全面解读《思科2017年中网络安全报告》(二)

本篇的主要内容包括:

  • 间谍软件的威胁景观
  • EK市场对垃圾邮件的影响
  • 恶意电子邮件的文件类型策略
  • BEC的威胁景观
  • 恶意软件的演变趋势

间谍软件的境况相当糟糕

当今,很多线上广告软件(又被称为潜在有害程序/不受欢迎的应用程序(PUA))其实是间谍软件。间谍软件供应商将他们的软件伪装成合法工具进行推广,承诺向用户提供有用的服务并遵守最终用户许可协议。但不管他们如何编造,间谍软件仍然是恶意软件。

伪装成PUAs的软件的间谍软件,能够执行收集和传输用户计算机相关秘密信息的操作,它通常会在用户不知情的装下安装到受害者计算机上。为方便讨论,我们把间谍分为三大类:广告软件、系统监控软件,以及木马程序。

企业环境中,间谍软件存在诸多潜在的安全风险。例如,它可以:

  • 窃取用户和公司的信息,包括个人身份识别信息(PII)和其他敏感或机密信息。
  • 通过修改设备配置和设置,安装额外的软件,允许第三方访问,削弱设备的安全防护能力。间谍软件还可能使攻击者完全控制设备,允许远程代码执行。
  • 增加恶意软件感染量。用户一旦感染诸如间谍软件或广告软件之类的PUAs软件,他们很容易受到更多恶意软件的感染。

为了更好地了解间谍软件的感染状况,从2016年11月到2017年3月,思科研究人员研究了大约300家公司的网络流量,,以确定哪些类型的间谍软件家族存在于组织,以及这些组织的受感染程度。

研究期间发现,有三类间谍软件家族在这些被观察公司的感染覆盖率超过了20%,它们分别是:Hola, ,RelevantKnowledge 和 DNSChanger/DNS Unlocker

按月统计的话,这三类恶意软件家族在被观察的组织中感染率超过25%(参见图5)。

Hola VPN

Hola是一个可以通过P2P网络为用户提供免费VPN服务的Web和移动应用程序,实际上是间谍软件和广告软件。

它还使用点对点缓存,让用户“存储”其他用户下载的内容。HOLA通过客户端的浏览器进行传播,既可以作为浏览器插件,也可以单独使用。

下图6中是Hola官网上的截图,间谍软件的运营商将其作为一个免费的、能够提供有用的服务(“让用户访问任何网站”)进行宣传,还声称“世界各地的用户使用量超过1亿2100万人。

为什么它被认为是间谍软件呢?除了它宣传的VPN功能外,Hola还具有其他用户不知道的功能,如:通过一种名为luminati的服务出售用户的带宽,向用户系统安装它自己的代码签名证书,下载任何文件(这些文件可以绕过杀毒软件的检测),执行远程代码。

RelevantKnowledge

RelevantKnowledge,实质是一款间谍软件和系统监控软件,它能够收集大量的信息,例如用户的网络浏览行为、统计信息、系统配置。可以直接安装,也可以通过软件捆绑进行安装,有时候甚至不需要取得用户的同意。

上图7中是其官网的截图,运营商宣传的极具诱惑力,例如称将会把每个会员的贡献汇集到“知识树”,借以吸引用户注册。

RelevantKnowledge之所以被认为是间谍软件,是由于它可以在没有获得用户同意的情况下安装软件。此外,它还会收集用户配置信息,单独地或者跟其他信息汇总在一起匿名的出售给第三方(用于“研究”目的)。

DNS Changer和 DNS Unlocker

DNS Changer和 DNS Unlocker是同一恶意软件的两个不同版本。前者是一个能够改变或“劫持”被感染宿主的DNS设置的木马程序,后者还提供免安装选项,具有广告软件的性质。

这款间谍软件能够将受感染主机的域名服务器替换成自己的域名服务器,导致受感染主机的HTTP和其他请求直接被传递给一组攻击者所控制的服务器,这些服务器可以拦截、检测和修改主机流量。这款间谍软件感染终端设备,而非浏览器。通过使用PowerShell的,可以在被感染的机器上运行命令,允许攻击者远程访问。

运营商将DNS破解作为间谍软件的服务特性,允许用户突破限制访问US视频流等内容。官网截图如下图8所示:

为什么认为DNS Changer和 DNS Unlocker是间谍软件呢?除了上面列出的功能之外,DNS Unlocker可以窃取PII、重定向用户流量,以及通过在特定服务(如在线广告)上注入内容来修改用户显示内容。

