟件其他遠程訪問木馬(RAT)圖 4:攻擊目標為企業的僵尸網絡比例最高,其次是 IAB 和信息竊取工具按威脅類別分列的設備百分比 2022 年 1 月 1 日至 2022 年 12 月 31 日初始訪問代理IAB 的關注重點是為其他網絡犯罪分子(包括勒索軟件分組)提供初始入口點,讓后者能在企業網絡中獲得立足點。持久性、入侵后遠程執行攻擊載荷(勒索軟
19、件采用的就是這種方法)以及數據泄露。僵尸網絡攻擊者可以利用僵尸網絡達到各種目的,比如加密、DDoS 攻擊、數據泄露、惡意軟件部署和橫向移動等?!袄账鬈浖捶铡狈纸M該分組的團伙允許其他攻擊者(甚至是不具備專業技術知識的攻擊者)成為其合作者,并有償使用他們的勒索軟件。信息竊取工具信息竊取工具收集各種類型的數據,如用戶名、密碼、系統信息、銀行憑據、Cookie 等。攻擊快車道:第 9 卷,第 1 期 SOTI1010%0%20%30%QSnatchEmotetRamnitREvilQakbotVirutPykspaCobalt StrikeAgent TeslaLockBit圖 5:QSnatch
20、、Emotet 和 Ramnit 是企業網絡流量中出現頻率較高的 C2 系列按 C2 威脅分列的設備百分比 2022 年 1 月 1 日至 2022 年 12 月 31 日我們還觀察到,攻擊者將勒索軟件、遠程訪問工具(RAT)和信息竊取工具納入攻擊組合,讓它們各自在不同的階段發揮關鍵作用。新手級攻擊者和經驗豐富的網絡犯罪分子如今都能通過地下交易平臺獲得現成的工具,因此他們能夠成功完成初始入侵,藏匿在網絡中并推進攻擊,這讓企業比以往更容易受到網絡犯罪的侵擾。在梳理這些分組時,我們還會分析其運作的交叉點,以及給企業造成的潛在影響和沖擊?!俺跏荚L問代理”分組“初始訪問代理”(IAB)這一特定類型的網
21、絡犯罪分子主要關注打通初始入口點,讓其他網絡犯罪 分子和攻擊者能借此在企業網絡中獲得立足點。多個網絡犯罪分組都采用類似的入侵方法,比如 利用 RDP 和 VPN 相關漏洞、使用暴力破解攻擊、收集憑據轉儲,以及發送帶有惡意軟件的釣魚 郵件,但 IAB 擅長獲得這些受感染系統的訪問權限,隨后將訪問權限出售給其他分組的攻擊者,而不會自行實施整個攻擊。根據報道,LockBit、DarkSide、Conti 和 BlackByte 等威脅背后的勒索軟件團伙均在其行動中利用了 IAB。2023 年的一份研究報告指出,初始訪問權限的平均售價約為 2,800 美元。攻擊快車道:第 9 卷,第 1 期 SOTI
22、11根據我們的 DNS 數據(圖 5),26%的受感染設備連接過與 IAB 有關聯的域,如Qakbot(4%的受感染設備)和 Emotet(22%的受感染設備)。在 RaaS 商業模式和網絡犯罪領域,IAB 都有著舉足輕重的作用。勒索軟件攻擊者和網絡犯罪分子需要遠程訪問權限和憑據,不僅需要借此滲透到受害者網絡中,還需要以此實現橫向移動、建立持久性、獲得訪問權限并執行其他活動。攻擊者利用 IAB 來完成偵查、潛在目標掃描和初始感染等耗時的任務。在地下交易平臺中唾手可得的訪問權限消除了這個步驟,降低了攻擊者發動攻擊所需的專業技能,也縮短了發動攻擊所需的時間。這種局面造成企業面臨大量潛在的針對性攻擊
23、,以及由此而來的勒索軟件、機密和敏感信息被盜、間諜活動和數據泄露威脅。在我們的數據中,Emotet 是極具代表性的 IAB 之一。Emotet 給企業造成了重大風險,該團伙與多個勒索軟件攻擊者有關聯,包括去年解散前給全球各行各業造成惡劣影響的 Conti 團伙。多年來,Emotet 添加了更多模塊,如分布式拒絕服務(DDoS)和電子郵件盜竊功能,其預期受害目標群也不斷擴大。Emotet 最初是一個具有大量功能的銀行木馬/僵尸網絡,如今已轉變為惡意軟件即服務(MaaS)威脅,傳播 IcedID 銀行木馬、TrickBot 和 UmbreCrypt 勒索軟件等威脅。根據觀察,TrickBot 團伙
24、還利用 Emotet 來分發一些勒索軟件,包括 Ryuk、ProLock 和 Conti 等。關于 Emotet 所用技術的更詳盡的觀察,可參閱有關此主題的 MITRE ATT&CK 框架。11攻擊快車道:第 9 卷,第 1 期 SOTIEmotet 給企業造成了重大風險,該團伙與多個勒索軟件攻擊者有關聯,包括去年解散前給全球各行各業造成惡劣影響的 Conti 團伙。攻擊快車道:第 9 卷,第 1 期 SOTI12在我們的數據中,第二突出的 IAB 是 Qakbot。我們已經確知該團伙與 Black Basta 勒索軟件團伙有合作關系,后者據稱已影響全球各地至少 50 家企業。Qakbot 團
25、伙因信息竊取能力和提供第二階段惡意軟件(用于進一步破壞系統安全性)而聞名。根據研究,Qakbot 利用了 Cobalt Strike,這本是一種供紅隊使用的合法滲透測試工具,攻擊者濫用這種工具,在入侵后開展一系列惡意活動,并在受害者環境中留下后門。這是近年來 IAB 日益頻繁使用的一種技術。您可以訪問 MITRE ATT&CK 框架,獲得有關 Qakbot 在攻擊期間利用的技術的額外情報?!敖┦W絡”分組在我們的分析中,僵尸網絡是規模最大的威脅類型分組,占所分析 C2 流量的 44%。這個分組中涵蓋多種多樣的攻擊者,也應該注意,并非所有僵尸網絡都一般無二。有害性較低的變種可能會植入加密貨幣挖礦
26、程序,或利用受害者的機器發動 DDoS 攻擊。雖然這些做法本身就會給受害者造成損失,但我們在企業中發現的僵尸網絡可用于數據泄露和多階段攻擊,因此可能造成更重大的風險。僵尸網絡可以在網絡中橫向擴展,并可用于部署勒索軟件(TrickBot 采用的就是這種做法),也可專門用于竊取信息和收集憑據。我們發現,企業環境中出現的大型僵尸網絡 QSnatch 采用了后一種做法,造成網絡連接設備中的數據泄露。根據我們的數據,36%的受感染設備受到了 QSnatch 的影響。這種惡意軟件專門針對 QNAP企業用于備份或文件存儲的一種 NAS 設備。雖然感染方法還不明確,但研究人員推測,QSnatch 可能的感染途
