病毒四处告白,《2021安全事件响应观察报告》帮你搞懂那个“TA”

发布者:绿盟科技
发布于:2022-02-15 21:56

网络病毒在情人节四处告白

钓鱼网站又来打劫“浪漫经济”

绿盟君特为大家送上情人节安全守则

《2021安全事件响应观察报告》精华解读

帮你读懂那个“TA”


2021年网络攻击对象的特征明显,关键基础设施仍为重灾区。网络攻击“实战化”是大势所趋。在利益的驱动下,数据窃取、勒索、挖矿等黑产威胁持续升级,钓鱼攻击成为网络入侵的利器。技术不断革新发展,大数据、物联网、人工智能、移动支付等新兴技术在助力数字化业务转型升级的同时,也暴露出全新的安全风险。



定向的钓鱼攻击行为持续增长,针对性增强


在绿盟科技2021年处理的应急事件中,钓鱼事件(钓鱼攻击、钓鱼网站、钓鱼邮件等)占26%。尽管人们对于钓鱼的防范意识逐渐增强,但钓鱼手段也在与时俱进。从2021年的案例中可以发现,钓鱼攻击依然防不胜防。


在钓鱼手法方面,攻击者逐渐不满足于广撒网式的垃圾邮件,而倾向于社会工程和技术性欺诈更高的鱼叉式网络钓鱼,即针对特定组织内执行特定任务的个体,通过获取其个人身份信息或网络访问凭据等敏感数据,编写非常准确和引人注目的电子邮件。目标受害者一旦点击恶意链接或打开附件就为攻击者完成非法行为提供了条件。


某些案例中,攻击者通过暴力破解、购买数据泄露的账号密码等方式攻击投资公司、企业服务类公司,获取客户经理、管理人员、客户运营人员的邮箱权限。拿到权限后,攻击者会收集客户信息,筛选相关邮件,以回复邮件信息的方式精准钓鱼部分客户,钓鱼邮件中包含了伪造的企业官网链接、含恶意代码的附件或者虚假的付款方式。

攻击案例示意图


而针对安全研究人员的钓鱼攻击则主要借助社会工程学来实施,2021年 Lazarus APT 组织就通过在各种社交平台创建安全研究人员的账号,提升这些账号的可信度,之后开始联系一些安全研究人员并以向他们发送恶意样本的形式发起了攻击。


这些复杂、具有针对性的攻击手段逐渐进入攻击组织视野,这体现了网络犯罪策略的明显转变。犯罪分子不再需要通过大量垃圾邮件进行活动,如果能做足功课,且采用精准、精心制作、看似合法的鱼叉式网络钓鱼电子邮件甚至不采用邮件的形式来传播恶意样本,通常该针对性攻击的回报更高。



供应链安全形势日益严峻


全球化趋势也带动着供应链的全球化发展,这不仅扩大了攻击者在互联网的攻击面,还增加了这些攻击可能造成的潜在影响范围以及危害程度。由于供应链攻击的超强破坏性,在未来的互联网发展过程中,将会有越来越多的黑客或者APT组织参与到供应链攻击中。


软件供应链可以分为开发、交付、运行三大环节,当上游开发商的产品出现安全漏洞时,受影响的不仅是开发商,还包括了众多第三方客户,可造成的破坏范围极广,甚至可以借助开发商的签名隐藏自身,难以防范。黑客同样也注意到了供应链攻击的优势,导致近年类似“SolarWinds供应链攻击”这样影响极广的攻击事件频发。


许多应用系统基于开源或商业化的框架组件进行开发,因此当某些主流的框架被爆出存在安全漏洞时,实际影响会非常广泛,如Fastjson、shiro、Chromium等。2021年Chrome的两个RCE漏洞,存在漏洞的Chromium内核间接影响了多个浏览器和广泛使用的商业软件。漏洞可利用的方式和环节多样,易造成软件供应链攻击。


2021年12月9日,绿盟科技应急响应中心监测到网上披露了“史诗级”漏洞log4shell,由于Apache Log4j的lookup功能存在递归解析功能,在进行日志记录时可实现JNDI注入,未经身份验证的攻击者可以通过发送特别构造的数据请求包控制部分日志内容,当程序将用户输入的数据进行日志记录时将触发此漏洞,从而在目标服务器上执行任意代码。


MVN引用Log4j2的项目数


Apache Log4j2是一款开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中,用来记录日志信息。根据MVN Repository显示,有接近7000个项目直接引用了log4j2,间接引用Log4j2的项目超过16万个。由此引发安全和IT行业的轩然大波,受影响的软件厂商众多,引起对供应链安全的深入思考与担忧。



黑产攻击手法更加成熟


通过对2021年勒索事件进行观察发现,勒索攻击手段趋于多样化、复杂化。勒索软件攻击技战术中包含了凭证访问、横向移动、探测、持久化、防御规避等,其中需要注意的是49%的勒索软件攻击有防御规避的迹象,如今的勒索攻击不仅仅局限于简单的扫描爆破然后加密,还使用了更为复杂的手段,在隐蔽自身的同时进行战果扩大化。


勒索软件攻击技战术


Conti 勒索软件是以勒索软件即服务(RaaS)的方式进行的,核心团队负责管理恶意软件和Tor站点,而招募的附属机构负责破坏网络和加密设备。2021年8月,一位 Conti 勒索软件附属机构成员泄露了该勒索团伙进行勒索实施攻击的相关信息,包括C2服务器的IP地址和一个113MB的档案,其中包含许多工具和进行勒索软件攻击的培训材料。


Conti勒索培训材料


材料内容包含内网扫描、提权、接管域控制器、配置和使用Cobalt Strike,通过配置Rclone与MEGA进行数据泄露、AnyDesk配置、隧道使用、密码转储、禁用Windows Defender等。手册中还详细教学了如何上传数据以及选取哪些数据上传。“标准化”的勒索教学材料,反映了如今黑产团伙产业化的运作模式和武器化的攻防手法。



声明:该文观点仅代表作者本人,转载请注明来自看雪