研究表明,在这三大间谍软件家族中, DNS Unlocker是最流行的,在我们研究的组织中,每月DNS Unlocker的感染率超过40%。详情如下图9所示:

三大间谍软件家族中,Hola的分布是最广的,在被观察的组织中60%都检测到了Hola的样本。如上图10所示。随着时间的推移,这个间谍软件家族也变得越来越广泛,尽管其速度较慢。

同时,也观测到DNS Unlocker影响了更多的用户,尽管它感染的组织不及Hola的多,今年一月份,其感染量比去年十一月有所增加,之后呈现下降趋势。

间谍软件的问题必须认真对待

在许多组织中,间谍软件的感染形势是猖獗的,但通常不被认为是重大的安全风险。然而,在最近的一项研究中,接受调查的公司里边有四分之三的公司受到了不同程度的广告软件感染,间谍软件的感染将导致用户和组织面临恶意活动的风险。

运营商们可能将间谍软件设计成提供保护服务或以其他可以帮助用户的服务来进行推广,但间谍软件的真正目的是在没有用户的直接同意或知晓的情况下,跟踪和收集用户及其组织相关的信息。众所周知,间谍软件公司会出售或提供他们收集到的数据,允许第三方以相对匿名的方式获取这些信息,而通过这些信息可以识别被感染组织的关键资产、映射组织内部的基础设施,进而规划有针对性的攻击。

间谍软件感染的浏览器和端点必须尽快修复。安全团队必须保持对间谍软件的积极的警惕意识,确定哪些类型的信息处于危险之中。同时,也应该花时间去制定一个行动指南,用于修复间谍软件、广告软件、危险的感染,并对终端用户进行PUAs相关的意识培训。用户至少应当花一点时间来了解一下这些PUAs软件是如何收集,存储和共享他们的信息的。

随着运营商不多扩展他们间谍软件的功能,并利用组织内部缺乏补救措施的漏洞,不断扩大感染的影响力,企业或个人如果不重视的话,可能会导致更多的感染和安全风险。

漏洞利用工具包的活跃性下降,可能影响全球垃圾邮件的整体趋势

思科威胁研究人员观察到,2017年1月5月期间,来自中国IP空间的IP连接有所增加。今年上半年整体垃圾邮件的数量已下降并稳定于垃圾邮件数量最高量(2016年年底)。

自2016年8月以来,研究人员观察到垃圾邮件总量整体呈上升趋势,与同一时间观察到的漏洞利用工具包活动的大幅下降相吻合。攻击者已经转向其他的、更有效的攻击方法,如通过电子邮件,分发勒索和恶意软件并获取收益(前文对此已有描述)。

思科威胁研究人员预计,携带恶意附件的垃圾邮件数量将继续上升,而漏洞利用工具包的景观仍在不断变化。电子邮件能够直接抵达用户的终端设备,攻击者也可以利用不知情的用户的“帮助”扩大其攻击范围。通过狡猾的社会工程(钓鱼攻击或更有针对性的鱼叉式网络钓鱼),攻击者可以很容易地欺骗用户并最终对整个组织造成危害。

有些攻击者还在垃圾邮件的恶意文件包含恶意的宏负载的文档,用于分发勒索软件。这些威胁需要通过某种方式与用户进行良性的交互,比如在对话框上单击“OK”,以感染系统并交付有效负载,因此这些威胁能够逃避许多沙盒技术的检测。

发送垃圾邮件的僵尸网络(特别是大规模的僵尸网络Necurs)的发展呈现欣欣向荣的景象,这为全球垃圾邮件数量总体增加起了很大作用。今年早些时候,Necurs通过“pump-and-dump”(拉高再排除,类似股市中的“炒高再抛售”)的方式发送垃圾邮件,大肆获利,造成了很大影响,不过它对类似含有勒索软件的复杂威胁的关注较少。Cisco的SpamCop服务提供了一个内部图,显示了Necurs活动的特征,如下图12所示。这种类型僵尸网络的操控者严重依赖低质量的垃圾邮件活动,表明这些资源密集型的活动获利颇丰。

最近观测到Necurs僵尸网络通过多个大规模的恶意垃圾邮件活动发放Jaff(一个勒索软件的新变种),这类垃圾邮件中包含PDF附件,其中嵌入了一个微软Word文档功能充当Jaff勒索软件的初始下载器。