27、徑是利用固件漏洞,或者對具有默認用戶名/密碼的設備進行暴力破解攻擊。強烈建議使用 QNAP 的公司及時更新其固件(一旦感染,QSnatch 將阻止安裝修補程序并禁用安全產品),并立即改掉默認密碼。攻擊者利用 QSnatch 實現憑據抓取、密碼記錄、遠程訪問和數據泄露等目的。存儲設備可能會成為攻擊者的目標,因為它們含有大量高價值信息,而且入侵這些設備還能使企業在遭遇勒索軟件攻擊時無備份可用。這份 CISA 警報強調了戰術和應對措施的細節。攻擊快車道:第 9 卷,第 1 期 SOTI13“勒索軟件即服務”分組根據我們的 DNS 流量分析結果,在連接過 C2 系列的受感染設備中,有 9%訪問過與 R
28、aaS 團伙相關的域。此類網絡犯罪團伙允許其他攻擊者(甚至是不具備專業技術知識的攻擊者)成為其合作者,并有償使用他們的勒索軟件。一旦被勒索軟件侵襲,企業要承受的后果不只有公司機密數據丟失。他們還有可能需要承擔補救和恢復成本、法律費用、罰款、造成生產力損失的停機時間以及品牌和名譽損失。Cybersecurity Ventures 認為,到 2031 年,每年因勒索軟件攻擊而造成的損失將達到大約 2,650 億美元。Akamai 發布的全球勒索軟件報告也強調了勒索軟件的破壞性影響,除了供應鏈中斷等經濟損失之外,在某些情況下,勒索軟件還可能會危及生命。REvil 是一個頗為“高產”的 RaaS 團伙
29、,他們因在一次供應鏈攻擊中攻擊一家 IT 管理供應商而惡名昭著,那次攻擊總計影響了 1,500 多家托管服務提供商。團伙的數名成員被俄羅斯政府逮捕后,其行動就此停止。但在團伙解散幾個月后,安全研究人員觀察到,REvil 的泄漏站點再度活躍,發布了最新受害者的信息,美國的一些大學赫然在列。研究人員推測,實施這一攻擊活動的犯罪分子可能并非同一個 REvil 團伙,并警告說,不要讓打著 REvil 團伙名號的民族國家網絡犯罪分子借此隱藏蹤跡。在戰術方面,REvil 的指明做法就是根據目標受害者定制攻擊流,這體現出該團伙對其目標的了解程度。如需進一步了解與 REvil 有關的戰術、技術和過程,請閱讀
30、MITRE 的帖子。在檢查 DNS 流量時,我們發現的另一個 RaaS 團伙是 LockBit。在 Conti 團伙“銷聲匿跡”后,LockBit 團伙一躍成為最活躍的 RaaS 提供者之一。根據這份報告,在此之前(即 2019 年 11 月到 2022 年 3 月),該團伙的 RaaS 的受害企業數量僅次于 Conti 團伙。存儲設備可能會成為攻擊者的目標,因為它們含有大量高價值信息,而且入侵這些設備還能使企業在遭遇勒索軟件攻擊時無備份可用。攻擊快車道:第 9 卷,第 1 期 SOTI14LockBit 團伙為擁有比其他 RaaS 團伙更快的加密機制而洋洋自得,并聲稱其 LockBit 2.
31、0 已經 影響了 12,000 多家公司。2022 年 6 月,該團伙發布了 LockBit 3.0,增加了一些功能,還添加了一個漏洞賞金計劃。據報道,他們還利用 Log4j 漏洞獲得對目標的初始訪問權限,這也突顯出及時安裝修補程序的重要意義。如果企業未能及時修補此類安全漏洞,被 LockBit 感染的風險就會更高。LockBit 還在不斷重塑自身,近期增加了三重勒索戰術,如果受害者拒絕支付贖金,他們會加密文件,將其發布到泄密網站上,并發動 DDoS 攻擊。攻擊工具本節中提及的工具在攻擊中可能發揮特定作用,包括入侵系統、獲取信息或升級特權等。根據我們的觀察,各類攻擊者團伙使用的攻擊武器庫通常都
32、要依靠通信來發揮作用,比如信息竊取工具和 RAT 都是如此。通過了解這些工具以及攻擊者團伙使用的戰術,安全從業者可以了解攻擊的發動方式,從而相應地做出防范規劃。信息竊取工具信息竊取工具迄今仍是攻擊中頻繁使用的一種 MaaS 工具,用于獲取各種類型的數據,如用戶名、密碼、系統信息、銀行憑據和 Cookie 等。即便不具備技術知識和/技能的攻擊者也能以相對低廉的價格輕松獲得信息竊取工具,并發動自己的攻擊。在 C2 惡意軟件系列的列表中,我們觀察到 16%的設備訪問過已知的 C2 歸屬,并嘗試連接信息竊取工具。Ramnit(13%的受感染設備)絕不是又一個平平無奇的信息竊取工具。其優勢在于高度模塊化
33、,這讓攻擊者能夠利用各種功能,比如竊取其他敏感數據和下載/部署其他惡意軟件,以達到其最終目標或推進攻擊。2021 年,Ramnit 被視為頂級銀行木馬,近期的新聞報道提到了另一種惡意軟件與 Ramnit 使用類似的代碼。攻擊快車道:第 9 卷,第 1 期 SOTI15網絡中發現信息竊取工具預示著用戶的憑據可能面臨風險。攻擊者可能會將收集到的被盜信息拿到地下交易平臺上出售,供其他攻擊者用于獲得初始訪問權限。勒索軟件團伙可以通過網絡釣魚或僵尸網絡部署信息竊取工具,從而獲得有效憑據,在提供 MaaS 的地下論壇中將訪問權限使用權出租給信息竊取者,或通過 IAB 購買網絡訪問權限。在某些情況下,信息竊
34、取者有可能成為 IAB,并將收集到的高價值憑據(如 VPN 或 RDP 訪問權限)出售給出價最高的人或其他攻擊者,供其發起更為復雜的攻擊。遠程訪問工具一些攻擊者團伙在行動中濫用了 Cobalt Strike。攻擊者通過多種方式利用這種強大的 RAT,包括偵查、特權升級、通過網絡橫向移動、建立持久性、入侵后遠程執行攻擊載荷(勒索軟件采用的就是這種方法)以及數據泄露。雖然該工具主要用于入侵后的橫向移動和滲透,但由于它帶有魚叉式釣魚模塊,它也能用作獲取初始訪問權限的攻擊媒介。已知使用該工具的團伙包括 Conti、Qakbot、TrickBot 和 Emotet 等。為了幫助檢測環境中的 Cobalt
35、 Strike,Google 創建了這組 YARA 規則,可確定惡意使用該工具的情形。我們的數據還顯示了 Agent Tesla C2 流量的存在。這種 RAT 在地下市場中兜售,由于價格低廉、使用簡單,對于網絡犯罪分子頗具吸引力。攻擊者可以利用此工具從各種瀏覽器中獲取憑據、捕捉按鍵操作、抓取屏幕截圖,并記錄按鍵。其著名的戰術之一是表單抓取,這讓攻擊者能夠收集 PII 和其他敏感信息。此類被盜信息可用于身份盜竊或欺詐。PCrisk 發布了有關 Agent Tesla 技術的更多細節,以及它對用戶的影響。攻擊快車道:第 9 卷,第 1 期 SOTI16活動形勢表明,全年有零星的惡意軟件活動在一年
