免费热线:400-655-8606
当前位置:首页 >最新动态

一文读懂2020需要关注的网络威胁,文末福利!

发布者:ITGO-IT购 时间:2020-05-15

PC-ITGO-0-3.jpg

ITGO专业提供思科网络产品和维保服务,即刻致电400-655-8606            


过去十年间,思科面向关注全球网络安全态势的网络安全专家发布了大量具有权威性的安全及威胁情报信息。这些综合性报告不仅详细描述了相关的威胁态势以及它们对企业的潜在影响,还列出了能够有效抵御数据泄露所产生的不良影响的最佳实践。

有些网络犯罪分子在制定攻击计划时,会以特定的组织为目标。不管出于哪种原因,他们都很清楚两件事:攻击目标和潜在回报。一旦明确了攻击目标,几乎没有什么能阻挡他们。

网络犯罪分子像是沉迷于一场数字游戏。

他们不管被攻击的对象是组织还是个人,只是希望尽可能扩大被攻击者的数量,前提是他们能够获得他们想要的最终结果。

例如,在 2019 年首次出现的 DNS 劫持事件中,恶意攻击者正是通过控制部分特定 DNS 条目来发动攻击,悄无声息地将无防备的访问者从合法系统重定向到恶意系统,以期对方安装恶意软件或拦截保密资料及凭证。

DNS 劫持

DNS,全称域名系统(Domain Name System),用于将人类可读的域名(例如www.example.com)转换成机器可读的 IP 地址(例如 208.67.222.222)。

使用 DNS 的过程与图书管理员帮你找书的过程非常类似输入一本书的名称,DNS “图书管理员”会将其转换为一个 IP 地址,然后在书架上搜索这个 IP 地址,然后带你到对应的网站。

思科的威胁情报研究团队 Cisco Talos 一直密切关注 DNS,而且我们在 2019 年也发现了多起利用 DNS 劫持发起的恶意攻击。

然而 DNS 攻击的关键在于,它们不会直接面向指定目标发动攻击,而是将图书管理员作为攻击对象。图书管理员没有将你带到目标书籍的正确存放位置,而是把你带去一个完全不同的地方。

更糟糕的是,你可能根本不知道自己打开的是一个错误的网站。

就这样,在你无防备的情况下抵达恶意服务器后,便会马上成为任由恶意攻击者摆布的受害者。恶意攻击者可能会尝试安装恶意软件,收集你的用户名和密码,或者隐蔽地充当恶意站点和合法站点之间的中间人,并拦截你出于其他目的(即身份盗用、勒索...)而访问的所有数据。

Sea Turtle(“海龟”)便是由控制 TLD(顶级域)的组织发起的一种 DNS 劫持案例。案例中的恶意攻击者正是利用多个系统漏洞控制了整个域的域名服务器。

这样一来,恶意攻击者便能对根据 DNS 请求返回的 IP 地址施加控制。它在完成一台恶意域名服务器的设置后,就能选择何时将针对特定域名的请求发送至合法站点或恶意站点。

思科网络威胁1.png

Sea Turtle(“海龟”)攻击流程图

此外,网页邮件服务器的 DNS 记录被更改也属于 Sea Turtle 攻击的一部分恶意攻击者由此便可以截用户登录网页邮件系统的连接,这样不仅可以捕获用户凭证,还可读取网页邮件系统和用户之间所传递的所有数据。

DNS 劫持是一种非直接攻击案例,对隐藏在幕后的恶意攻击者来说,他们的真正目标并非某个特定的组织,而是整个互联网的基础设施。

2020 年态势分析

今年,“海龟” DNS 劫持行动的幕后黑手并没有放慢脚步。Talos 团队发现的一些新细节也暗示出这些恶意攻击者在我们发布有关 Sea Turtle 的初步发现后已经重整旗鼓,并且针对新的基础设施方面发动了更为猛烈的攻击。

