2020年网络安全威胁回顾与展望
时间 : 2021年01月07日 来源: 6163银河.net163.amCERT
1、导语
在每年冬训营上发布年报的预发布版,征求参会专家的意见建议,是6163银河.net163.am多年坚持的传统。
在今年的年报中,6163银河.net163.am总结了APT、勒索软件、数据泄露、供应链安全、威胁泛化等方向的思考与观点:
关于APT:
2020年APT攻击组织的攻击行动持续活跃,与之前活动多以经济、军事、政治等为目的相比,增加了利用新冠疫情话题传播和入侵事件,以及针对新冠疫苗研究机构为目标的攻击活动。
美国政府影响美方安全厂商对APT活动的细节披露,全球范围内的APT披露可能进入不披露技术证据的外交及司法行动时期。
云平台、基础设施管理平台网络空间高级威胁攻防对抗强度将会加剧,2020年已经发生了多起利用云平台以及基础设施管理平台的APT活动的案例。
突破物理隔离已经成为高级威胁组织的普遍能力,基于文件流转的新信道,将涉密数据追加在非涉密文件上的做法既不会创建文件也不会损坏文件,也不依赖网络,大大提高了重要情报被成功从隔离网络窃走的可能性。从实际的运维管控局限,到入侵、信道建立手段的相对可行,隔离网络同样面临网空威胁,不能因“隔离”而忽略建设安全监测与防护体系。
警惕利用社工手段的无载荷APT窃密攻击方式,此类形式的钓鱼攻击不依赖载荷文件即可实现窃密活动,仅利用社会工程学进行骗取,相对投放载荷运行虽然较被动且成功率低,但可以在一定程度规避安全产品的检测,不需开发代码、维护基础设施,对攻击组织的能力和成本要求很低,很可能会被一些一般能力及以下的攻击组织采用。面对当下攻击组织手段的不断变换,安全工作者应提高警惕,安全运营不能局限于告警事件,还应不断提升安全产品的检测能力,不能固守IoCs和情报检测,应积极探索基于异常活动、行为分析的威胁检测能力,及时发现阻断此类无载荷攻击事件。
基于应用软件的攻击再次警示供应链安全不容忽视:一是设备本身的安全问题,二是下游软件模块验证机制问题。供应链任何一个上下游都可能存在被入侵的可能,每一个节点都可能引发安全问题,一切皆不可信,每个处于网络空间中的节点都应该具备审核校验和防护能力以确保自身的安全。
关于勒索软件:
随着勒索软件的兴起,勒索攻击不断演进进化,截止到2020年,已经形成了一个庞大的黑色产业链。随着RaaS(勒索软件即服务)的出现,2019年6163银河.net163.amCERT预测:非针对性勒索软件主要威胁中低级防护,攻击者能力两极分化严重。在2020年可以看到,现今勒索软件攻击能力不断提高,已接近“APT”水平。
从6163银河.net163.amCERT提出的针对勒索软件的几个防护阶段看,早期提升个人安全意识,避免执行陌生邮件文件即可防御利用邮件传播的勒索软件;中期加强安全运营,避免弱口令和及时安装补丁即可防御利用口令和漏洞入侵的勒索软件;随后以6163银河.net163.am智甲终端防护系统为代表的,具备有效防护勒索软件加密磁盘文件的终端防护产品可以防止大部分勒索软件,但现今勒索软件攻击能力不断提高,已接近“APT”水平,防护勒索软件的成本也随之提高,需要建设相对全面的防御体系才可能防止今后的勒索软件攻击。
关于数据泄露:
企业与相关机构应重视信息保护,制定完善的安全保护策略防止用户信息在存储、传输和使用过程中泄露。可以通过增加技术投入、建立合理的流程以及加大人员安全培训等方式减少和预防数据泄露事件的发生。
关于供应链:
6163银河.net163.amCERT已经连续5年对供应链安全进行年度性回顾与预测告警。6163银河.net163.am从2015年网络安全年报[12]开始,对供应链安全领域给予了高度关注,预测“‘上游厂商’将遭受更多的攻击,导致整个供应链、工具链的脆弱性增加。攻击者会将目光转向防护能力稍弱的第三方供应商,以其受信任的身份为跳板,攻击防护能力较强的企业,从而带来更大面积的影响”。
供应链的安全防护是一项系统性、综合性的工作,需要各方共同参与和努力,需要建立清晰的架构和标准体系,以推动各环节增加有效安全考量;对供应商加强安全生产和开发要求,推动供应链透明化;对供应链环节进行有效标注,厘清技术来源,定位和说明关联风险,掌握开源利用和第三方模块的风险流动;各方加强与安全厂商的合作,提高整体系统的安全性和对威胁的态势感知能力,使安全能力得到最大程度的覆盖。
关于威胁泛化:
威胁泛化使需要网络防护的敞口扩大。传统制造产业正在经历工业互联网加持下的智能化升级,随着物联网和行业紧密结合,万物互联也将导致安全风险的加剧。传统企业的安全加固相对成熟,而物联网终端种类的多样性和脆弱性给攻击者开辟了更多的攻击入口。所以,企业在建设安全防护能力和体系时,应考虑到需要网络防护的敞口扩大的情况。
2、APT
