老式攻击的强大持续性是如何进化而成的?

lucywang Web安全 2018年11月7日发布
Favorite收藏

导语:近日,趋势科技根据数据发现,老式攻击一直持续存在着,且生命力旺盛,比如垃圾邮件等传播方式依然强劲,而勒索软件攻击又焕发出新的活力,另外2018年第三季度的监测数据也显示,挖掘加密货币的恶意软件的新式攻击的数量也急剧增加。

近日,趋势科技根据所捕获的Smart Protection Network(SPN)数据和来自北美地区的Managed Detection and Response(MDR)的数据,发现老式攻击一直持续存在着,且生命力旺盛,比如垃圾邮件等传播方式依然强劲,而勒索软件攻击又焕发出新的活力,另外2018年第三季度的监测数据也显示,挖掘加密货币的恶意软件的新式攻击的数量也急剧增加。

然而,研究人员却发现,这些旧威胁一直持续存在着,且生命力旺盛,安防人员不要误解为幕后开发者或攻击者有满足于现状的迹象。事实上,这是他们在不断改进已被证明有效的工具和技术,以便在网络罪犯和安全提供商之间无休止的获取主动攻击权的征兆。

其中垃圾邮件是传播恶意软件的首选方法

1.jpg

2018年第三季度北美地区排名前15位的恶意软件

基于云安全智能防护网络(SPN)的监测数据,本季度北美地区排名前15位的恶意软件非常多元化。可以看到排名第一的是EMOTET恶意软件,其次是挖掘加密货币的恶意软件COINHIVE。木马POWLOAD和被称为AMCleaner的潜在不受欢迎的应用程序(potentially unwanted application ,PUA)分别排在第三和第四位。

利用欺诈性垃圾邮件实施钓鱼攻击,可以将许多攻击力很大的恶意软件的效用发挥大最大。另外,之所以钓鱼攻击很普遍,是因为它们很少需要复杂的工具才能进行攻击,而且它们之所以有效,是因为攻击者只需要了解人类的行为以及诱使毫无戒心的用户点击链接或下载恶意附件即可。

研究人员在第三季度发现的垃圾邮件攻击活动表明,攻击者已经在慢慢的改进钓鱼软件的传播方法。下面的三个示例显示了攻击者是如何以不同方式使用单个攻击向量。一种是典型的网络钓鱼尝试,所有的攻击元素都在这些类型的攻击中被发现;而另一种则使用仍然证明有效的旧恶意软件;最后一个示例涉及一种新的,巧妙的技术,利用电子邮件劫持和现有对话来攻击用户。

发生在加拿大的网络钓鱼活动

以发生在加拿大的网络钓鱼活动为例,看看攻击者是如何使用与税收相关的PDF文件作为诱饵的。与大多数网络钓鱼攻击一样,电子邮件是钓鱼攻击情形中使用的主要攻击入口。乍一看,该电子邮件来自似乎是合法的政府机构:“加拿大税务局(CRA)”,甚至还有一个PDF文档附件,文件名为CRA-ACCESS-INFO.pdf。此电子邮件包含一条伪造的虚假消息,通知收件人CRA已向他们发送了INTERAC电子转帐,可通过其中的说明转账或点击PDF中嵌入的链接来存入资金。

2.jpg

伪装成来自CRA的电子邮件的网络钓鱼攻击

如上图所示,PDF邮件正文包含一个“请存入资金”的标签,该标签链接到一个将受害者重定向到网络钓鱼页面的恶意URL。然后,网络钓鱼页面会检查受害者的有关IP地址的地理位置的信息。如果发现IP地址的地理位置与计划中的目标区域(比如本文中为北美)匹配,则会重定向到要求用户输入个人详细信息和财务凭据的页面,否则,它将重定向到YouTube。研究人员在北美地区看到的所有这类钓鱼攻击都有着非常一致的模式,所有攻击样本的电子邮件和附件都是相同的。

在电子邮件中找到的Interac公司是一个合法的加拿大借记卡公司,它将金融机构和其他企业联系起来,以便交换进行电子金融交易。Interac作为加拿大借记卡系统,具有广泛的可接受性,可靠性,安全性和效率。该组织是加拿大领先的支付品牌之一,平均每天使用它进行支付和兑换货币的次数达到1600万次,攻击者使用这样一个受大家信任的金融机构就增加了网络钓鱼邮件得“合法性”。

使用EMOTET有效载荷的垃圾邮件

EMOTET是随着时间的推移而发展的恶意软件的完美示例。

趋势科技的安全团队早在2014年首次发现EMOTET木马使用网络嗅探技术窃取数据,最初是一种银行木马,但在之后的几年里EMOTET表现得并不活跃且慢慢开始淡出人们的视线。