许多恶意攻击者在被发现之后便会暂时放慢攻击的步伐,但是这个团体却异常明目张胆。针对这种情况,我们建议重点关注 DNS 安全技术和多因素身份验证技术,以落实更为严格的身份认证流程。

程访问木马(RATs)

象一下……

你就职于一家即将发布全新产品的知名科技公司,在产品发布前,你要严守相关机密信息。但很遗憾,有人入侵公司系统,并盗取了这款新品的敏感数据。

可被恶意攻击者用来盗取公司数据的有力武器可能有很多种。下载程序,管理工具,以及资讯盗窃程序,很多时候都是催生此类攻击的重要原因。

但在类似上述攻击场景中,恶意攻击者通常会在一种简称为“RAT”的远端控制木马程序的协助下发起攻击。

如何借助 RAT 发动恶意攻击呢?

身为一种工具,RAT 所具备的功能可谓丰富至极。如果恶意攻击者的目标是窃取财务数据,那么他们可以借助一个 RAT,通过一台被入侵的计算机获取银行信息,或者通过安装键盘记录程序来收集信用卡账号。

思科网络威胁2.png

RAT 程序的组成部分

许多 RAT 都能获取到用户已保存和缓存的密码,一旦掌握了用户名和密码,恶意攻击者便能试着登录到共享服务器。

谨记一点,大部分 RAT 程序都能对已被入侵系统的命令行进行访问。恶意攻击者可借助相应的管理权限来控制 RAT,让它执行恶意攻击者计划执行的任何操作例如安装和删除文件或安装键盘记录程序。

RAT 入侵系统的方式并不存在任何特殊之处RAT 的分布方式与其他类型的恶意软件大致相同:它们都与其他常见的攻击媒介一道以电子邮件为发送载体,被植入程序植入系统, 并被设置为漏洞攻击工具的有效载荷。

2020 年态势分析

Talos 在去年夏天就发现:在针对政府实体、金融服务组织、信息技术服务商和咨询公司发起的各种恶意软件分发活动中,攻击者一直在不断地利用 RevengeRAT 和 Orcus RAT。

与这些活动有关的几种独特战术、 技术和程序(TTP),包括:

  ●   使用与“无文件”恶意程序存在最普遍关联的持久性技术

  ●   旨在掩盖 C2 基础架构的迷乱技术

  ●   旨在绕过自动分析平台(如恶意程序沙箱)的规避手段

由于网络犯罪分子会继续扩展 RAT 的用例范围,因此它们在今年势必构成威胁。

藏匿在加密流量中的威胁

恶意攻击者一旦成功入侵目标组织,他们最不想遇到的情况就是自己的流量被网络监控工具监控到。所以现在的很多威胁都会借助加密流量来应对

从恶意攻击的角度来看,威胁加密的手段也十分繁多。从命令控制(C2)通信到数据的盗取,恶意攻击者都会通过加密来隐藏恶意流量。

思科网络威胁3.png


银行木马对其正在窃取的数据进行加密

如何能够检测到恶意加密流量呢?

流量指纹技术就是捕捉恶意加密流量的方法之一。这项技术能够监控您网络中的加密数据包,并寻找与已知恶意活动相匹配的攻击模式。

但由于恶意攻击者能够轻而易举地将随机或虚拟数据包嵌入其流量,以掩盖可能留下的指纹,所以这项技术不足以捕捉所有恶意加密流量。在这种情况下如果要准确识别出恶意流量,就需要求助其他检测技术,例如可识别更复杂恶意连接的机器学习算法。

威胁可能仍然会想尽各种办法来规避一些机器学习检测方法,因此我们建议用户采用分层方法,综合多种技术。

2020 年态势分析

通过加密流量发动的威胁持续加剧。根据思科收集到的数据资料,思科 Stealthwatch  发现的所有威胁事件有 63% 是在加密流量中发现的。

由于整个行业不太可能放弃使用 https 技术,因此企业万不能轻视这项加密技术因为它很可能会成为被一些网络犯罪分子进行尝试并有效利用的一种策略。

Office 365 钓鱼攻击

现代办公已然离不开 Office 365,通过 outlook 邮件我们可以和同事随时沟通。

殊不知,或许我们的对话内容已经被恶意入侵者所掌握,因为他们已经成功破坏了企业 Office 365 的正常使用。简单说,就是他们会拦截并回复你发送给同事(比如xxx@cisco.com)的电子邮件。

