中文字幕无码久久精品,13—14同岁无码A片,99热门精品一区二区三区无码,菠萝菠萝蜜在线观看视频高清1

您當前的位置是:  首頁 > 資訊 > 國內(nèi) >
 首頁 > 資訊 > 國內(nèi) >

一文讀懂2020需要關注的網(wǎng)絡威脅,文末福利!

2020-05-15 14:36:37   作者:   來源:CTI論壇   評論:0  點擊:


  過去十年間,思科面向關注全球網(wǎng)絡安全態(tài)勢的網(wǎng)絡安全專家發(fā)布了大量具有權威性的安全及威脅情報信息。這些綜合性報告不僅詳細描述了相關的威脅態(tài)勢以及它們對企業(yè)的潛在影響,還列出了能夠有效抵御數(shù)據(jù)泄露所產(chǎn)生的不良影響的最佳實踐。
  有些網(wǎng)絡犯罪分子在制定攻擊計劃時,會以特定的組織為目標。不管出于哪種原因,他們都很清楚兩件事:攻擊目標和潛在回報。一旦明確了攻擊目標,幾乎沒有什么能阻擋他們。
  網(wǎng)絡犯罪分子像是沉迷于一場數(shù)字游戲。
  他們不管被攻擊的對象是組織還是個人,只是希望盡可能擴大被攻擊者的數(shù)量,前提是他們能夠獲得他們想要的最終結果。
  例如,在 2019 年首次出現(xiàn)的 DNS 劫持事件中,惡意攻擊者正是通過控制部分特定 DNS 條目來發(fā)動攻擊,悄無聲息地將無防備的訪問者從合法系統(tǒng)重定向到惡意系統(tǒng),以期對方安裝惡意軟件或攔截保密資料及憑證。
  DNS 劫持
  DNS,全稱域名系統(tǒng)(Domain Name System),用于將人類可讀的域名(例如www.example.com)轉(zhuǎn)換成機器可讀的 IP 地址(例如 208.67.222.222)。
  使用 DNS 的過程與圖書管理員幫你找書的過程非常類似。輸入一本書的名稱,DNS “圖書管理員”會將其轉(zhuǎn)換為一個 IP 地址,然后在書架上搜索這個 IP 地址,然后帶你到對應的網(wǎng)站。
  思科的威脅情報研究團隊 Cisco Talos 一直密切關注 DNS,而且我們在 2019 年也發(fā)現(xiàn)了多起利用 DNS 劫持發(fā)起的惡意攻擊。
  然而 DNS 攻擊的關鍵在于,它們不會直接面向指定目標發(fā)動攻擊,而是將圖書管理員作為攻擊對象。圖書管理員沒有將你帶到目標書籍的正確存放位置,而是把你帶去一個完全不同的地方。
  更糟糕的是,你可能根本不知道自己打開的是一個錯誤的網(wǎng)站。
  就這樣,在你毫無防備的情況下抵達惡意服務器后,便會馬上成為任由惡意攻擊者擺布的受害者。惡意攻擊者可能會嘗試安裝惡意軟件,收集你的用戶名和密碼,或者隱蔽地充當惡意站點和合法站點之間的中間人,并攔截你出于其他目的(即身份盜用、勒索…)而訪問的所有數(shù)據(jù)。
  Sea Turtle(“海龜”)便是由控制 TLD(頂級域)的組織發(fā)起的一種 DNS 劫持案例。案例中的惡意攻擊者正是利用多個系統(tǒng)漏洞控制了整個域的域名服務器。
  這樣一來,惡意攻擊者便能對根據(jù) DNS 請求返回的 IP 地址施加控制。它在完成一臺惡意域名服務器的設置后,就能選擇何時將針對特定域名的請求發(fā)送至合法站點或惡意站點。
  Sea Turtle(“海龜”)攻擊流程圖
  此外,網(wǎng)頁郵件服務器的 DNS 記錄被更改也屬于 Sea Turtle 攻擊的一部分。惡意攻擊者由此便可以攔截用戶登錄網(wǎng)頁郵件系統(tǒng)的連接,這樣不僅可以捕獲用戶憑證,還可讀取網(wǎng)頁郵件系統(tǒng)和用戶之間所傳遞的所有數(shù)據(jù)。
