攻击热点指南针?千里目浅谈安全趋势

-回复 -浏览
楼主 2022-05-11 16:29:45
举报 只看此人 收藏本贴 楼主

概述

最近,MIT新媒体实验室伊藤穰一主任的新书《爆裂》令我们脑洞大开。他对未来社会三大特征:不对称性复杂性不确定性的解读让从事网络安全的笔者有种醍醐灌顶之感。攻防世界尤其如此,防御者在明,敌手在暗,攻击者往往利用木桶效应,单点突破,获得攻击效益最大化,攻防投入产出的不对称性是显而易见的。孙子曾说:知己知彼方能百战不殆;然而面对复杂不确定的攻击者,如果对其意图和布阵策略都一无所知,防御自然是无从谈起。基于伊藤主任的思想,本文不妄图绘制安全攻防趋势地图,而是基于对攻击事件热点词的汇总,尝试为读者展示一个攻击热点指南针。    

 

本文攻击热点事件粗略分为如下几类:

(1)区块链相关的安全话题

(2)基于IoT的僵尸网络及DDoS

(3)供应链安全

(4)与AI有关的安全话题

(5)恶意软件

(6)钓鱼

(7)勒索、Raas

注:多种类别交叉的攻击形态也往往可行,请读者自行脑补。

热点攻击场景类别

区块链安全相关的攻击场景

(1)服务器恶意挖矿

挖矿的本质是暴力计算符合条件的哈希值并获得全网认可,特征是消耗所在设备的CPU电力和时间,有自行挖矿(Solo)和矿池挖矿(StakePool)两类。由于全网算力的快速上升导致自行挖矿获取区块奖励概率已经极低。接入矿池接受分工并与矿池分成已经成为一种借助不高的算力获取稳定挖矿收益的主要模式。挖矿病毒往往具有蠕虫特征,可在内网利用服务器漏洞进行传播,典型的如RubyMiner、JbossMiner等。

(2) 客户端挖矿

目前典型如利用以CoinHive为代表的JS挖矿脚本进行的浏览器挖矿(Cryptojacking)、以及如CoinKrypt的移动终端挖矿。随着近年电子货币价格不断提升的趋势以及移动终端算力、续航的持续提升,此类恶意移动恶意软件也在呈现逐步增加的趋势。

(3)数字货币盗取(凭证盗窃)

服务器或客户端的数字货币凭证被黑客盗取。各种盗取方式也是各显神通,有黑客通过钓鱼盗取数字受害者数字货币交易平台账号方式,有通过恶意软件替换受害者转账目标钱包地址的方式,有通过恶意软件或者漏洞直接盗取受害者数字货币钱包私钥方式,还有通过替换矿机上钱包地址等方式进行盗窃等等。

 

针对区块链相关的攻击,进入2018年以来,勒索有所渐少,挖矿增多。主要原因是勒索目标多数并不知道如何通过比特币缴纳赎金,且多数用户的数据价值没有这么大,勒索的投入产出比比较低。另外由于执法者的打击,部分Raas网站已经关闭。

恶意挖矿蠕虫常利用的漏洞有Apache struts(S2-005到S2-053)、Apache RCE(Apache远程代码执行漏洞曾导致Equifax的重大信息泄露事故)、dotnetnuke、旧windows、linux系统漏洞如17010等;有些可能结合pdf、word栈溢出、堆溢出漏洞等进行恶意代码加载执行,且攻击呈现高度自动化。

图 CoinHive网站首页宣示的其商业主张:利用用户的CPU为网站挖取Monero币

 

名词解释

JBossMiner:利用JBoss、Struts2、EternalBlue等著名漏洞,且集成了MySQL、Redis、Tomcat/Axis攻击模块,进一步通过下载的powershell脚本执行挖矿,并下载执行内网传播及后门代码的恶意软件。由于利用了一系列热门漏洞及攻击工具包,具有明显的黑产特征,上述漏洞利用技巧在后文中被称为“黑产漏洞利用大礼包”。

Cryptojacking:该创新的挖矿手法通过在网页中嵌入挖矿JS脚本通过浏览器调用访问者的计算机资源进行挖矿,初始的目的是在游戏及媒体网站中植入该代码利用访客的闲置计算资源,并减少网站对广告收入的依赖,然而这种技术目前明显被广泛的滥用了。

CoinHive:一个网页挖矿解决方案供应商,提供可被开发者在线嵌入的脚本,便于在开发者利用网站访客的计算机资源为自己挖矿。


基于IoT的僵尸网络及DDoS攻击场景

以Mirai及一系列变种或改进如Satori、IoTReaper等为代表,通过对包括22、23、2323等端口的暴力破解登陆设备,或利用如CWMP端口设备的RCE漏洞传播,并控制被控设备从远程C&C服务器加载获取与控制端通信并开展DDoS攻击的恶意代码。此类僵尸网络面向数量规模巨大的路由器、DVR设备、摄像头等IoT设备进行感染,支持多种协议的DDoS攻击,通信的C&C服务器开始使用DGA算法变更域名。