恶意攻击者用来获取 Office 365 帐户访问权限的方法通常简单粗暴,这将产生一些系列连锁反应。

网络钓鱼攻击通常以貌似来自 Microsoft 的电子邮件为载体。这种电子邮件中包含一个登录请求,包括提醒用户重设密码,最近是否登录过账户,或帐户存在问题,需要他们注意。邮件中还包含一个 URL,邮件阅读者为了解决提到的问题,很可能会点进去。

在成功发起的 Office 365 网络钓鱼攻击中,用户输入的登录信息会被恶意攻击者盗取。整个伪造的网页上没有任何有用的信息,只是提示用户登录信息错误,或将用户重新带回到真正的 Office 365 登录页面。

思科网络威胁4.png

Office 365 钓鱼邮件示例

在完成这一系列操作之后,大多数用户都不会知道自己的登录信息已被盗取。

为了让局面更加复杂,恶意攻击者经常会使用一种“会话劫持”的伎俩,就像前面提到的攻击场景一样,攻击者正是通过对已进入被攻击收件箱的电子邮件进行回复,来释放他们的恶意有效载荷。

2020 年态势分析

ESG 代表思科展开的一项最新研究表明,超过 80% 的被访者都提到了自己就职的企业都在使用类似 Office 365 的 SaaS 电子邮件服务。但是,仍有 43% 的被访者反映,在使用此类服务之后,他们反而需要通过一系列补充的安全技术来支撑他们的邮件防御系统。

Verizon 在其发布的《2019 年数据泄露调查报告》中提到,网络钓鱼是迄今为止成功率最高的一种威胁载体。去年,在近三分之一(32%)的数据泄密事件中,网络钓鱼是主要的攻击武器。

社交媒体和网络黑市

你还以为网络犯罪行为都发生在互联网深处的隐秘角落里,需要通过复杂软件和广泛授权才能访问吗?事实并非总是如此。

网络犯罪活动已经开始出现在社交网络!

Talos 的研究人员在 2019 年初就发现了包含数十万名成员,且以 Facebook 为公开活动平台的多个网络犯罪群组。这些群组通过社交媒体平台与其他犯罪分子进行联系,共享并出售各种工具、技术以及盗取的数据,犯罪分子之间有时也会互相讹诈。

更想不到的是,有些已存在至少八年!

网络安全研究员 Brian Krebs 最近就曝光了 120 个具有类似性质的网络群组,成员总数大约在 30 万名。虽然这些群组名义上已经停止活动,但从 Talos 在 2019 年汇报给 Facebook 的群组数量来看,这似乎并没有影响此类活动成员数量的增长。
而且社交媒体平台不仅已经成为犯罪分子共商犯罪大计的重要场所,还变成了犯罪分子买卖工具的交易市场,包括针对如何发动攻击提供相应的培训。

2020 年态势分析

2019年底,我们在 Facebook 上快速检索了 几个比较明显的群组名称,例如“ Spamprofessional(垃圾邮件专家)”,“ Spamand hackers(垃圾邮件和黑客)”,发现这些群组仍然存在,而且每天都有好几条新的发帖记录。作为一个网络安全社群,我们不仅将继续向 Facebook 报告这些群组的存在, 还会与 Facebook 联手,实现更多突破。

数字勒索诈骗

某天,你突然收到一封标题包含你用户名和密码的电子邮件,邮件的正文内容让你感到慌张:发件人在邮件里说他已经入侵了一个色情网站,而且发现你访问过这个网站?!
然后,诈骗者会告诉你他们已经控制了你的显示器和网络摄像头,记录了你的个人资料和色情资讯,并对这两段视频流进行了同步处理。

