压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

網(wǎng)絡(luò)犯罪分子現(xiàn)在可以使用更多的民族國家技術(shù)，發(fā)動更復(fù)雜高級的持續(xù)性攻擊。這對防御者來說是個壞消息。

在過去的幾年里，越來越多的網(wǎng)絡(luò)犯罪團伙開始使用曾經(jīng)通常由國家資助的團隊才使用的技術(shù)和程序。這種趨勢讓許多組織機構(gòu)措手不及，尤其是那些過去專注于防范普通惡意軟件的中小型企業(yè)。

高級持續(xù)威脅（advanced persistent threat, APT）這個術(shù)語通常用來描述有針對性的攻擊，在這種攻擊中黑客會使用定制或難以監(jiān)測的工具入侵系統(tǒng)，然后使用隱形技術(shù)（通常需要手動入侵）進行橫向移動。在歷史上，對間諜活動感興趣的團隊一直使用這種類型的方法，他們的目標(biāo)是能長時間不被發(fā)現(xiàn)，以便能夠觀察和竊取盡可能多的秘密。

與此同時，網(wǎng)絡(luò)犯罪團伙會從黑市購買惡意軟件，利用已知的漏洞，發(fā)動大規(guī)模攻擊，他們通常專注于迅速獲得投資回報，而不是關(guān)注隱身。網(wǎng)絡(luò)犯罪團伙與間諜團伙重要區(qū)別在于，他們有財務(wù)動機，比如直接從受害者的賬戶中竊取資金，盜取具有金錢價值的數(shù)據(jù)，迫使受害者支付贖金和偽造的罰款，等等。

然而，卡巴斯基實驗室(Kaspersky Lab)全球研究與分析團隊負責(zé)人Costin Raiu表示，最近發(fā)現(xiàn)的大多數(shù)重大網(wǎng)絡(luò)犯罪攻擊都使用了APT技術(shù)，因此技術(shù)邊界正在消失，而且這些犯罪分子正在相互學(xué)習(xí)。

現(xiàn)在一些網(wǎng)絡(luò)間諜人員經(jīng)常使用商業(yè)和公開的惡意軟件，使鑒定工作變得困難。對一些網(wǎng)絡(luò)犯罪團伙來說，隱身和手動入侵已經(jīng)成為他們行動的重要組成部分。例如，朝鮮的拉撒路集團(Lazarus group)是一個不尋常的APT集團，它曾從事間諜活動和破壞活動，但現(xiàn)在已轉(zhuǎn)向發(fā)動以金錢為導(dǎo)向的攻擊。過去幾年，該組織襲擊了世界各地的中央銀行和加密貨幣交易所，可能是為了給長期遭受全球經(jīng)濟制裁的朝鮮政府竊取資金。

同時像Carbanak這樣的網(wǎng)絡(luò)犯罪集團通過APT式攻擊，從世界各地的銀行和其他金融機構(gòu)竊取了數(shù)億美元。這些新的、更難以對付的網(wǎng)絡(luò)犯罪集團潛伏在受害者的網(wǎng)絡(luò)中長達數(shù)周或數(shù)月，以獲得足夠的訪問權(quán)限，并在發(fā)動攻擊之前就了解了該組織機構(gòu)的工作流程。

為什么APT格局會發(fā)生變化？

《網(wǎng)絡(luò)雇傭兵：國家、黑客和權(quán)力》一書的作者、卡耐基國際和平基金會網(wǎng)絡(luò)政策倡議主管，外交政策專家Tim Maurer表示：

我認為有兩個大趨勢正在導(dǎo)致這種變化。首先，一些國家實際上會允許犯罪分子從事某些類型的活動，只要是為了國家的利益。

長期以來，安全領(lǐng)域一直有傳言稱，俄羅斯等國的情報機構(gòu)正在直接或通過中間人與網(wǎng)絡(luò)犯罪分子達成有關(guān)情報行動的協(xié)議。2017年曝光的一個例子中，美國司法部起訴俄羅斯聯(lián)邦安全局(FSB)的兩名官員雇傭了一個臭名昭著的黑客入侵雅虎的網(wǎng)絡(luò)。