不像PC或移动设备操作系统有固定几个厂商,IoT设备供应商数量众多,,全球多国大量分布,以及版本碎片化等问题导致相应的安全隐患的解决尚需时日。

 

名词解释

DGA:Domain Generation Algorithm 域名生成算法,已在多个恶意软件中被采用,用于定期产生可被用于C&C服务器的大数量的域名。受感染的主机每天都会尝试联系不同的域名以接受或更新命令,因此此类僵尸网络将难以被执法人员有效关闭。

 

供应链安全相关攻击场景

供应链攻击通常利用用户对供应商的固有信任,将官方软件沦为感染源(比如利用安全软件当后门),是APT组织常用手段,曾经著名的Stuxnet事件借由USB感染并破坏了伊朗的核设施;目前已经有黑产利用供应链污染等手段开展攻击。近年来的著名供应链攻击事件有:

Xshell的Shadowpad攻击CCleaner的后门攻击事件XcodeGhost第三方恶意代码注入苹果App事件等;

近日百度披露的竹节虫攻击也是一种典型的黑产借由供应链进行攻击的事件,通过免费的小工具诱导用户下载使用,内部却嵌入了远控后门及盗刷广告流量的恶意代码。

另外,目前开源开发框架普遍支持第三方组件的上传,。需要高度警惕黑产通过上传恶意代码到组件仓库的方式,攻击用户并窃取隐私数据。

 

图 Stuxnet事件破坏的目标:伊朗核设施之一的Bushehr Nuclear Power Plant的模型[5]

与AI有关的安全话题

(1)AI系统的安全风险:深度学习框架漏洞,攻击平面有训练数据污染(data poisoning attack)、畸形攻击样本输入(Adversarial Examples)等;

(2)逃避AI检测的技术:以CERBER为代表的勒索软件具备了一定的对抗基于AI的静态检测能力。

(3)利用AI的自动化攻击:如钓鱼邮件的自动编辑,定向BEC商业欺诈植入勒索等;

(4)利用AI在社交网络创建谣言,;虽然自动编辑机器人写的文章语法可能会有各种问题,然而社交网络环境下充斥着各种存在语病的口语化文本,这也降低了人们对有语病的文本的警觉性,从而提高了自动编辑的文本附带的恶意链接被点击的概率。

 

图 一种畸形样本输入的针对AI的攻击手段,庙宇被AI识别为鸵鸟[8]

 

名词解释

深度学习框架漏洞:如Caffe, TensorFlow, and Torch等流行的深度学习框架的漏洞。由于如图像处理、科学计算等第三方组件的广泛应用及实现的复杂性,引入了大量的漏洞。详见参考文献[6]。

钓鱼邮件的自动编辑:一种假想场景:基于对邮件编写者写作习惯的自动学习,编辑发送带有勒索payload的钓鱼邮件。详情参考文献[7]。针对特定行业专门训练的钓鱼邮件编写机器人也许已经出现。

 

恶意软件热门话题

(1)无文件或轻文件的恶意代码

利用微软word的漏洞如cve-2017-0199结合 powershell执行恶意代码下载payload进行攻击,或进一步试用WMI实现平行移动,由于攻击代码运行于内存,且使用的是合法的powershell及WMI机制,检测难度较大;著名例子有2016年的PowerSniff、PowerWare、August以及2017年的POSHSPY;2017年中东肆虐的雨刷蠕虫(shamoon)等也利用了类似技术;

(2)各种挖矿恶意程序及蠕虫,属于交叉领域,详见区块链相关攻击场景;

(3)移动恶意软件:

(a)大量利用DirtyCowLinux漏洞获得root权限的Android平台恶意软件;

(b)利用Toast(CVE-2017-0752)覆盖滥用权限接管设备的攻击;

(c)利用Janus(CVE-2017-13156)签名绕过漏洞的攻击;

(d)Android平台勒索如Slocker;

(e)间谍软件相关,典型案例是NSO Group Technologies开发的间谍软件,iOS平台名为pegasus,安卓版名为Chrysaor;

(f)Turla/Sofacy/NewsBeef等APT组织活动;

 

各类钓鱼

(1)商业邮件仿冒(BEC)结合钓鱼网站

如针对CEO等高管或高净值人士的钓鱼,携带恶意文档的邮件将后门或恶意程序植入受害者电脑;或利用如Punycode和Unicode攻击方式通过伪造的钓鱼站点骗取受害者邮件或移动支付账号。然后仿冒CEO或高管身份通过邮件或电话欺诈员工,套取敏感信息、数据或骗取钱财。