36、期間,我們觀察到 C2 惡意軟件的活動有所波動(圖 6)。典型案例:可以看到,Emotet 在 2021 年 11 月死灰復燃,隨后在 2022 年 1 月和 2 月期間特別活躍。這種活動 量的激增表明攻擊活動的強度極大,該威脅在偃旗息鼓數月之后,借此重新樹立自己的 地位。在復出后的幾個月里,Emotet 加強了攻擊戰術,包括規避 Microsoft 禁用 Visual Basic for Applications 宏的舉措。一些報告指出,2022 年 7 月至 11 月期間,Emotet 活動量再度大幅下降;我們的數據觀測結果表明,7 月的 C2 流量下滑,通過連接 Emotet 域的受感染
37、設備占比降低也能看出這一點。這可能表明該團伙在全年保持活躍,也可能表明已安裝的惡意軟件仍在與過時的基礎架構通信。2023 年的觀察結果能幫我們確定 Emotet 團伙是否確實已經蟄伏。圖 6:月度趨勢圖顯示,在 2022 年全年,QSnatch 持續活躍按排名靠前的 C2 威脅分列的每月設備百分比2022 年 1 月 2022 年 12 月10%0%20%30%40%50%4 月3 月1 月2 月5 月6 月7 月8 月9 月10 月11 月12 月EmotetQakbotQSnatchRamnitREvil圖 6:月度趨勢圖顯示,在 2022 年全年,QSnatch 持續活躍按排名靠前的 C
38、2 威脅分列的每月設備百分比 2022 年 1 月至 2022 年 12 月可以看到,Emotet 在 2021 年 11 月死灰復燃,隨后在 2022 年 1 月和 2 月左右特別活躍。這種活動量的激增表明攻擊活動的 強度極大,該威脅在偃旗息鼓數月之后,借此重新樹立自己的 地位。攻擊快車道:第 9 卷,第 1 期 SOTI17QSnatch 全年始終保持活躍,6 月左右,其活動量達到頂峰,表明這種威脅的普遍程度。由于以下幾個原因,NAS 服務器仍是攻擊者的可行目標:第一,其中包含敏感數據;第二,為 NAS 服務器執行修補的幾率較低;第三,這些設備在企業網絡中可能更易訪問,可能成為橫向移動的中
39、樞。雖然在過去幾年間,情況有所變化,比如新增了內置安全解決方案,但網絡犯罪分子可禁用其安裝的安全產品和/或阻止設備安裝新修復程序,以此規避這些舉措。因此,這些設備仍然容易受到該惡意軟件新變種的影響。我們還看到,從 8 月到 12 月,Ramnit 在企業網絡中的數量不斷增加。這十分令人擔憂,因為這種惡意軟件可能會竊取一系列敏感信息,攻擊者后續可能會將這些信息賣給其他威脅者,用于發起未來攻擊。QSnatch 和 Emotet:所有地區的共同威脅 為了確定各地區普遍存在的威脅,我們研究了各地區連接 C2 域的設備的百分比(圖 7)。各百分比數據均表示在各地區受影響設備中的占比,各地區的受影響設備也
40、各有不同。但有趣的是,在所有地區,我們都觀察到類似的攻擊趨勢,僅有極少數的例外。因此,我們建議各地區遵循“結論和建議”部分中的建議,或是上文講解惡意軟件分組的各節給出的建議。圖 7:觀察各地區受影響的設備數量,北美以 41%位列第一,其次是歐洲、中東和非洲地區(37%)和亞太地區及日本(18%)按地區分列的設備百分比2022 年 1 月 1 日 2022 年 12 月 31 日10%0%20%30%40%歐洲、中東和非洲北美亞太地區及日本拉丁美洲圖 7:觀察各地區受影響的設備數量,北美以 41%位列第一,其次是歐洲、中東和非洲地區(37%)和亞太地區及日本(18%)按地區分列的設備百分比 20
41、22 年 1 月 1 日至 2022 年 12 月 31 日攻擊快車道:第 9 卷,第 1 期 SOTI1818北美 全球大多數企業都遭遇過這兩個大型威脅:QSnatch 和 Emotet。北美地區約 29%的受影響設備受到 Emotet 的影響,33%受到 QSnatch 的影響(圖 8)。根據 Dark Reading 的報告,Shodan 搜索顯示,有 30 萬臺 QNAP 設備連接到互聯網,這讓此類設備成為頗具吸引力的目標。此外,QNAP 這樣的 NAS 設備可能會用作備份,以及媒體或文件服務器。北美地區其他值得關注的威脅包括 Ramnit、Qakbot 和 REvil??紤]到 Emo
42、tet 這樣的 IAB 為其他感染(包括但不限于勒索軟件)鋪平道路的方式,這非常耐人尋味。圖 8:在北美企業中,大多數受影響設備都至少訪問過一次與 QSnatch、Emotet 和 Ramnit 有關的域北美地區按排名靠前的 C2 威脅分列的設備百分比2022 年 1 月 1 日 2022 年 12 月 31 日10%0%20%30%QSnatchEmotetRamnitQakbotREvilVirutPykspaCobalt StrikeFobberHancitor圖 8:在北美企業中,大多數受影響設備都至少訪問過一次與 QSnatch、Emotet 和 Ramnit 有關的域北美地區按排名
43、靠前的 C2 威脅分列的設備百分比 2022 年 1 月 1 日至 2022 年 12 月 31 日攻擊快車道:第 9 卷,第 1 期 SOTI18攻擊快車道:第 9 卷,第 1 期 SOTI1919歐洲、中東和非洲 歐洲、中東和非洲地區受影響設備的比例也非常高,僅次于北美。我們在該地區觀察到的大型威脅(圖 9)包括 QSnatch(28%)和 Ramnit(21%)。Ramnit 在該地區的增加并不讓人意外,因為其運營者過去曾將意大利、英國和法國的銀行/金融機構作為目標。在 Ramnit 的一次迭代中,其配置將歐盟國家作為主要目標。事實上,如果比較全球受 Ramnit 影響的設備數量,歐洲、
