没有什么比做预测更难的了,研究人员根据过去12个月所发生的事情,安全领域专家的知识和对APT攻击的观察研究,对未来做出如下预测。
假标志攻击
使用假标志已经成为几个APT中的一个重要元素,通常试图转移安全人员对攻击者的注意力——例如,在Lazarus恶意软件中使用俄语词汇,或WildNeutron使用罗马尼亚语词汇等。我们认为,假标志攻击将进一步发展,攻击者不仅希望规避追踪溯源,而且积极地将责任推给其他人。
其中也可能包括其他不相关的APT使用已建立的后门、盗窃和重复使用代码,或者故意泄露源代码让其他组织使用,进一步搅浑局面。除此之外,还应考虑攻击者在攻击和横向移动过程中使用从其他渠道购买的恶意软件、脚本、公开可用的安全工具或管理员软件,使溯源工作变得越来越困难。
从勒索软件到目标勒索软件
在过去的两年里,通用勒索软件攻击的数量有所下降,网络犯罪分子使用勒索恶意软件变得更具针对性,这些勒索软件攻击的重点是那些可能支付大笔款项以恢复数据的组织。我们称这种技术为“目标勒索软件”。
在这一年中,我们记录了几起攻击者使用目标勒索软件的案件,我们认为未来可能会有更激进的勒索企图。未来可能出现的趋势是,攻击者放弃使文件无法恢复的勒索形式,会以威胁发布数据的方式代替。
除了有针对性的勒索软件之外,网络罪犯也试图将攻击多样化,包括除了PC或服务器之外的其他类型的设备。例如,消费品中的勒索软件,如智能电视、智能手表、智能汽车/房屋/城市,勒索软件是从受害者身上获取经济利益的最有效工具。
新的网上银行和支付攻击
新的网络攻击可能会随着新的银行业法规出现,这些法规最近在整个欧盟全面生效。
PSD2(支付服务指令)规定了对提供支付服务公司的监管要求,由于银行将被要求向第三方开放其基础设施和数据,攻击者很可能会试图利用新的手段滥用这些新机制。
基础设施攻击和针对非PC目标攻击
一段时间以来,已确定攻击者一直在将其工具集扩展到Windows以外,甚至PC系统之外:例如,VPNFilter和Slingshot,目标网络硬件。攻击者一旦控制设备,可以极大提升攻击者的灵活性。他们可以选择大规模僵尸网络攻击方案,并将该网络用于不同的目标,或者可以利用僵尸网络接近选定的目标进行更多的秘密攻击。
有消息称,黑客已经渗透到全球至少10家手机电信公司的网络中,并已隐藏多年。他们能够在电信基础设施上部署自己的VPN服务。物联网设备的大量使用使得现实世界和网络世界融合,为攻击者提供了越来越多的机会。今年有报道称,不明身份的攻击者使用树莓派从美国宇航局喷气推进实验室窃取了500兆数据。去年12月,英国盖特威克机场(Gatwick airport)在其中一条跑道上方发现无人机后,因担心发生碰撞而停飞。由于使用了无人机,该国的部分关键基础设施陷于停顿。毫无疑问,此类攻击的数量将会增加。
亚欧贸易路线沿线地区的攻击增加
Clausewitz的格言“战争仅仅是政治通过其他方式的延续”,可以扩展到包括网络冲突,网络攻击反映了现实世界的紧张和冲突。比如,俄罗斯干涉美国选举的指控,以及担心在2020年大选前可能再次出现这一局面的担忧,我们在美国的起诉书中看到了所谓的中国黑客。
有几种方法可以解决这个问题。其中包括政治间谍活动的增长,因为各国政府都在寻求国内外的利益。在潜在或实际的经济危机和由此产生的不稳定局势中,也可能扩大到技术间谍活动。这可能导致亚欧贸易路线沿线的地区遭受新的袭击,其中包括土耳其、东欧和南欧以及东非。
很有可能看到立法和政策的变化,因为政府希望更清楚地界定什么是允许的,什么是不允许的。一方面,可以建立合理的规定政策,从而避免制裁。另一方面,可以更积极地使用技术,因为司法部门热衷于为不同类型的“合法拦截”提供方便,以便在计算机上收集证据。犯罪集团可能更多地使用加密技术,以及隐藏其行动。
近年来,我们看到了一些针对关键基础设施的攻击,这些攻击通常与地缘政治相关。虽然工业设施中大多数感染设备来自“主流”恶意软件,但这一事实本身突显了这些设施的脆弱性。尽管针对关键基础设施有针对性的攻击不太可能成为一种主流犯罪活动,但这一数字在未来还会增长。在一个物理和网络日益融合的世界里,地缘政治冲突正在上演,网络攻击为政府提供了一种介于外交和战争之间的手段。
攻击方法越来越复杂
很难知道顶级攻击者到底有多先进,他们手里有什么资源。例如,几年前我们观察到一个无休止的零日漏洞供给,攻击者随时准备为他们买单。今年,我们观察到谷歌在8月份公布过去两年中至少发现的14个iOS漏洞。
攻击者还可能使用非常规方法(如使用信令数据或Wi-Fi/4G)来过滤数据,特别是在使用物理植入物时。同样,相信未来会有更多的攻击者使用DoH(DNS over HTTPS)来隐藏活动。最后,有可能在未来几个月内,将开始发现更多的UEFI恶意软件。
移动攻击焦点转移
在过去的十年里,数字生活主要存储设备已经从个人电脑转移到了手机。攻击者很快就注意到了这一点,并开始专注于开发手机攻击工具。虽然我们一直在预测针对手机的攻击数量会大幅增加,但从观察到的情况并不能反映出这一推断。
上文连接中说到攻击者如何利用iOS中至少14个零日漏洞来攻击亚洲的某些少数群体,最近也看到了Facebook如何起诉以色列NSO公司,指控其滥用服务器(部署恶意软件拦截用户数据)。我们还看到了Android零day现在比iPhone更昂贵(根据Zerodium的价格表),所有这些都告诉我们攻击者在开发这些技术方面投入了大量资金。
个人信息滥用:从深度造假到DNA泄露
之前讨论过数据泄漏如何帮助攻击者制造更具说服力的社会工程攻击。并非每一个攻击者都有完整的潜在受害者的资料,这使得越来越多的泄露数据非常有价值,勒索软件攻击也是如此。
在一个记录数据不断增长的世界里,我们可以看到特别敏感的泄漏危险,例如在生物特征数据方面。所有这些听起来都十分超前,但它与通过社交媒体驱动选举广告的技巧非常相似。这项技术已经在使用中,一些攻击者利用它只是时间问题。
总结
未来有太多的可能性,我们的预测中可能会有许多预测不到的东西,攻击环境的复杂性提供了更多可能性。此外,没有一个研究管对能够完全了解APT攻击者的行动。我们将继续观察分析和预测APT的活动,了解他们使用的方法,同时提供对最新的分析报告。
原文PDF:Kaspersky Security Bulletin 2019. Advanced threat predictions for 2020 (PDF, English)
*参考来源:securelist,由Kriston编译,转载请注明来自FreeBuf.COM