招募網(wǎng)絡(luò)犯罪分子參與情報活動，顯然會使雙方交換更復(fù)雜的技術(shù)、戰(zhàn)術(shù)和程序(TTPs)。之后他們可以將這些學(xué)到的東西用于犯罪活動中。然而，Maurer認為，這兩類群體之間的技術(shù)融合更能說明他認為更令人擔(dān)憂的第二個趨勢，那就是網(wǎng)絡(luò)能力的提升和攻擊者的激增。

我認為人們會不斷向最好的東西學(xué)習(xí)。有時犯罪分子在某些方面可能比他們所在的國家做的更好，有時國家的表現(xiàn)更好，而他們會互相學(xué)習(xí)。這是因為大量信息變得公開和全球化。

根據(jù)Maurer的說法，現(xiàn)在有更多的國家擁有比10年前更具攻擊性的網(wǎng)絡(luò)能力。為了獲得這些能力，一些州從網(wǎng)絡(luò)犯罪分子那里借用了惡意軟件工具，他們要么想變強，要么想掩蓋自己的活動。同樣，當(dāng)Shadow Brokers放出據(jù)信是NSA工具一部分的永恒之藍漏洞時，國家的和犯罪集團都將其整合到自己的行動中。

Maurer表示，隨著越來越多的州正在開發(fā)這些工具，就像永恒之藍一樣，犯罪分子會使用并復(fù)制這些工具。

然后犯罪分子會變得更先進，而一些剛剛加入這場游戲的州會開始使用更復(fù)雜的犯罪工具。這是一種惡性循環(huán)，只有具備足夠資源的公司才能應(yīng)對這種不斷進化的威脅。

網(wǎng)絡(luò)犯罪分子使用了怎樣的APT技術(shù)

現(xiàn)在很多網(wǎng)絡(luò)犯罪攻擊默認使用PowerShell和Windows系統(tǒng)上的其他應(yīng)用程序。在安全行業(yè)，這種策略也被賽門鐵克稱為 “就地取材” 式的攻擊(living off the land)。由于和傳統(tǒng)的惡意軟件程序不同，這些工具本身并不是惡意軟件，因此檢測起來更加困難。PowerShell被廣泛用于自動化系統(tǒng)管理任務(wù)中，盡管微軟已經(jīng)添加了限制其使用的選項，但是IT團隊不能完全禁用它，因為這會使他們的工作更加困難。

PowerShell的濫用還與近年來流行的另一種策略有關(guān)：無文件攻擊 (fileless attacks)。在這些攻擊中，黑客使用各種技術(shù)，如遠程線程注入、APC、Atom Bombing、進程挖空、本地shell代碼注入或反射加載，將惡意代碼注入在系統(tǒng)上運行的合法進程的內(nèi)存中。目標(biāo)是避免在磁盤上創(chuàng)建可能被殺毒軟件檢測到的二進制文件。

除了當(dāng)做初始負載之外，PowerShell還經(jīng)常用于實現(xiàn)持續(xù)感染，方法是將流氓腳本添加到系統(tǒng)注冊表中，或者添加到計劃的任務(wù)中，以便在重啟之后重新感染系統(tǒng)。這是因為當(dāng)系統(tǒng)關(guān)閉時，注入到其他進程內(nèi)存中的代碼會被清除。

FIN7是那些幾乎只通過無文件技術(shù)進行攻擊的網(wǎng)絡(luò)犯罪團伙之一，它可能是Carbanak集團的一個分支。雖然Carbanak以攻擊銀行和其他金融機構(gòu)而聞名，但其實FIN7的目標(biāo)主要是餐飲業(yè)和酒店業(yè)的零售商和公司。FIN7的攻擊目的是入侵銷售點系統(tǒng)(point-of-sale system)，竊取付款卡支付數(shù)據(jù)。美國司法部今年8月起訴了三名疑似FIN7高層人員的嫌犯，并表示該組織已經(jīng)攻擊了全美3600多個營業(yè)點中6500多個銷售點終端，竊取了超過1500萬的付款卡支付記錄。