更令你不安的是,诈骗者还声称他们已经通过你的社交媒体帐户和电子邮件收集了所有联系人信息,在邮件结尾,还巧妙地暗示:如果他将视频发给联系人,你将会多么难堪。

接下来,诈骗者会说自己并非不近人情,想清除这些内容并非难事,你只需支付价值 1000 美元的比特币,就能让这些全部消失。
这看起来像敲诈,但也不排除虚张声势的成分。

在这个案例中,电子邮件所声称的内容都是虚假的:他们没有入侵任何网站,没有控制你的网络摄像头,也没有盗取任何联系人资料,而是在巧妙地利用人类的复杂情绪以及内心深处的罪恶感。

此外,还有另外一大批网络钓鱼活动,他们的目标是通过诱骗大量收件人来帮助敲诈者获利。为了增加邮件的真实感,他们会在邮件里加入真实的用户名和/或密码。其实,敲诈者的真实意图则是想通过之前窃取的数据牟利。

这些邮件中还包含大量技术行话。这并不是说远程访问你的桌面或网络摄像头是不可能发生的事(但它的确发生了),而是根据诈骗者所描述的方式,他们想要访问您桌面或网络摄像头的可能性还是微乎其微的。

2020 年态势分析

即使胜算很低也能获利,因此数字勒索仍然是当下常见的一种攻击模式。下图就为我们展示了最近出现的一个数字勒索案例。

思科网络威胁5.png

近期出现的数字勒索邮件示例

思科专家建议

思科“零信任”安全解决方案,保护企业中员工、工作负载和工作场所的访问安全。是一种全面的安全方法,可确保跨网络,终端、应用和云的所有访问安全。点击“阅读原文”,了解完整安全解决方案。

免费试用

/ 免费为您的网络进行安全检查 /


1589519578428359.jpg


/ 免费试用邮件安全方案 /

1589519653186899.jpg

/ 免费试用思科终端安全

AMP for Endpoints 软件 /

1589523026208463.jpg


更多思科网络安全系列报告

  ●   思科 2019 网络安全报告系列《首席信息安全官(CISO)基准研究报告》

  ●   思科 2019 年网络安全报告系列《数据隐私基准研究报告》

  ●   思科 2019 年网络安全报告系列《威胁报告》

  ●   思科 2019 年网络安全报告系列《邮件安全报告》

  ●   思科 2019 年网络安全报告系列《中国网络安全报告》

  ●   思科 2019 年网络安全报告系列《威胁追踪》

                                     如需购买欢迎致电:400-655-8606   13366111839 (24h Sales)                                                                           

北方翱翔信息工程技术(北京)有限公司(简称:北方翱翔www.northsoar.com成立于2011年,是一家专注云计算、智网络、智安全领域的解决方案服务、产品销售服务和专业技术服务的一站式云IT服务企业。集合 思科代理  思科无线金牌代理 思科Webx代理 。北方翱翔经营理念: 在追求全体员工物质和精神这两方面幸福的同时,为客户提供优质的服务,实现客户价值提升;提高企业价值,为社会的进步和发展做出贡献。

IT购www.360itgo.com是北方翱翔旗下一站式IT产品和服务B2B电商平台,商城产品包括云计算、云存储、云服务、云应用、网络设备、服务器、存储、虚拟化、安全产品、IT服务等,提供从咨询、采购、实施、运维到升级的全生命周期的一站式服务,IT购自建智能化仓储,现有自营库存超10000SKU,品类齐全、运转高效,确保能够完成当天99%的订单发货,凭借成熟的行业经验、独特的高增值专业服务和精细化的互联网电商运营模式,力求打造企业级IT服务的新标杆,给客户带来方便快捷,安全可靠的购买体验.

相关推荐

ITGO一站式企业IT产品和服务B2B平台

推荐产品