  DNS 劫持是一種非直接攻擊案例,對隱藏在幕后的惡意攻擊者來說,他們的真正目標并非某個特定的組織,而是整個互聯(lián)網(wǎng)的基礎設施。
  2020 年態(tài)勢分析
  今年,“海龜” DNS 劫持行動的幕后黑手并沒有放慢腳步。Talos 團隊發(fā)現(xiàn)的一些新細節(jié)也暗示出這些惡意攻擊者在我們發(fā)布有關 Sea Turtle 的初步發(fā)現(xiàn)后已經(jīng)重整旗鼓,并且針對新的基礎設施方面發(fā)動了更為猛烈的攻擊。
  許多惡意攻擊者在被發(fā)現(xiàn)之后便會暫時放慢攻擊的步伐,但是這個團體卻異常明目張膽。針對這種情況,我們建議重點關注 DNS 安全技術和多因素身份驗證技術,以落實更為嚴格的身份認證流程。
  遠程訪問木馬(RATs)
  想象一下……
  你就職于一家即將發(fā)布全新產(chǎn)品的知名科技公司,在產(chǎn)品發(fā)布前,你要嚴守相關機密信息。但很遺憾,有人入侵公司系統(tǒng),并盜取了這款新品的敏感數(shù)據(jù)。
  可被惡意攻擊者用來盜取公司數(shù)據(jù)的有力武器可能有很多種。下載程序,管理工具,以及資訊盜竊程序,很多時候都是催生此類攻擊的重要原因。
  但在類似上述攻擊場景中,惡意攻擊者通常會在一種簡稱為“RAT”的遠端控制木馬程序的協(xié)助下發(fā)起攻擊。
  如何借助 RAT 發(fā)動惡意攻擊呢?
  身為一種工具,RAT 所具備的功能可謂豐富至極。如果惡意攻擊者的目標是竊取財務數(shù)據(jù),那么他們可以借助一個 RAT,通過一臺被入侵的計算機獲取銀行信息,或者通過安裝鍵盤記錄程序來收集信用卡賬號。
  RAT 程序的組成部分
  許多 RAT 都能獲取到用戶已保存和緩存的密碼,一旦掌握了用戶名和密碼,惡意攻擊者便能試著登錄到共享服務器。
  謹記一點,大部分 RAT 程序都能對已被入侵系統(tǒng)的命令行進行訪問。惡意攻擊者可借助相應的管理權限來控制 RAT,讓它執(zhí)行惡意攻擊者計劃執(zhí)行的任何操作,例如安裝和刪除文件或安裝鍵盤記錄程序。
  RAT 入侵系統(tǒng)的方式并不存在任何特殊之處。RAT 的分布方式與其他類型的惡意軟件大致相同:它們都與其他常見的攻擊媒介一道以電子郵件為發(fā)送載體,被植入程序植入系統(tǒng), 并被設置為漏洞攻擊工具的有效載荷。
  2020 年態(tài)勢分析
  Talos 在去年夏天就發(fā)現(xiàn):在針對政府實體、金融服務組織、信息技術服務商和咨詢公司發(fā)起的各種惡意軟件分發(fā)活動中,攻擊者一直在不斷地利用 RevengeRAT 和 Orcus RAT。
  與這些活動有關的幾種獨特戰(zhàn)術、 技術和程序(TTP),包括:
  使用與“無文件”惡意程序存在最普遍關聯(lián)的持久性技術
  • 旨在掩蓋 C2 基礎架構的迷亂技術
  • 旨在繞過自動分析平臺(如惡意程序沙箱)的規(guī)避手段
  • 由于網(wǎng)絡犯罪分子會繼續(xù)擴展 RAT 的用例范圍,因此它們在今年勢必構成威脅。
  • 藏匿在加密流量中的威脅
  惡意攻擊者一旦成功入侵目標組織,他們最不想遇到的情況就是自己的流量被網(wǎng)絡監(jiān)控工具監(jiān)控到。所以現(xiàn)在的很多威脅都會借助加密流量來應對。
  從惡意攻擊的角度來看,威脅加密的手段也十分繁多。從命令控制(C2)通信到數(shù)據(jù)的盜取,惡意攻擊者都會通過加密來隱藏惡意流量。
  銀行木馬對其正在竊取的數(shù)據(jù)進行加密
  如何能夠檢測到惡意加密流量呢?