44、中東和非洲地區的受感染設備在 Ramnit 感染的所有設備中占比最高。除此之外,感染 Emotet 的設備在該地區也很高,達到 19%。圖 9:可以看到,歐洲、中東和非洲地區連接到 Ramnit C2 的數量超過其他地區,這顯著增加了該地區企業的風險歐洲、中東和非洲地區按排名靠前的 C2 威脅分列的設備百分比2022 年 1 月 1 日 2022 年 12 月 31 日10%0%20%30%QSnatchRamnitEmotetREvilPykspaVirutNJRatAgent TeslaRedLine StealerCobalt Strike圖 9:可以看到,歐洲、中東和非洲地區連接到 R
45、amnit C2 的數量超過其他地區,這顯著增加了該地區企業的風險歐洲、中東和非洲地區按排名靠前的 C2 威脅分列的設備百分比 2022 年 1 月 1 日至 2022 年 12 月 31 日攻擊快車道:第 9 卷,第 1 期 SOTI19攻擊快車道:第 9 卷,第 1 期 SOTI2020亞太地區及日本 QSnatch 的感染對亞太地區及日本產生了重大影響(圖 10)。如果比較各地區背后的數字時,就感染 QSnatch 的設備而言,亞太地區及日本排名第二,僅次于北美地區。另一方面,亞太地區及日本還應警惕勒索軟件 REvil 和 LockBit,它們均為該地區受影響設備中的五大威脅之列。雖然
46、REvil 團伙成員在去年被捕,但在幾個月后,我們又在現實環境中觀察到這種惡意軟件的活動。這或許是能獲得代碼的團伙原成員嘗試重新啟用 REvil??吹?LockBit 和 REvil 這類勒索軟件威脅(主要攻擊動機是經濟因素)并不讓人意外。隨著 RaaS 運營者繼續利用像 Emotet 這樣的 IAB,勒索軟件仍將給各行各業、各個地區的企業構成重大安全挑戰。圖 10:Akamai 在該地區觀察到大量的 QSnatch 感染事件 亞太地區及日本按排名靠前的 C2 威脅分列的設備百分比2022 年 1 月 1 日 2022 年 12 月 31 日20%0%40%60%QSnatchEmotetRE
47、vilLockBitVirutRamnitPykspaRedLine StealerConfickerQakbot圖 10:Akamai 在該地區觀察到大量的 QSnatch 感染事件亞太地區及日本按排名靠前的 C2 威脅分列的設備百分比 2022 年 1 月 1 日至 2022 年 12 月 31 日攻擊快車道:第 9 卷,第 1 期 SOTI20攻擊快車道:第 9 卷,第 1 期 SOTI2121拉美 再看一下拉美地區的趨勢。這個地區受影響的設備數量最少,但這并不一定表示其成為目標的幾率較低或受影響較小。該地區也受到了 QSnatch 和 Emotet 的影響(圖 11),這與全球趨勢一致
48、。單獨查看這個地區,可以看到 Agent Tesla、Virut 和 Ramnit 都非?;钴S。地區細分非常有意義,這樣我們不僅能看到各地區的相似之處,還能了解每個地區的獨特威脅。QSnatch 一直是領先的威脅系列,但緊隨其后的四大威脅(Emotet、REvil、Ramnit 和 Agent Tesla)在不同地區各有不同。在您確定漏洞管理和滲透測試團隊的工作重點時,需要根據地區性的威脅情況作出調整。圖 11:拉美地區的威脅環境與全球趨勢呼應拉美地區按排名靠前的 C2 威脅分列的設備百分比 2022 年 1 月 1 日 2022 年 12 月 31 日10%0%20%30%QSnatchEm
49、otetRamnitVirutAgent TeslaHancitorQakbotREvil圖 11:拉美地區的威脅環境與全球趨勢呼應拉美地區按排名靠前的 C2 威脅分列的設備百分比 2022 年 1 月 1 日至 2022 年 12 月 31 日攻擊快車道:第 9 卷,第 1 期 SOTI21攻擊快車道:第 9 卷,第 1 期 SOTI22行業和垂直領域趨勢:制造業受到初始訪問代理、僵尸網絡的嚴重沖擊通過分析行業趨勢,我們可以看到每個垂直領域的風險水平,并將其與其他行業進行對比。我們并未研究受影響設備的數量,而是按客戶匯總設備,得出各垂直領域受影響的公司數量(圖 12)。根據我們的 DNS 數
50、據,我們發現,在所分析的存在 C2 流量的企業中,有超過 30%的比例屬于制造業。此外,商業服務(15%)、高科技(14%)和商業(12%)等垂直領域的公司也受到了影響。我們的 DNS 數據中排名前兩位的垂直領域(制造業和商業服務)也呼應了受 Conti 勒索軟件攻擊的主要行業,具體請參見我們的全球勒索軟件報告。在該報告中,我們深入研究了 Conti 勒索軟件的受害者,并按垂直領域、收入和地區進行了分析,說明了 這一種類繁多的威脅的攻擊趨勢。圖 12:制造業、商業服務和高科技是受 C2 感染影響最大的行業 按垂直領域分列的受影響公司的百分比2022 年 1 月 1 日 2022 年 12 月
51、31 日10%0%20%30%制造商業服務高科技商務非營利性組織/教育其他數字媒體金融服務制藥/醫療保健視頻媒體公共部門圖 12:制造業、商業服務和高科技是受 C2 感染影響最大的行業按垂直領域分列的受影響公司的百分比 2022 年 1 月 1 日至 2022 年 12 月 31 日根據我們的 DNS 數據,我們發現,在所分析的存在 C2 流量的企業中,有超過 30%的比例屬于制造業。此外,商業服務(15%)、高科技(14%)和商業(12%)等垂直領域的公司也受到了類似的影響。攻擊快車道:第 9 卷,第 1 期 SOTI23我們看到,制造業受各種 C2 攻擊的嚴重侵擾,這讓人倍感擔憂,因為制造
52、業屬于重要行業,如果攻擊者得逞,其后果可能會波及現實世界,例如供應鏈中斷。數據無法體現制造業受影響如此之深的具體原因,但更深入地探究這個行業中的威脅類型或許可以讓我們一探究竟。我們看到,一些國家/地區正通過法規加強制造業等關鍵行業的安全性。面向整個歐盟的 NIS2 立法加強了網絡安全標準和安全要求,如風險分析和信息系統安全政策、供應鏈安全,以及重要實體(如能源、運輸、銀行、醫療等)的事件處理。它還擴大了受影響的垂直領域的范圍。圖 13:在制造業中發現的排名靠前的 C2 威脅系列是 QSnatch、Emotet 和 Ramnit 制造業按排名靠前的 C2 威脅分列的設備百分比2022 年 1 月