(2)短信息钓鱼

通过短信发送含有仿冒域名欺诈消息,骗取用户点击链接后输入如Apple.com登录凭证或电子银行登录凭证。

图 FBI对BEC攻击典型流程的解释[9]

名词解释

Punycode:是一种表示Unicode码和ASCII码的有限的字符集,目的是在于国际化域名标签(IDNA)的框架中,使这些(多语言)的域名可以编码为ASCII。

Punycode攻击:攻击者向受害者发送一封包含恶意网站链接的电子邮件,其中看上去可信的链接诱导用户点击并骗取用户的敏感信息。链接的特征在于欺骗浏览器以为域名是以Punycode编码的,显示的域名信息和用户认为的高度相似(肉眼几乎无法分别真伪),从而达到有效的钓鱼欺骗目的。详情见参考文献[10]。

勒索、Raas(勒索即服务)等

2017年由于方程式组织泄露的多个0Day漏洞利用代码的公开,以及如比特币等电子货币币值的快速增值。包括WannaCry、Petya等蠕虫式勒索病毒全球肆虐。相关详情请参阅网络上的多个报道。

曾经活跃的RaaS服务实例:Philadelphia\Stampado\Frozr Locker\Satan

仍然活跃的RaaS服务:RaasBerry

对RaaS服务Philadelphia的详细案例分析请见参考文献[11]

图  RaasBerry的暗网首页

名词解释

RaaS:勒索即服务,一种帮助别人进行技术犯罪的服务,大大降低了勒索犯罪的门槛,服务提供商为犯罪分子提供了一个软件包,可以帮助犯罪分子方便的搭建C&C服务器,创建勒索软件样本,并管理攻击成果。

 

攻击环节和攻击场景

本节对各个自动化攻击环节中热点攻击技术进行拆解,并对不同的攻击者角色和动机、及对应攻击场景进行了简要梳理。

自动化攻击环节分解

基于洛克希德.马丁公司针对APT攻击研究设计的CyberKillChain模型,一个典型的攻击链[12]由如下7个环节构成:

 ①Reconnaissance

->②Weaponization

->③Delivery

->④Exploitation

->⑤Installation

->⑥Command and control

->⑦Actions on Objectives

针对面向企业的安全威胁,著名的非盈利机构MITRE对上述攻击链进行了改进,后三个环节被调整为Control\Execute\Maintain,如下图:

图 著名非盈利组织METRE发布的面向企业的ATT&CK模型[13]

 

梳理2017年Q1至2018年Q1自动化攻击事件热点,基于METRE的ATT&CK模型进行展开,对各个环节自动攻击热点技术整理如下:

表 CyberKillChain中各阶段对应的热门攻击策略

敌手特征和攻击场景

对黑客进行分类,并分别梳理其动机、目标、及攻击场景。将以黑帽SEO为目的,勒索为目的、数据盗窃为目以及挖矿为目的的的攻击者分别梳理如下:

注:SEO:搜索引擎优化,在此特制黑帽SEO,上表中的SEOer则指以黑帽SEO为目的的攻击者,其他类推。

 

总结

针对服务器场景,对于大部分黑客:经济利益是最终目的。

三个关键要素:

(1) 网页篡改只是表象

(2) 僵尸网络持久控制是黑客攻击的技术目标

(3) 漏洞是基础

 

对于网络安全从业者,未来面对的挑战有:

(1) 恶意挖矿广泛化

(2) 僵尸网络IoT化

(3) 恶意软件无文件化

(4) 软件组件难以信任

(5) 黑产攻击APT化

(6) 数据泄露常态化

(7) 钓鱼攻击智能化

(8) 黑客攻击门槛却在日益减低

 

 

 

参考文献:

[1]https://www.bleepingcomputer.com/news/security/linux-and-windows-servers-targeted-with-rubyminer-malware/

[2]https://yq.aliyun.com/articles/558034

[3]https://kumarde.com/papers/understanding_mirai.pdf

[4]https://en.wikipedia.org/wiki/Domain_generation_algorithm

[5]https://en.wikipedia.org/wiki/Supply_chain_attack

[6] https://arxiv.org/pdf/1711.11008.pdf

[7] https://www.darktrace.com/blog/ai-will-supercharge-spear-phishing/

[8] https://hackernoon.com/the-implications-of-adversarial-examples-deep-learning-bits-3-4086108287c7

[9] https://www.fbi.gov/news/stories/business-e-mail-compromise-on-the-rise

[10] http://www.cs.technion.ac.il/~gabr/papers/homograph_full.pdf

[11] https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/RaaS-Philadelphia.pdf

[12]https://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf

[13] https://attack.mitre.org/wiki/Introduction_and_Overview#cite_note-2

 



我要推荐
转发到