但在2017年8月份,趋势科技又发现了EMOTET,并详细介绍了EMOTET的四个完全不同类型的变种TSPY_EMOTET.AUSJLA、TSPY_EMOTET.SMD3、TSPY_EMOTET.AUSJKW、TSPY_EMOTET.AUSJKV,这些变种的攻击目标分别是美国、英国和加拿大。自2018年2月以来,Emotet一直在使用其加载程序功能来传播Quakbot系列恶意软件,该系列的行为模式类似于网络蠕虫。此外,Emotet还在传播Ransom.UmbreCrypt勒索软件和其他恶意软件(如DRIDEX)。Emotet还加强了其功能和策略,包括使用第三方开源组件。比如,Emotet在Google的原型程序上构建了一个通信协议,该协议使用Lempel-Ziv-Markov(LZMA)压缩,LZMA是一种用于执行无损数据压缩的链算法。

最近,研究人员又发现了大量的EMOTET垃圾邮件活动,使用各种社交工程方法来诱使用户下载和启动其恶意载荷,通常采用恶意MS Word或PDF文档的形式。

多态性和类蠕虫功能的结合使其能够快速传播到网络中,而无需任何其他用户交互。EMOTET的顽强生命力让任何专业的安全保护组织都感到棘手,特别是在考虑它可能对组织产生的影响时。除了信息窃取之外,EMOTET还可以对网络基础设施造成严重破坏并引发账户冻结,让企业蒙受金钱和声誉损失。

利用被劫持的电子邮件传播URSNIF

URSNIF是一种银行木马,会窃取敏感资料并在受影响的主机上收集数据,包括电子邮件凭证、证书、浏览器cookie和来自webinjects的财务信息。研究人员最近发现了一个新的攻击系列,该攻击系列利用被劫持的合法电子邮件来发送URSNIF。在今年9月监测到的恶意邮件活动却表明,攻击者正在采取更为复杂的网络钓鱼形式。该恶意活动会劫持电子邮件账户,并对邮箱中已有的邮件内容进行回复,在回复的内容中附带恶意软件。对已有邮件的回复,实际上是连续通信中的一部分,因此这种特殊的钓鱼方式难以被用户发现,也难以检测。通常,受害者都没有意识到他们正在遭受钓鱼邮件的威胁。这些攻击与今年早些时候Talos发现的URSNIF/GOZI恶意邮件活动非常相似,该恶意活动使用暗云僵尸网络中部分被劫持的计算机向已有邮件发送回信,很可能是URSNIF/GOZI恶意邮件活动的升级版本或演变版本。根据迄今为止收集到的数据,我们发现该恶意活动主要影响北美和欧洲地区,同时在亚洲和拉丁美洲地区也发现了类似的攻击。本次恶意活动的主要目标是教育、金融和能源行业。然而,此次恶意活动还影响到了其他行业,包括房地产、交通运输、制造业和政府。值得注意的是,恶意垃圾邮件是作为正在进行的对话的一部分发送的,这使得目标用户更难以检测到。此攻击系列与商业电子邮件攻击(BEC)有一些相似之处,但没有电汇欺诈。

勒索软件仍然生命力旺盛

3.jpg

2018年第三季度北美地区的勒索软件发展趋势

GandCrab勒索病毒是2018年所发现的最流行的一种病毒,它于2018年01月面世,短短几个月的时间,就迭代了3次。第一次是因为其C&C被安全公司控制而被大众所知,两个月后新版的GandCrab勒索病毒又出现,在这个版本中,开发者使用极具挑衅意味的C&C地址(C&C地址中包含针对警方和安全公司的字符内容)。而在今年的5月份, GandCrab又进行了第3次迭代,该版本结合了第一次版本与第二次版本的代码隐藏技术,更加隐蔽。第三版借助CVE-2017-8570漏洞进行传播,漏洞触发后会释放包含韩语“你好”字样的诱饵文档。与以往版本相比,该版本并没有直接指明赎金金额,而是要求用户使用Tor网络或者Jabber即时通讯软件与他们联系。

可以看出,它的加密和解密程序以及它在系统中的持久攻击性都得到了改进。勒索软件代码的更新和改进使其变得难以检测。GANDCRAB之所以能有效迭代,是因为它有各式各样的攻击入口,包括EMOTET钓鱼电子邮件、漏洞利用工具包,虚假应用程序和远程访问工具。

除了GANDCRAB,研究人员还在前五名中找到了其他熟悉的软件,包括BLOCKER,NEMUCOD,LOCKY和WCRY。与2018年第二季度相比,北美勒索软件的总体数量有所增加。

