关于2020年的安全预测
没有什么比做预测更难的了,研究人员根据过去12个月所发生的事情,安全领域专家的知识和对APT攻击的观察研究,对未来做出如下预测。
假标志攻击
使用假标志已经成为几个APT中的一个重要元素,通常试图转移安全人员对攻击者的注意力——例如,在Lazarus恶意软件中使用俄语词汇,或WildNeutron使用罗马尼亚语词汇等。我们认为,假标志攻击将进一步发展,攻击者不仅希望规避追踪溯源,而且积极地将责任推给其他人。
其中也可能包括其他不相关的APT使用已建立的后门、盗窃和重复使用代码,或者故意泄露源代码让其他组织使用,进一步搅浑局面。除此之外,还应考虑攻击者在攻击和横向移动过程中使用从其他渠道购买的恶意软件、脚本、公开可用的安全工具或管理员软件,使溯源工作变得越来越困难。
从勒索软件到目标勒索软件
在过去的两年里,通用勒索软件攻击的数量有所下降,网络犯罪分子使用勒索恶意软件变得更具针对性,这些勒索软件攻击的重点是那些可能支付大笔款项以恢复数据的组织。我们称这种技术为“目标勒索软件”。
在这一年中,我们记录了几起攻击者使用目标勒索软件的案件,我们认为未来可能会有更激进的勒索企图。未来可能出现的趋势是,攻击者放弃使文件无法恢复的勒索形式,会以威胁发布数据的方式代替。
除了有针对性的勒索软件之外,网络罪犯也试图将攻击多样化,包括除了PC或服务器之外的其他类型的设备。例如,消费品中的勒索软件,如智能电视、智能手表、智能汽车/房屋/城市,勒索软件是从受害者身上获取经济利益的最有效工具。
新的网上银行和支付攻击
新的网络攻击可能会随着新的银行业法规出现,这些法规最近在整个欧盟全面生效。
PSD2(支付服务指令)规定了对提供支付服务公司的监管要求,由于银行将被要求向第三方开放其基础设施和数据,攻击者很可能会试图利用新的手段滥用这些新机制。
基础设施攻击和针对非PC目标攻击
一段时间以来,已确定攻击者一直在将其工具集扩展到Windows以外,甚至PC系统之外:例如,VPNFilter和Slingshot,目标网络硬件。攻击者一旦控制设备,可以极大提升攻击者的灵活性。他们可以选择大规模僵尸网络攻击方案,并将该网络用于不同的目标,或者可以利用僵尸网络接近选定的目标进行更多的秘密攻击。
有消息称,黑客已经渗透到全球至少10家手机电信公司的网络中,并已隐藏多年。他们能够在电信基础设施上部署自己的VPN服务。物联网设备的大量使用使得现实世界和网络世界融合,为攻击者提供了越来越多的机会。今年有报道称,不明身份的攻击者使用树莓派从美国宇航局喷气推进实验室窃取了500兆数据。去年12月,英国盖特威克机场(Gatwick airport)在其中一条跑道上方发现无人机后,因担心发生碰撞而停飞。由于使用了无人机,该国的部分关键基础设施陷于停顿。毫无疑问,此类攻击的数量将会增加。
亚欧贸易路线沿线地区的攻击增加
Clausewitz的格言“战争仅仅是政治通过其他方式的延续”,可以扩展到包括网络冲突,网络攻击反映了现实世界的紧张和冲突。比如,俄罗斯干涉美国选举的指控,以及担心在2020年大选前可能再次出现这一局面的担忧,我们在美国的起诉书中看到了所谓的中国黑客。
有几种方法可以解决这个问题。其中包括政治间谍活动的增长,因为各国政府都在寻求国内外的利益。在潜在或实际的经济危机和由此产生的不稳定局势中,也可能扩大到技术间谍活动。这可能导致亚欧贸易路线沿线的地区遭受新的袭击,其中包括土耳其、东欧和南欧以及东非。
很有可能看到立法和政策的变化,因为政府希望更清楚地界定什么是允许的,什么是不允许的。一方面,可以建立合理的规定政策,从而避免制裁。另一方面,可以更积极地使用技术,因为司法部门热衷于为不同类型的“合法拦截”提供方便,以便在计算机上收集证据。犯罪集团可能更多地使用加密技术,以及隐藏其行动。
近年来,我们看到了一些针对关键基础设施的攻击,这些攻击通常与地缘政治相关。虽然工业设施中大多数感染设备来自“主流”恶意软件,但这一事实本身突显了这些设施的脆弱性。尽管针对关键基础设施有针对性的攻击不太可能成为一种主流犯罪活动,但这一数字在未来还会增长。在一个物理和网络日益融合的世界里,地缘政治冲突正在上演,网络攻击为政府提供了一种介于外交和战争之间的手段。
攻击方法越来越复杂
很难知道顶级攻击者到底有多先进,他们手里有什么资源。例如,几年前我们观察到一个无休止的零日漏洞供给,攻击者随时准备为他们买单。今年,我们观察到谷歌在8月份公布过去两年中至少发现的14个iOS漏洞。
攻击者还可能使用非常规方法(如使用信令数据或Wi-Fi/4G)来过滤数据,特别是在使用物理植入物时。同样,相信未来会有更多的攻击者使用DoH(DNS over HTTPS)来隐藏活动。最后,有可能在未来几个月内,将开始发现更多的UEFI恶意软件。