53、 1 日 2022 年 12 月 31 日10%0%20%30%QSnatchEmotetRamnitQakbotREvilPykspaVirutNJRatRedLine StealerLockBit圖 13:在制造業中發現的排名靠前的 C2 威脅系列是 QSnatch、Emotet 和 Ramnit制造業按排名靠前的 C2 威脅分列的設備百分比 2022 年 1 月 1 日至 2022 年 12 月 31 日攻擊快車道:第 9 卷,第 1 期 SOTI24對制造業的深入研究表明,在該垂直領域的企業訪問的 C2 相關域中,排名靠前的包括 QSnatch、IAB 和 Ramnit 域(圖 13)
54、。其網絡中出現 IAB 可能表明攻擊者在收集有關其潛在目標的情報,一旦獲得所入侵設備的訪問權限,攻擊者即可將這些數據出售給其他網絡犯罪分子,比如 RaaS 團伙。此外,在威脅該行業的 C2 惡意軟件列表中,我們還能看到信息竊取工具的身影。需要警惕的一項威脅是 RedLine Stealer,它能收集瀏覽器 信息,如憑據和信用卡詳細信息,而且目前以 MaaS 的形式出售,每月訂閱費用為 100-150 美元。根據 Group-IB 的研究,在 2021 年下半年至 2022 年上半年期間,這種信息竊取工具估計獲取了 35,585,412 份日志,其中可能包含單點登錄帳戶。此外,僅在 2022 年
55、第三季度,與這種信息竊取工具有關的 C2 域名就激增 409%。跟蹤行業趨勢總是讓人興趣盎然。在一個垂直領域發生的情況往往只是墊腳石,網絡犯罪分子的目標是整個行業中的所有垂直領域。有時,我們會看到攻擊者側重于一個行業內的某項突出技術。其他時候,他們會去尋找更有可能付錢的受害者,或者有可能支付最多贖金的受害者。我們也觀察到,他們會對歷來不注重網絡安全投資的行業下手。這里的啟示是,如果您看到隔壁冒煙,最好也檢查一下自己家的消防系統。SOTI24攻擊快車道:第 9 卷,第 1 期 SOTI25家庭用戶面臨攻擊威脅攻擊者將目標投向企業的原因不言自明,成功入侵企業網絡可給他們帶來更高的回報。他們使用廣泛
56、的工具和戰術滲透到企業周邊,維系持久性,并在某些情況下泄露機密信息。因此我們會在企業網絡中看到了上一節所討論的信息竊取工具和 IAB 等威脅。但在家庭網絡中則是另外一番景象,所利用的威脅和目的都有所不同。家庭用戶的安全防護措施通常沒有企業環境完善,但這個群體能給攻擊者帶來的經濟回報也不如企業。攻擊者甚至這一點,并設法通過簡化感染家庭設備的能力變現。例如,他們發起大規模的活動,通過“廣撒網”的戰術入侵盡可能多的設備,而對于企業的攻擊則具有高度的針對性。在這些家庭設備成為大規模僵尸網絡的一部分后,攻擊者即可調動這些僵尸設備,在用戶不知情的情況下開展不計其數的網絡犯罪活動,如發送垃圾郵件,以及對企業
57、發動 DDoS 攻擊。僵尸網絡要想取得成功,網絡犯罪分子要想出租其僵尸網絡,前提就是感染盡可能多的設備。在影響家庭用戶時,攻擊者還可通過另一種方式獲得經濟利益,即利用受感染設備的計算資源進行加密貨幣挖礦。家庭網絡顯示出大量來自僵尸網絡的流量在將關注重點轉移到家庭用戶時,我們將分析一組匿名樣本,其中包含過去六個月間數億項識別為惡意的查詢,從而審視家庭網絡的惡意 DNS 流量,指明用戶應該關注的威脅。您可以一目了然地看出,最大的威脅與僵尸網絡有關,這可以解釋攻擊者如何利用 IoT 設備達到不同的目的,后續幾節將討論這個主題。在這些設備成為大規模僵尸網絡的一部分后,攻擊者即可調動這些僵尸設備,在用戶
58、不知情的情況下開展不計其數的網絡犯罪活動,如發送垃圾郵件,以及對企業發動 DDoS 攻擊。攻擊快車道:第 9 卷,第 1 期 SOTI26Pykspa:通過社交媒體傳播根據我們的數據結論,在全球識別出的惡意 DNS 查詢中,Pykspa 的數量多達 3.67 億項(圖 14)。這種威脅的傳播方式是通過 Skype 向受影響用戶的聯系人發送惡意鏈接。在某些情況下,用戶在瀏覽器標簽頁中打開 Twitter 網站時,它還會創建一個帶有惡意軟件下載鏈接的推文。此外,它使用域生成算法(DGA)建立 C2 通信。先前的 V2 版使用其 DGA 的 一個子集來規避檢測,并在網絡內藏匿更長時間。其后門功能允許
59、攻擊者連接到遠程系統并執行任意命令,如下載文件、終止進程,并通過各種方式(如映射驅動器、網絡共享)進行傳播等。Pykspa 還會查詢 Skype 配置,收集受影響用戶的個人信息。它還會阻止用戶訪問某些網站,特別是包含某些與反惡意軟件解決方案有關的字符串的網站。有趣的是,這一惡意軟件會檢查受影響用戶的 Skype 語言界面,如果是其監測的眾多語言之一(包括英語、德語、法語、西班牙語和意大利語),它會相應地調整垃圾郵件。圖 14:在家庭網絡的 DNS 流量中觀測到的僵尸網絡中,排名前三位的分別是 Pykspa、FluBot 惡意軟件和 Mirai對每種排名靠前的 C2 威脅的查詢計數2022 年
60、7 月 2023 年 1 月2.16 億3.67 億1.56 億8000 萬5600 萬2700 萬2400 萬2200 萬1700 萬1600 萬FluBot 惡意軟件PykspaMiraiNecursMonerodownloaderTempedreveFodchaConficker BConfickerVirut0 億1 億2 億3 億4 億圖 14:在家庭網絡的 DNS 流量中觀測到的僵尸網絡中,排名前三位的分別是 Pykspa、FluBot 惡意軟件和 Mirai按排名靠前的 C2 威脅分列的查詢次數 2022 年 7 月至 2023 年 1 月攻擊快車道:第 9 卷,第 1 期 SO
61、TI27FluBot:Android 惡意軟件僵尸網絡FluBot 惡意軟件是繼 Pykspa 之后的又一個熱門 C2 惡意軟件系列。它主要通過短信感染 Android 手機,誘使用戶點擊惡意鏈接,隨后下載惡意軟件。作為其傳播策略的一部分,FluBot 惡意軟件會將受影響用戶的聯系人名單上傳到 C2 服務器,并且向受害者的聯系人發送同樣的社會工程誘餌。對于用戶來說,設備上存在 FluBot 會給他們的銀行和財務信息造成危險,因為這種惡意軟件能在用戶訪問合法銀行應用程序時顯示一個偽造的頁面疊加層。因此,用戶憑據可能會被用于身份盜竊或欺詐交易。這種惡意軟件使用各種社會工程誘餌。例如,它可能會建議用