挖掘加密货币的恶意软件也日趋流行

4.jpg

2018年第三季度的挖掘加密货币的恶意软件,其中COINHIVE占了大部分

挖掘加密货币的恶意软件(cryptominer),已经成为2018年的最大威胁,在今年第一季度和第二季度这种攻击的趋势就有了明显增长,特别是在第三季度这种增长趋势更明显了,这是因为加密货币已被大众接受且其市场价值也在增加,这使其攻击价值进一步得到提升。

挖掘加密货币的恶意软件是将加密挖掘代码加载到受害者的计算机上,通常使用伪装的网络钓鱼电子邮件或将恶意代码注入网站和浏览器。一旦被感染,计算机就会大幅减速并出现性能问题,从而导致运行效率和硬件性能降低。

将勒索软件与挖掘加密货币的恶意软件进行比较

5.jpg

2018年勒索软件和挖掘加密货币的恶意软件之间的月度比较,请注意2018年8月勒索软件的开始大幅增长的趋势

在以前的文章中,研究人员曾讨论了勒索软件与其他威胁相比如何下降的问题,尤其是与挖掘加密货币的恶意软件和信息窃取程序相比。但奇怪的是,研究人员观察到2018年第三季度挖掘加密货币的恶意软件增速却下降了,而勒索软件再次出现大幅增长,特别是在8月份,它的政府竟然高于挖掘加密货币的恶意软件。

经过分析,这个趋势主要得益于某些勒索软件的变异使用,特别是GANDCRAB的变异再使用,这可以解释勒索软件在此期间的上升趋势。特别是Fallout漏洞利用工具包的使用,它提供了额外的传播方法,扩大了勒索软件的攻击范围。在2018年8月底,Fallout漏洞利用工具包首次被发现,它被安装在被黑客攻击的网站上,并试图利用访问者计算机上的漏洞,这些可被利用的漏洞是Adobe Flash Player(CVE-2018-4878)和Windows VBScript引擎(CVE-2018-8174),它被用于传播GandCrab勒索软件以及其他恶意软件,下载木马程序以及其他用户可能不需要的程序(PUP)。该工具包将首先尝试利用VBScript,如果禁用脚本,则会尝试利用Flash Player漏洞。

文件漏洞:EternalBlue和MS Office漏洞利用

严重的漏洞会给组织带来了无法计量的损失,它们不仅会让设备对隐蔽的攻击毫无防范能力,而且检测和更新设备的漏洞通常会分散有限的安全资源,并将IT管理员的注意力发生转移。

根据研究人员捕获的数据,2018年的前10个文件漏洞如下所示。

6.jpg

2018年检测到的最流行的10个漏洞

大多数漏洞(包括2018年观察到的一半以上)和CVE-2017-0147有关,该漏洞便是“永恒之蓝”漏洞,它是2017年泄露的NSA网络武器库中的一款攻击程序,其中利用了多个Windows SMB服务的零日漏洞。这是与EternalBlue漏洞相关的漏洞,并在WannaCry勒索软件出现期间成为最重要的被利用的漏洞。另外是两个相对较新的漏洞:潜伏17年之久的Office远程代码执行漏洞(CVE-2017-11882)以及CVE-2017-0199漏洞。这两个漏洞都是利用的MS Office产品,通常涉及垃圾邮件,其中CVE-2017-11882漏洞为Office内存破坏漏洞,影响目前流行的所有Office版本。

不出所料,由于CVE-2017-0147在各种Windows版本中滥用SMB漏洞,微软Windows成为最具针对性的应用程序,与第二和第三大流行漏洞也与Windows有关。

7.jpg

受漏洞影响最严重的行业,除了前六名,还包括材料、餐饮、电信和房地产等行业

根据研究人员的监测数据,2018年前三个季度受影响最大的行业是医疗保健、制造和技术开发行业。这个趋势在第一季度特别高,但从第二季度开始下降。虽然医疗保健在最初几个月的漏洞检测方面高居榜首,但在第二季度明显下降,并在第三季度略有回升。

虽然大多数漏洞都是过去四年发现的,但研究人员也可以观察到追溯到2003年的旧漏洞,可见及时升级漏洞是多么的重要。

缓解措施

为了实现最高级别的保护,企业组织及其安全团队必须始终主动保护其网络和终端,不仅要预防新的攻击威胁,还要保护使用改进攻击方法的老式攻击。

对于拥有较小安全团队且可能无法处理更高级威胁的企业而言,这可能是个难题。通常,一个企业的内部IT部门也是他们的安全团队,然而这意味着IT部门在日常任务完成之后,还要进行安防这样的额外工作,所以建议没有专业安全团队的公司使用外包安全服务。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/gathering-insights-on-the-reemergence-and-evolution-of-old-threats-through-managed-detection-and-response/如若转载,请注明原文地址: http://www.4hou.com/web/14349.html
点赞 1
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论