恶意电子邮件:观察恶意软件制作者使用的文件类型策略

越来越多的网络犯罪分子开始转向/返回将电子邮件作为传播勒索软件和其他恶意软件的主要载体。思科威胁研究人员跟踪恶意软件家族使用的文件类型,这些知识可以帮助我们减少对已知威胁的检测时间(TTD),并跟踪不同的恶意软件运营商们不断进化的威胁方法,其中包括文件扩展类型的变化。

2017年1月至4月,我们对这段期间内检测到的恶意电子邮件中的有效载荷进行统计分析,排名前20的恶意软件家族的详情如下图13所示。

图14显示了检测到的恶意软件家族的数量,其中包括恶意的有效载荷文件扩展名,如 .zip或 .exe。四月份宏负载相关的恶意软件有显著增长,这个时间是某些国家(如美国和加拿大)传统的税收季节。

对电子邮件中有效载荷附件常用的文件扩展名进行统计,结果如下图15所示,其中,恶意的 .zip文件占主导地位,其次是 .doc。

针对这些扩展名受欢迎的程度随时间变化的情况进行分析,结果如下图16所示:

观察顶级恶意软件家族对文件类型的偏好

对研究样本中排名前五的恶意代码家族进行分析,结果发现每个恶意软件家族都采取了不同的文件类型策略,它们各自有自己偏好的、常用的一些扩展名,例如:

  • Adwind,一个远程访问木马(RAT),经常使用的 .jar文件(java存档扩展)。
  • Nemucod,一个木马下载器,以分发勒索软件而闻名,习惯使用.zip作为文件扩展名。
  • MyWebSearch,一个恶意广告软件,偏好非常明显:只使用 .exe文件的扩展名,有时每个月只用一种类型。
  • Fareit,另一个RAT,它采用了多种类型的文件,不过似乎更偏好.zip 和 .gz文件扩展名(后者是一个存档文件的扩展名)。
  • Donoff,是一个恶意的宏负载的勒索软件主要使用Microsoft Office文档。文档的文件类型,特别是.doc 和. xls。

下图17提供了一个不同的分析恶电子邮件的视图模式:几类特定的文件扩展名和不同恶意软件家族之间的关系。分析结果显示,文件类型广泛使用在商业环境下,几个顶级的恶意软件家族(包括Nemucod 和 Fareit)喜欢使用.zip 和 .doc。

然而,我们的许多恶意软件你使用更多的家庭湖与旧的JAR文件扩展名类型和.arj.样(后者是一个类型的压缩文件)。不过,同时也看到许多恶意软件家族使用更多晦涩的和旧的恶意软件文件扩展类型,如.jar和.arj(后者是一种压缩文件)。

担心勒索软件包吗?企业电子邮件入侵(BEC)的威胁更大

最近,勒索软件在安全行业已经引起了很多的关注,然而,有一种几乎没有引人注目的威胁,它能产生的危害比勒索软件更大,那就是企业电子邮件入侵(Business email compromise, 简称为BEC)。风险情报提供商 Flashpoint公司研究了BEC的问题,认为它是目前最有利可图的、能够的从商务活动中获取大量金钱利益的攻击方法。BEC看起来像是一个简单的攻击向量,主要依赖社会工程进而实施盗窃。

BEC最基本的攻击模式是一封发给财务人员的电子邮件(有时用欺骗的方式,使邮件看起来像是从同事那里发出来的),邮件中告知财务人员可以通过电汇发送资金。攻击者们通常会对公司的组织架构和员工做一些研究,例如,利用社交网络简介拼凑出可能的攻击链。欺诈邮件可能伪装成来自CEO或另一位高管,要求收件人发一笔电汇给一个假想的生意伙伴,或者付钱给卖主。邮件中可能包含一些能给收件人带来紧迫感的信息,迫使收件人将钱送出去,这些钱通常被发送到网络罪犯份子所控制的外国或国内银行帐户。

BEC诈骗的目标通常都是大目标,尽管这些组织可能有成熟的威胁防御和防止欺诈的保障措施,但依然会成为受害者。典型的有Facebook 和 Google,他们一直是BEC和电信诈骗的受害者。由于BEC的消息不包含恶意软件或可疑的链接,故而这类威胁通常可以绕过所有的、最先进的威胁防御工具。

BEC问题到底有多严重?互联网犯罪投诉中心(IC3,其与FBI、美国司法援助局和国家白领犯罪中心是合作伙伴关系)的报告称:2013年10月到2016年12月期间,由于BEC欺诈而被盗的资金达到53亿美元,这几年的年平均损失在17亿美元左右。相比之下,