62、戶點擊某個鏈接來檢查包裹配送狀態;還可能告訴用戶有語音留言,并欺騙用戶下載偽造的語音郵件應用程序。它也可能偽稱有安全更新,催促用戶點擊鏈接。一旦用戶點擊該鏈接,它就會指示他們下載一個應用程序。這個應用程序會要求聯系人名單和撥打電話等授權。導致該威脅更加危險的是,它還要求獲得無障礙服務權限,這讓攻擊者能夠控制屏幕點按操作,有可能會因此而安裝更多應用程序。建議用戶將其設備重置為出廠設置,以刪除此惡意軟件。Mirai:利用物聯網的力量造成大規模破壞在我們的研究中,識別出的 Mirai DNS 查詢量達到 1.56 億次,僅次于 FluBot 惡意軟件。Mirai 以攻擊開放 telnet 端口的 I
63、oT 設備而聞名,曾對最大的 DNS 供應商之一發起 DDoS 攻擊,并因此惡名昭著。這種具備自我傳播能力的蠕蟲病毒會尋找使用默認用戶名和密碼組合的易入侵設備。其聚集的僵尸設備數量一度超過 10 萬臺,攻擊者利用這些設備對高知名度的目標發起了 DDoS 攻擊。在其早期的一次攻擊中,Mirai 利用 14.5 萬臺設備攻擊了一家科技公司。這個例子表明,不安全的設備可能成為網絡攻擊的武器,給企業造成大規模破壞。2016 年,Mirai 背后的團伙公開了源代碼,或許是為了防止執法部門順藤摸瓜找到原作者,避免牢獄之災。此后,其他團伙開始使用 Mirai 的代碼,對其進行修改和增強,并添加了更多功能,例
64、如感染系統的功能。其代碼公開的影響之一是催生了新變種,如 Okiru、Satori、Masuta 和 PureMasuta,其目的同樣是發起 DDoS 攻擊。重啟受感染的設備確實有所幫助,但該惡意軟件會不斷掃描設備,因此除非用戶更改密碼,否則很有可能再次感染。攻擊快車道:第 9 卷,第 1 期 SOTI28Necurs:惡意軟件經銷商和訪問權限賣家Necurs 僵尸網絡最初發現于 2012 年,在過去六個月中,識別出的相關查詢量達到 8,000 萬。它能傳輸其他惡意軟件的攻擊載荷,如 Dridex、TrickBot 和 Locky 等,因此給家庭用戶和企業造成了嚴重風險。有必要指出,該僵尸網絡
65、還通過僵尸網絡出租服務向其他團伙出售受感染計算機的訪問權限。類似于大多數僵尸網絡,它使用 DGA 為其 C2 服務器動態生成多個域,保證在域名被封鎖的情況下繼續工作。除了用于分發勒索軟件和銀行木馬外,Necurs 還被廣泛用于分發多種垃圾郵件攻擊,如俄羅斯約會詐騙、醫藥詐騙等。在一次調查中,Microsoft 監測了該僵尸網絡的活動,發現它在短短 58 天內發出了大約 380 萬封垃圾郵件。2020 年,執法部門和安全界攜手合作,端掉了 Necurs 僵尸網絡。Monerodownloader:挖礦僵尸網絡攻擊者通過許多方式謀利,其中之一就是利用被入侵的設備進行加密貨幣挖礦。我們觀察到許多專為
66、門羅幣挖礦打造的僵尸網絡,其原因之一就是門羅幣在網絡犯罪分子中越來越受歡迎。門羅幣的區塊鏈風險敞口不是太高,而且有著匿名機制;因此無法追溯到他們個人。雖然我們目前對于 Monerodownloader 知之甚少,不過它所執行的一些戰術包括收集信息,并連接到 C2 服務器以獲得實際攻擊載荷。不及時修補會讓系統對門羅幣加密貨幣挖礦程序等威脅大開門戶。其他類似的門羅幣挖礦程序利用漏洞,冒充成免費軟件引誘用戶下載,還能夠通過網絡橫向移動、感染其他設備,以獲得盡可能多的收入。雖然橫向移動這種說法本身更適合企業,不太適合家庭用戶,但我們可以借此了解加密貨幣挖礦程序如何盡可能提高感染率。SOTI28攻擊快車
67、道:第 9 卷,第 1 期 SOTI29各地區的頭號威脅:在家庭網絡中,僵尸網絡依然排名第一我們來仔細看一下地區數據,根據家庭網絡的 DNS 流量解析各地區盛行的僵尸網絡有 哪些,并探究可能促成這類趨勢的一些可能因素。北美 在北美地區,家庭網絡中與 Mirai 僵尸網絡有關的查詢超過 1.44 億次(圖 15)。該僵尸網絡的目標是仍在使用默認用戶名和密碼的易入侵 IoT 設備。來自該地區的查詢數量較大,或許是因為 IoT 設備在該地區家庭中的普及率或使用率較高。據報道,在 2022 年,美國家庭的聯網設備平均擁有量是 22 臺,比上一年的 25 臺略有下降。IoT 連接量在北美預計還會增加(到
68、 2025 年達到 54 億),未來很有可能出現更多類似于 Mirai 或近似變種的威脅,濫用不安全的 IoT 設備。圖 15:Mirai 依然在北美興風作浪,原因或許是不安全的 IoT 設備北美地區按排名靠前的 C2 威脅分列的查詢次數2022 年 7 月 2023 年 1 月1.4448 億2,353 萬676 萬562 萬495 萬444 萬438 萬412 萬397 萬390 萬MiraiFodchaTempedrevePykspaConficker BNecursBedepMoobotSuppobox_v2Conficker0 萬5000 萬1 億1.5 億圖 15:Mirai 依然
69、在北美興風作浪,原因或許是不安全的 IoT 設備北美地區按排名靠前的 C2 威脅分列的查詢次數 2022 年 7 月至 2023 年 1 月攻擊快車道:第 9 卷,第 1 期 SOTI30這種威脅會給家庭用戶造成的影響是,網絡犯罪分子可以利用其設備實施犯罪,而他們本人毫不知情。但 DDoS 攻擊乃至 Mirai 等僵尸網絡發起的惡意垃圾郵件也會給企業帶來困擾。比較理想的做法是遵循最佳實踐,改掉設備的默認用戶名和密碼,避免其受到 Mirai 和其他類似攻擊。歐洲、中東和非洲 用“野火”來形容 FluBot 惡意軟件在歐洲、中東和非洲地區的肆虐也只能說是輕描淡寫。在該地區觀察到了令人驚嘆的龐大 D
70、NS 查詢量(約 1.93 億)。通過審查 DNS 流量,我們確定了這些感染確實發生在歐洲、中東和非洲地區(圖 16)。一個促成因素是其采用了短信網絡釣魚的戰術,在這種形式的網絡釣魚中,攻擊者向受害者的聯系人名單發送短信。此外,它還會哄騙用戶下載一個與包裹物流或語音郵件有關的應用程序,但這個應用程序實際上是惡意軟件。除此之外,FluBot 還要求獲得額外的權限,并在用戶不知情的情況下秘密記錄下用戶的銀行/財務憑據。根據報告,其針對的用戶位于西班牙、德國、芬蘭和英國等國家和地區。短信還使用其他多種歐盟語言,如德語和匈牙利語,這或許是這種惡意軟件在歐洲激增的眾多因素之一。圖 16:我們觀察到,Fl