移动攻击焦点转移
在过去的十年里,数字生活主要存储设备已经从个人电脑转移到了手机。攻击者很快就注意到了这一点,并开始专注于开发手机攻击工具。虽然我们一直在预测针对手机的攻击数量会大幅增加,但从观察到的情况并不能反映出这一推断。
上文连接中说到攻击者如何利用iOS中至少14个零日漏洞来攻击亚洲的某些少数群体,最近也看到了Facebook如何起诉以色列NSO公司,指控其滥用服务器(部署恶意软件拦截用户数据)。我们还看到了Android零day现在比iPhone更昂贵(根据Zerodium的价格表),所有这些都告诉我们攻击者在开发这些技术方面投入了大量资金。
个人信息滥用:从深度造假到DNA泄露
之前讨论过数据泄漏如何帮助攻击者制造更具说服力的社会工程攻击。并非每一个攻击者都有完整的潜在受害者的资料,这使得越来越多的泄露数据非常有价值,勒索软件攻击也是如此。
在一个记录数据不断增长的世界里,我们可以看到特别敏感的泄漏危险,例如在生物特征数据方面。所有这些听起来都十分超前,但它与通过社交媒体驱动选举广告的技巧非常相似。这项技术已经在使用中,一些攻击者利用它只是时间问题。
总结
未来有太多的可能性,我们的预测中可能会有许多预测不到的东西,攻击环境的复杂性提供了更多可能性。此外,没有一个研究管对能够完全了解APT攻击者的行动。我们将继续观察分析和预测APT的活动,了解他们使用的方法,同时提供对最新的分析报告。
原文PDF:Kaspersky Security Bulletin 2019. Advanced threat predictions for 2020 (PDF, English)
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
十年回顾:2010年以来重大网络安全事件盘点
二十一世纪的第二个十年即将过去,在过去十年里有哪些重要网络安全事件发生,小编带大家一起来回顾一下。 我们见证了过去十年,大量的数据泄露、黑客攻击、民族国家之间的间谍行动、几乎不间断的金钱利益网络犯罪以及让系统崩溃的恶意软件,这些安全事件不绝于耳。下文按时间顺序列举了2010年以来的重大网络安全事件。以史为镜可以知兴替,我们不必沉溺于过去重大的数据泄露事件或者黑客行动,而是更应该专注他们的技术,从这些技术中去预见未来网络安全趋势,让专家对网络安全领域范式转变有所了解。 2010年 1. 震网 “震网”是一种由美国和以色列联合研发的计算机蠕虫病毒,目的在于破坏伊朗的核武器计划。 该蠕虫病毒专门用于销毁伊朗在其核燃料浓缩过程中使用的SCADA设备。此次攻击成功破坏了伊朗多地的SCADA设备。尽管在2010年以前国家之间会采取其他手段进行相互的网络攻击,但“震网”是第一个震惊世界的网络安全事件,从单一的信息数据窃取到实际的物理设施的破坏,这标志着进入了网络战的新阶段。 2. 极光行动——Google遭黑客入侵 鲜为人知的是,即使是网络巨头的Google也曾遭遇后端基础设施的网络攻击。这是后来被...
- 下一篇
11月全球Web服务器调查报告:Nginx 表现最佳
Netcraft 公司官网每月公布的全球 Web 服务器调查报告“Web Server Survey”是当前人们了解全球网站数量以及服务器市场分额情况的主要参考依据,2019 年 11月份的报告目前已经发布。 11月份报告共收录了 1 308 343 327 个站点数据,包括 243 734 379 个独立域名和 9 274 744 个面向 Web 的计算机。 统计所有网站,排名前 4 位的 Web 服务器供应商分别是 nginx、Apache、微软与谷歌,其中微软、nginx 与谷歌本月都新增了网站,分别增加了 1941 万(+10.59%)、1017 万(+ 2.38%)与 133 万(+ 3.83%)网站,而 Apache 则失去了 1356 万(-3.64%)个网站。 所有站点数据如下: 尽管微软总体上获得了最多的站点,但域的增加相对较少(+13 000),而 Apache 虽然域名大幅增加(+268 000),但整体上域市场份额也下降了。 nginx 表现不错,域名的数量增加几乎是 Apache 的两倍(+522 000),而其市场份额也基本保持不变。nginx 在面向 We...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS6,CentOS7官方镜像安装Oracle11G
- MySQL8.0.19开启GTID主从同步CentOS8
- Docker安装Oracle12C,快速搭建Oracle学习环境