網(wǎng)絡(luò)犯罪分子和國家資助的團隊還濫用免費工具和開源工具，這些工具本來是為了滲透測試等合法目的而設(shè)計的。這些工具包括Metasploit框架、PowerSploit框架、Empire PowerShell、Cobalt Strike框架和很多其他用于憑證轉(zhuǎn)儲、清除文件和其他操作的免費實用程序。

Raiu表示安全公司和惡意軟件研究人員面臨的最大問題之一是越來越多的群體正在濫用PowerShell，他們使用的很多腳本都是從GitHub和其他公共資源中復(fù)制的，因此很難找出發(fā)起攻擊的具體對象。

通過命令和控制服務(wù)器的注冊數(shù)據(jù)、與以往攻擊比較技術(shù)相似性、偶爾使用自定義工具（如鍵盤記錄程序、截屏軟件和漏洞利用程序等），可以將攻擊與特定團體聯(lián)系起來，但總的來說，攻擊來源變得越來越難以確定。

網(wǎng)絡(luò)犯罪集團發(fā)起的ATP攻擊會對企業(yè)產(chǎn)生什么樣的影響？

在制定IT安全策略和決定如何使用有限的安全預(yù)算時，商業(yè)上會使用威脅模型。這意味著他們要確定什么樣的威脅和攻擊者對他們的行業(yè)和系統(tǒng)構(gòu)成最大的風(fēng)險，并優(yōu)先安排資源來應(yīng)對這些風(fēng)險。因此，很多不是典型的網(wǎng)絡(luò)間諜活動目標(biāo)的公司，可能沒有針對APT制定有力的防御措施，因此現(xiàn)在面對新一輪的混合網(wǎng)絡(luò)犯罪攻擊存在盲點。

要監(jiān)測APT式攻擊，企業(yè)需要的不僅僅是端點殺毒軟件和防火墻。這些企業(yè)需要安全信息和事件管理(SIEM)以及高級端點檢測和響應(yīng)(EDR)解決方案。這些產(chǎn)品會監(jiān)視系統(tǒng)，網(wǎng)絡(luò)活動和記錄來監(jiān)控潛在的可疑行為并向安全團隊發(fā)出警報。

這意味著他們需要更多受過專門培訓(xùn)的員工，這對中小型企業(yè)來說可能是一個嚴(yán)重的問題，因為預(yù)算限制和網(wǎng)絡(luò)安全技能普遍不足。即使對能夠負擔(dān)得起這種解決方案的大型組織機構(gòu)來說，他們也常常難以處理大量的警報。這可能導(dǎo)致積壓和警報疲勞效應(yīng)，安全人員很容易因為警報的數(shù)量和頻率而忽略潛在的重要警報。

Raiu表示，不幸的是，公司經(jīng)常購買含有數(shù)百萬個威脅指標(biāo)的服務(wù)，每天生成數(shù)千個警報，而不是訂閱那些能捕捉真實威脅的小型服務(wù)。此外這些工具使用的服務(wù)的質(zhì)量，以及用于調(diào)查警報的資源也很重要。當(dāng)然，將所有這些任務(wù)外包給安全服務(wù)供應(yīng)商也是一種選擇，很多安全公司都向中小型企業(yè)提供此類服務(wù)。

根據(jù)Raiu的說法，企業(yè)應(yīng)該想到他們可能無法阻止復(fù)雜的持久性入侵，因此他們應(yīng)該關(guān)注那些能夠減少監(jiān)測和響應(yīng)此類入侵所需時間的解決方案。這需要完整的監(jiān)控解決方案，可以檢測網(wǎng)絡(luò)和Internet流量或端點行為中的異常。Raiu表示：即使是沒有大量預(yù)算的小型企業(yè)也可以這樣做。

Tim Maurer認為，對于中小型企業(yè)來說，遷移到云也可能是保護自己免受此類復(fù)雜攻擊的良好解決方案。因為他們能夠從從云計算供應(yīng)商的大型安全團隊具備的專業(yè)知識和技術(shù)中獲益。