71、uBot 惡意軟件在歐洲、中東和非洲地區出現爆發,原因或許是其傳播策略,及其社會工程誘餌中使用了數種歐洲語言歐洲、中東和非洲地區按排名靠前的 C2 威脅分列的查詢次數2022 年 7 月 2023 年 1 月410 萬290 萬210 萬180 萬150 萬130 萬60 萬50 萬30 萬0 萬100 萬200 萬300 萬400 萬500 萬1.925 億FluBot 惡意軟件MonerodownloaderPykspaNecursPushdoVirutQSnatch_v2Suppobox_v2MiraiFobber圖 16:我們觀察到,FluBot 惡意軟件在歐洲、中東和非洲地區出現爆發
72、,原因或許是其傳播策略,及其社會工程誘餌中使用了數種歐洲語言 歐洲、中東和非洲地區按排名靠前的 C2 威脅分列的查詢次數 2022 年 7 月至 2023 年 1 月攻擊快車道:第 9 卷,第 1 期 SOTI31拉美 不同于北美地區以及歐洲、中東和非洲地區,拉美地區的僵尸網絡分布更加多樣化(圖 17)。Monerodownloader 是一種加密的僵尸網絡,識別出的查詢量達到 4,200 萬次,并因此在活躍的僵尸網絡分組中位居榜首,其次是 Necurs(3,400 萬)和 Tempedreve(2,000 萬)。在高通脹和高匯款額的推動下,該地區的加密貨幣采用率很高,正因如此,像 Moner
73、odownloader 這樣的僵尸網絡才能位列榜首。在用戶不知情的情況下,網絡犯罪分子可能將用戶設備的資源用于加密貨幣挖礦,從中謀利。另外值得注意的是,在 DNS 流量的觀察結果中,FluBot 是一個極其重要的威脅,也就是說,除了我們觀察到大量相關流量的 EMEA 地區之外,這種僵尸網絡的活動也很猖獗。圖 17:Monerodownloader 加密貨幣挖礦僵尸網絡成為拉美地區的頭號威脅,原因或許是該地區對加密貨幣的使用率較高拉美地區按排名靠前的 C2 威脅分列的查詢次數2022 年 7 月 2023 年 1 月4,243 萬3,383 萬2,021 萬1,913 萬793 萬600 萬42
74、2 萬417 萬315 萬272 萬1000 萬0 萬2000 萬3000 萬4000 萬5000 萬MonerodownloaderNecursTempedreveFluBot 惡意軟件VirutSuppobox_v2SuppoboxConficker BConfickerPykspa圖 17:Monerodownloader 加密貨幣挖礦僵尸網絡成為拉美地區的頭號威脅,原因或許是該地區對加密貨幣的使用率較高拉美地區按排名靠前的 C2 威脅分列的查詢次數 2022 年 7 月至 2023 年 1 月攻擊快車道:第 9 卷,第 1 期 SOTI32亞太地區及日本 在亞太地區及日本,我們觀察到超
75、過 3.5 億次與 Pykspa 有關的查詢(圖 18)。在 2019 年的一篇博文中,我們指出 Pykspa 使用了一種選擇性的 DGA 機制,可以達到長時間藏匿的效果。那份報告中強調的領域主要集中在東亞。我們還觀察到與 Necurs 等僵尸網絡有關的查詢,這是一項表明系統被其他惡意軟件感染的有力指標。圖 18:亞太地區及日本的主要威脅包括 Pykspa 和 Necurs亞太地區及日本按排名靠前的 C2 威脅分列的查詢次數2022 年 7 月 2023 年 1 月1000 萬1000 萬2000 萬3000 萬4000 萬NecursPykspaConficker BMiraiMonerod
76、ownloaderConfickerPykspa_v2VirutFluBot 惡意軟件GameOver3,960 萬3.541 億1,250 萬1,110 萬1,050 萬970 萬570 萬470 萬390 萬290 萬圖 18:亞太地區及日本的主要威脅包括 Pykspa 和 Necurs亞太地區及日本按排名靠前的 C2 威脅分列的查詢次數 2022 年 7 月至 2023 年 1 月攻擊快車道:第 9 卷,第 1 期 SOTI32攻擊快車道:第 9 卷,第 1 期 SOTI33網絡釣魚現狀概述在 DNS 流量分析的最后一部分,我們研究了網絡釣魚工具包及其在網絡釣魚活動成功中的關鍵作用。攻擊
77、者使用的戰術不斷演變,而且網上可獲得的個人信息越來越多,因此網絡釣魚仍然與我們息息相關,甚至比以往更相關。如今的攻擊者使用社會工程來更好地偽裝其網絡釣魚,使其看起來更加合法,證據也表明,這些攻擊的成功率仍然很高。Akamai 對假日釣魚詐騙的研究表明,攻擊者正在利用新的技術和戰術逃脫檢測。新戰術包括在詐騙中使用虛假的用戶薦言,還有新發現的使用 HTML 錨定的技術,確保只有有效用戶才能登陸詐騙網站。新冠疫情促使遠程辦公普及,這加大了檢測和預防網絡釣魚攻擊的難度,因此個人和企業更有必要保持警惕,并采取措施來保護自己。此外,社交媒體興起,接入互聯網的設備不斷增加,這都給攻擊者創造了更多機會。網絡釣
78、魚活動影響金融服務業調查哪些品牌正在被網絡釣魚騙局濫用和模仿時,我們可以使用大量方法收集數據。我們收集了攻擊活動總數量與受害者數量。方便評估給定攻擊活動的成功率,了解每個行業中成為攻擊目標的比例。圖 19:大多數網絡釣魚活動將金融服務行業作為目標網絡釣魚攻擊受害者與攻擊活動活動受害者針對金融行業的網絡釣魚攻擊針對高科技行業的網絡釣魚攻擊針對媒體行業的網絡釣魚攻擊針對電商行業的網絡釣魚針對其他行業的網絡釣魚0%25%50%68.4%40.3%25.1%4.5%23.1%7.0%15.8%5.1%4.1%6.6%75%100%圖 19:大多數網絡釣魚活動將金融服務行業作為目標(2022 年第四季度