  流量指紋技術就是捕捉惡意加密流量的方法之一。這項技術能夠監(jiān)控您網(wǎng)絡中的加密數(shù)據(jù)包,并尋找與已知惡意活動相匹配的攻擊模式。
  但由于惡意攻擊者能夠輕而易舉地將隨機或虛擬數(shù)據(jù)包嵌入其流量,以掩蓋可能留下的指紋,所以這項技術不足以捕捉所有惡意加密流量。在這種情況下如果要準確識別出惡意流量,就需要求助其他檢測技術,例如可識別更復雜惡意連接的機器學習算法。
  威脅可能仍然會想盡各種辦法來規(guī)避一些機器學習檢測方法,因此我們建議用戶采用分層方法,綜合多種技術。
  2020 年態(tài)勢分析
  通過加密流量發(fā)動的威脅持續(xù)加劇。根據(jù)思科收集到的數(shù)據(jù)資料,思科 Stealthwatch  發(fā)現(xiàn)的所有威脅事件有 63% 是在加密流量中發(fā)現(xiàn)的。
  由于整個行業(yè)不太可能放棄使用 https 技術,因此企業(yè)千萬不能輕視這項加密技術,因為它很可能會成為被一些網(wǎng)絡犯罪分子進行嘗試并有效利用的一種策略。
  Office 365 釣魚攻擊
  現(xiàn)代辦公已然離不開 Office 365,通過 outlook 郵件我們可以和同事隨時溝通。
  殊不知,或許我們的對話內(nèi)容已經(jīng)被惡意入侵者所掌握,因為他們已經(jīng)成功破壞了企業(yè) Office 365 的正常使用。簡單說,就是他們會攔截并回復你發(fā)送給同事(比如xxx@cisco.com)的電子郵件。
  惡意攻擊者用來獲取 Office 365 帳戶訪問權限的方法通常簡單粗暴,這將產(chǎn)生一些系列連鎖反應。
  網(wǎng)絡釣魚攻擊通常以貌似來自 Microsoft 的電子郵件為載體。這種電子郵件中包含一個登錄請求,包括提醒用戶重設密碼,最近是否登錄過賬戶,或帳戶存在問題,需要他們注意。郵件中還包含一個 URL,郵件閱讀者為了解決提到的問題,很可能會點進去。
  在成功發(fā)起的 Office 365 網(wǎng)絡釣魚攻擊中,用戶輸入的登錄信息會被惡意攻擊者盜取。整個偽造的網(wǎng)頁上沒有任何有用的信息,只是提示用戶登錄信息錯誤,或?qū)⒂脩糁匦聨Щ氐秸嬲?Office 365 登錄頁面。
  Office 365 釣魚郵件示例
  在完成這一系列操作之后,大多數(shù)用戶都不會知道自己的登錄信息已被盜取。
  為了讓局面更加復雜,惡意攻擊者經(jīng)常會使用一種“會話劫持”的伎倆,就像前面提到的攻擊場景一樣,攻擊者正是通過對已進入被攻擊收件箱的電子郵件進行回復,來釋放他們的惡意有效載荷。
  2020 年態(tài)勢分析
  ESG 代表思科展開的一項最新研究表明,超過 80% 的被訪者都提到了自己就職的企業(yè)都在使用類似 Office 365 的 SaaS 電子郵件服務。但是,仍有 43% 的被訪者反映,在使用此類服務之后,他們反而需要通過一系列補充的安全技術來支撐他們的郵件防御系統(tǒng)。
  Verizon 在其發(fā)布的《2019 年數(shù)據(jù)泄露調(diào)查報告》中提到,網(wǎng)絡釣魚是迄今為止成功率最高的一種威脅載體。去年,在近三分之一(32%)的數(shù)據(jù)泄密事件中,網(wǎng)絡釣魚是主要的攻擊武器。
  社交媒體和網(wǎng)絡黑市
  你還以為網(wǎng)絡犯罪行為都發(fā)生在互聯(lián)網(wǎng)深處的隱秘角落里,需要通過復雜軟件和廣泛授權才能訪問嗎?事實并非總是如此。
  網(wǎng)絡犯罪活動已經(jīng)開始出現(xiàn)在社交網(wǎng)絡!