被盗由于BEC诈骗2013年10月和2016年12月之间,17亿美元每year13平均(见图18)。相比之下,勒索攻击在2016年带来了损失约为10亿美元。

2013年10月和2016年12月这段时间内,美国遭遇BEC欺诈的受害者人数约为22,300人。

关于BEC欺诈的防御措施,重点不是威胁防御工具,而是需要改进业务流程,Flashpoint推荐积极进行用户教育:例如,培训员工识别不符合一般要求的财务转移请求(诸如在国内经营的企业,却被要求进行境外转移)。组织也可以要求员工与另外一名员工配合来核实电汇,可以通过电话沟通确认,借以抵抗欺骗性的电子邮件。

恶意软件的演变(2017年上半年的视角)

思科安全研究人员一直关注着2017上半年恶意软件的演变,并确定了几种趋势,这些趋势揭示了恶意软件制作者们最关注的开发策略,包括恶意软件的交付、混淆和逃逸。

趋势1:攻击者使用的恶意软件传播机制,需要用户采取某种积极行动才能激活威胁。

我们观察到恶意电子邮件附件有所增加,且能够绕过自动化的恶意软件检测系统。当放置在沙箱环境中时,这些附件不会显示任何恶意的行为特征,因此它们可能逃过检测被转发给用户,这类情形包括:

  • 受密码保护的恶意文档(解密的“密码”在邮件正文中直观地提供给用户)
  • 恶意文件会弹出一个对话框,要求用户执行授权的交互操作(如“点击OK”)
  • 在Word文档中包含恶意的OLE对象
  • PDF文档中嵌入了恶意的Word文档

作为检测威胁的工具,发件人策略框架(SPF)可以帮助阻止那些伪造地址的电子邮件。然而,SPF需要得到合适的管理,因为它也可以阻止合法的电子邮件(如营销信息或新闻资讯),组织可能会犹豫是否要打开这个功能。

大到Facebook和 Google这样的巨头公司,小到只有几十个雇员的企业,只要组织有在线交流的需求,都是BEC欺诈的潜在目标。这种类型的攻击,对罪犯而言,是一种低成本、高回报的方法,也就意味着它很可能会成为威胁向量。

趋势2:攻击者充分发挥勒索软件代码库的优势

对恶意攻击者而言,创建恶意软件相当地迅速、容易,他们还利用开源代码库来节省成本,如恶意软件Hidden Tear 和 EDA2,公开发布了其勒索代码,用于“教育”目的。

攻击者会对来源代码进行调整,使它们看起来与原始代码有所不同,然后再部署恶意软件。思科威胁研究人员在最近几个月的观察到的许多“新”勒索软件家族都是基于所谓的“教育”开源代码而来的。

趋势3:Ransomware-as-a-service(RAAS)平台增长迅速

诸如Satan之类的RAAS的平台,是懒惰的攻击者的首选。犯罪分子可以借助于RAAS平台提供的便利切入勒索软件市场并迅速发起一次成功的攻击,甚至无需任何编码/编程能力,也无需投入资源去开发创新的策略。SAAS平台的运营商数量越来越多,减少了攻击者的利润。有些运营商甚至会部署勒索软件,并提供额外的服务,如跟踪客户活动的进展。

趋势4:Fileless或“内存驻留”类型的恶意软件变得越来越普遍

我们观察到这种类型的恶意软件的感染范围覆盖了全世界的操作系统。它依赖于PowerShell或WMI、完全在内存中运行恶意代码,不会向文件系统或注册表写入任何东西,除非攻击者想要获得持久性,这使得恶意软件更难被发现,对调查调查和事件响应而言也更具挑战性。

趋势5:为了混淆C&C,攻击者越来越多地依靠匿名的、分散的基础设施

思科威胁研究人员已经观察到使用“bridging services”以便于访问恶意软件和利用Tor网络部署C&C服务器的情况有所增加。一个典型的例子是Tor2web,它提供一种代理服务,允许互联网上的系统访问托管在Tor上的主机,不需要在本地安装Tor客户端应用程序。从本质上讲,Tor2web为攻击者提供了便利,使得他们更容易使用 Tor网络,而不必改变他们的恶意代码或在其恶意软件的有效载荷包含Tor客户端。由于攻击者可以在他们选择的任何域名上配置一个Tor2web代理服务器,想要阻止他们部署变得更加困难。

未完待续……

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104547.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code