79、)網絡釣魚攻擊受害者與攻擊活動攻擊快車道:第 9 卷,第 1 期 SOTI34我們的研究發現,金融和高科技品牌在攻擊活動數量和受害者數量上都排名靠前(圖 19)。我們看到,針對金融服務客戶的攻擊占發起的攻擊活動總數的 40.3%,相應的受害者數量占受害者總數的 68.4%。這表明針對金融服務的攻擊在 2022 年第四季度影響巨大。在我們的金融服務業相關報告兵臨城下:針對金融服務領域的攻擊分析中,我們強調了網絡釣魚攻擊是如何謀取財務收益為動機,將金融服務業及其客戶作為主要攻擊對象。這類攻擊的潛在影響包括品牌及其名譽蒙損,以及客戶信任喪失。網絡釣魚還可能導致企業需要耗費大量資源來修復問題。2022
80、 年第四季度,有 23%的網絡釣魚活動針對電商領域。我們看到的攻擊活動數量多余實際受害者數量,但同樣應該引起注意,這表明該行業成為攻擊者的目標,用戶必須保持警惕,避免網絡犯罪分子竊取其個人信息或銀行信息。網絡釣魚工具包:助紂為虐網絡釣魚工具包的存在使得網絡釣魚規模龐大、日益嚴重。網絡釣魚工具包支持部署和維護釣魚網站,甚至支持非技術型詐騙者加入網絡釣魚攻擊者行列,實施網絡釣魚騙局。圖 20:網絡釣魚工具包(按 2022 年第四季度重復使用的天數列出)釣魚網站套件重復使用的天數0%20%40%60%80%100%54 天以上42 天以上35 天以上26 天以上20 天以上12 天以上8 天以上6
81、天以上4 天以上2 天以上圖 20:網絡釣魚工具包(按 2022 年第四季度重復使用的天數列出)釣魚網站套件重復使用的天數攻擊快車道:第 9 卷,第 1 期 SOTI35根據我們跟蹤現實環境中使用的 300 多種不同網絡釣魚工具包(用于發動新的攻擊活動)的研究,可以看出 2022 年第四季度,2.04%的受跟蹤工具包至少有 54 天(同一天內多次使用時,僅按一天統計)得到了重復使用(圖 20)。此外,55.5%的工具包被重復使用了至少四天,以發起新的攻擊活動,所有受跟蹤的工具包在 2022 年第四季度均被重復使用了不少于兩天(同一天內多次使用時,僅按一天統計)。結論和建議:主動出擊,應對現代攻
82、擊 我們已經介紹了威脅分組和攻擊者采用的方法,下面談談如何利用所有這些信息。首先是如何管理 DNS,具體方法可以是在內部管理,也可以是外包給第三方。對于規模較大或較為復雜的企業,請一家專門管理 DNS 的提供商代勞是比較合理的方案。無論如何,務必要監測 DNS 的性能和保護情況。接下來,您應該考慮需要的各種控制措施。DDoS 防護、惡意軟件攻擊、抓取、橫向移動和滲透都是抵御工作中需要關注的重要領域。在這段數據之旅的每一步中,尋找您可以阻止的安全漏洞這其實是一種通常稱為“網絡擊殺鏈”的網絡安全模型??紤]制定行動手冊,以應對本報告中介紹的攻擊技術。與您的滲透測試團隊或紅團核對,確定他們是否(在實驗
83、室環境中)使用與 Qakbot 和 Emotet 等 IAB、QSnatch 等爬蟲程序、LockBit 等勒索軟件相同的工具和技術,并且使用 Cobalt Strike 等工具。務必確保您的安全控制措施能夠有效地就這些類型的攻擊發出提醒,有效地加以阻止,還要確保您的團隊接受應對這些攻擊的培訓。如果在您的網絡中檢測到 Cobalt Strike,比較謹慎的做法是立即創建事件報告并開展調查。雖然有可能是您的紅隊在使用該工具(即便如此,也應調查和報告),但只要存在這種流量,就應該提起警惕,因為這可能表明其他 RaaS 攻擊團伙或攻擊者入侵,也表明您仍有抵御的機會??紤]您的安全運營中心的運營方式,確
84、定如何跟蹤可能表明 IAB 相關威脅在您網絡中偵查的進程(如 BITS、Wget 或 cURL)。關鍵的環節是弄清有哪些下載的運行,并及時阻止正在進行的下載。然后,調查觸發 IAB 的原因是 LNK 文件、宏還是 VScript?隨后探究入侵的源頭。敬請訪問我們的安全研究中心,隨時了解我們的最新研究資訊。攻擊快車道:第 9 卷,第 1 期 SOTI36方法 命令和控制攻擊流量 本報告中的數據由我們的 Secure Internet Access(SIA)產品生成,描述了命令和控制(C2)攻擊流量。SIA 是一種云端安全 Web 網關,旨在幫助用戶安全、輕松地將其設備連接到互聯網。本報告中使用了
85、兩組不同的數據,分別反映了來自擁有大量用戶的企業及具有個人家庭用戶的互聯網提供商的安全警報數據。此數據的衡量依據是受影響的設備數量和查詢數量。受影響的設備定義為:至少連接過已知、確定的 C2 域一次的設備。類似地,C2 查詢的定義是:連接過已知、確定的 C2 域的查詢。我們的安全團隊在內部使用這些數據來研究攻擊、識別惡意行為,從而向用戶發布相關通知,并為 Akamai 安全解決方案提供額外的情報。攻擊快車道:第 9 卷,第 1 期 SOTI37Akamai 支持并保護網絡生活。全球各大優秀公司紛紛選擇 Akamai 來打造并提供安全的數字化體驗,為數十億人每天的生活、工作和娛樂提供助力。Aka
86、mai Connected Cloud 是一種大規模分布式邊緣和云平臺,可使應用程序和體驗更靠近用戶,幫助用戶遠離威脅。如需詳細了解 Akamai 的云計算、安全和內容交付解決方案,請訪問 和 年 3 月|37致謝名單編輯與創作Or KatzEliad Kimhy Badette Tribbey審稿和主題撰稿Tanya Belousov Stiv Kupchik Shiran Guez Grace Wang Ophir Harpaz Steve Winterfeld數據分析Ronan BallantineGal Kochner Chelsea Tuttle營銷與發布Georgina Morales HampeShivangi Sahu更多互聯網現狀/安全性回顧往期報告,并關注 Akamai 備受好評的互聯網現狀/安全性后續報告。 Akamai 威脅研究關注最新的威脅情報分析、安全報告和網絡安全研究的動態。 轉載來源,并且保留 Akamai 徽標。 Akamai 解決方案如需詳細了解 Akamai 為應對針對企業的威脅提供的解決方案,請訪問我們的 Secure Internet Access Enterprise 頁面。面向消費者和中小企業市場的服務提供商可訪問面向 ISP 的 Secure Internet Access 服務。掃碼關注獲取最新CDN前沿資訊