  Talos 的研究人員在 2019 年初就發(fā)現(xiàn)了包含數(shù)十萬名成員,且以 Facebook 為公開活動平臺的多個網(wǎng)絡犯罪群組。這些群組通過社交媒體平臺與其他犯罪分子進行聯(lián)系,共享并出售各種工具、技術以及盜取的數(shù)據(jù),犯罪分子之間有時也會互相訛詐。
  更想不到的是,有些已存在至少八年!
  網(wǎng)絡安全研究員 Brian Krebs 最近就曝光了 120 個具有類似性質(zhì)的網(wǎng)絡群組,成員總數(shù)大約在 30 萬名。雖然這些群組名義上已經(jīng)停止活動,但從 Talos 在 2019 年匯報給 Facebook 的群組數(shù)量來看,這似乎并沒有影響此類活動成員數(shù)量的增長。
  而且社交媒體平臺不僅已經(jīng)成為犯罪分子共商犯罪大計的重要場所,還變成了犯罪分子買賣工具的交易市場,包括針對如何發(fā)動攻擊提供相應的培訓。
  2020 年態(tài)勢分析
  2019年底,我們在 Facebook 上快速檢索了 幾個比較明顯的群組名稱,例如“ Spamprofessional(垃圾郵件專家)”,“ Spamand hackers(垃圾郵件和黑客)”,發(fā)現(xiàn)這些群組仍然存在,而且每天都有好幾條新的發(fā)帖記錄。作為一個網(wǎng)絡安全社群,我們不僅將繼續(xù)向 Facebook 報告這些群組的存在, 還會與 Facebook 聯(lián)手,實現(xiàn)更多突破。
  數(shù)字勒索詐騙
  某天,你突然收到一封標題包含你用戶名和密碼的電子郵件,郵件的正文內(nèi)容讓你感到慌張:發(fā)件人在郵件里說他已經(jīng)入侵了一個色情網(wǎng)站,而且發(fā)現(xiàn)你訪問過這個網(wǎng)站?!
  然后,詐騙者會告訴你他們已經(jīng)控制了你的顯示器和網(wǎng)絡攝像頭,記錄了你的個人資料和色情資訊,并對這兩段視頻流進行了同步處理。
  更令你不安的是,詐騙者還聲稱他們已經(jīng)通過你的社交媒體帳戶和電子郵件收集了所有聯(lián)系人信息,在郵件結尾,還巧妙地暗示:如果他將視頻發(fā)給聯(lián)系人,你將會多么難堪。
  接下來,詐騙者會說自己并非不近人情,想清除這些內(nèi)容并非難事,你只需支付價值 1000 美元的比特幣,就能讓這些全部消失。
  這看起來像敲詐,但也不排除虛張聲勢的成分。
  在這個案例中,電子郵件所聲稱的內(nèi)容都是虛假的:他們沒有入侵任何網(wǎng)站,沒有控制你的網(wǎng)絡攝像頭,也沒有盜取任何聯(lián)系人資料,而是在巧妙地利用人類的復雜情緒以及內(nèi)心深處的罪惡感。
  此外,還有另外一大批網(wǎng)絡釣魚活動,他們的目標是通過誘騙大量收件人來幫助敲詐者獲利。為了增加郵件的真實感,他們會在郵件里加入真實的用戶名和/或密碼。其實,敲詐者的真實意圖則是想通過之前竊取的數(shù)據(jù)牟利。
  這些郵件中還包含大量技術行話。這并不是說遠程訪問你的桌面或網(wǎng)絡攝像頭是不可能發(fā)生的事(但它的確發(fā)生了),而是根據(jù)詐騙者所描述的方式,他們想要訪問您桌面或網(wǎng)絡攝像頭的可能性還是微乎其微的。
  2020 年態(tài)勢分析
  即使勝算很低也能獲利,因此數(shù)字勒索仍然是當下常見的一種攻擊模式。下圖就為我們展示了最近出現(xiàn)的一個數(shù)字勒索案例。
  近期出現(xiàn)的數(shù)字勒索郵件示例
  思科專家建議
  思科“零信任”安全解決方案,保護企業(yè)中員工、工作負載和工作場所的訪問安全。是一種全面的安全方法,可確?缇W(wǎng)絡,終端、應用和云的所有訪問安全。點擊“閱讀原文”,了解完整安全解決方案。
  免費試用
免費為您的網(wǎng)絡進行安全檢查 
免費試用郵件安全方案 
   免費試用思科終端安全
  AMP for Endpoints 軟件 /
【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

專題

CTI論壇會員企業(yè)