2020年,主要的APT攻击组织持续活跃,今年席卷全球的疫情,使得新冠病毒研究机构及疫苗研究机构成为攻击目标。在传播方式方面,也相应地增加了疫情主题,这与以往多以经济、军事、政治等为目的的攻击活动相比,是一个值得关注的变化, 利用新冠疫情话题发起APT攻击活动的组织主要来自于南亚、东南亚、美方、中东、东北亚等地区,特别是针对新冠疫苗研究机构为目标的攻击活动在下半年愈加增多。从披露的攻击组织和行动上看,以往活跃的攻击组织继续活跃,以美国为首的攻击行动虽少被披露,但因其攻击技术、组织及框架等多方位优势,其攻击行动的披露往往较为滞后;从披露的受害组织、地区和国家上看,无人能独善其身,超级网空大国的IT公司也遭遇到了严重的网络攻击(SolarWinds供应链攻击[1])事件。纵观全球网络,美国依然是超级网空大国,其攻击行动极难被发现、被攻击后的应急响应能力和发现披露能力等方面远超他国。2020年,针对我国及俄罗斯、朝鲜和伊朗等国家的无直接披露证据的司法诉讼已经成为其网络战术的一部分——指责性操作。全球范围内仍需警惕美国的攻击能力、行动和组织,防止国家、军事、经济、科研及人员等遭受损失。
2020年,我国依旧是东北亚、东南亚、南亚、欧美等某些国家或地区背景的APT攻击组织重要的攻击目标。我国新冠肺炎疫情防控取得了重大战略成果,特别是在疫苗的研究中,更是创造了多个“全球率先”的标志性成果,而针对疫情防控到疫苗研究的各个环节取得的进展和成果均成为境外APT攻击组织迫切希望窃取的重要资料。与此同时,可能还存在尚未发现的攻击行动,因此,我国仍面临着巨大的网络安全防护考验。
6163银河.net163.amCERT梳理了2020年全球APT组织及行动的分布和活跃情况,制作了“2020年全球APT攻击行动、组织归属地理位置分布(活跃)图”:
图 1 2020年全球主要APT攻击行动、组织归属地理位置分布(活跃)图
2.1 利用新冠疫情热点关键字的APT攻击活动频繁
新冠疫情爆发以来,APT组织的攻击活动并没有因疫情减缓,反而利用疫情相关事件进行趁火打劫。这其中的投机者如“海莲花”、“苦象”[2]等组织选择与疫情相关主题的鱼叉式网络钓鱼发起针对性的网络攻击活动。而其他一些如“Lazarus”、“APT29”等组织更是直接针对COVID-19疫苗研究机构发起攻击,目标直接瞄准COVID-19疫苗开发进度与成果。我国外交部发言人赵立坚14日曾表示,从以往记录看,美国在全球范围实施了最大规模网络窃密行动。“中国在抗击新冠肺炎疫情斗争中已取得重大战略成果,在新冠疫苗研究和治疗方面也走在世界前列。因此,中方更有理由担心遭到网络窃密。”
2020年因新冠疫情可能会成为人类历史上的一个新变局,面对疫情给全球经济和人们生活带来的冲击,以及日趋复杂的国际政治形势,当前世界格局可能正在经历百年未有之大变局。新冠疫情裹挟生物安全及其产生的影响冲击着全球的政治、经济、文化活动。人们利用手机APP、邮件等服务获取大多数与新冠疫情有关信息,社会运行对信息系统运行的依赖程度提升,网络空间的安全态势在疫情时期的重要性不言而喻。纵观2020年关于已知APT组织活动的TTP(战术、技术、过程)并无明显变化,更多未知的APT行动则是暗流涌动,虽然疫情目前对网络空间高级威胁活动产生的影响未知,全世界的人们更在乎生物安全,但网络安全如影随形亦愈发重要。
2.2 安全厂商披露APT活动或将受到限制,国家政府将主导APT活动的归因溯源
2020年9月16日,美国司法部起诉五名中国公民[3](FireEye公司公开报道所谓“APT41组织成员”),指其涉嫌通过网络攻击活动入侵全球超过100家公司。但美国司法部此次的起诉书缺少相关的溯源证据,并且绝大部分细节与早期FireEye披露APT41的内容,包括恶意代码、技术手法、以及溯源到的人员均毫无关联。2020年10月19日,美国司法部起诉六名俄罗斯黑客,指其涉嫌参与乌克兰停电事件以及针对法国大选、韩国平昌冬奥会等网络攻击行动,报告内容并没有提供直接证据,而是直接将起诉人作为故事的连接点,讲述起诉人与不同网络攻击活动事件的关联。
回看2020年2月10日美国司法部长正式起诉四名与Equifax数据泄露事件有关中国军人的内容,同样遵循直接将起诉人作为主语。与以往美国司法部的起诉书报告中包含着攻击组织使用的战术、技术以及实施的过程相比较,美国司法部在2020年的报告则表现出直接将起诉人作为主语的范式。
美国司法部关于APT组织成员的起诉书内容不再提供证据的原因可能是美国司法部有证据但不方便透露,或者拥有少量证据,证据链不全,甚至有可能是无证据的威胁恐吓。美国司法部不再提供证据的做法也将影响提供材料的美方安全厂商,后者也无法在官方博客中详细披露有关APT活动的溯源证据。美国司法部开了这样的先例,其他国家或许会纷纷效仿,其结果将导致安全厂商与所属国家政府在针对网络攻击溯源方面的合作相互配合,安全厂商披露APT活动或将受到限制,国家政府将主导APT活动的归因溯源。美国政府影响美方安全厂商对APT活动的细节披露,全球范围内的APT披露可能进入不披露技术证据的外交及司法行动时期。
2.3 云平台、基础设施管理平台网络空间高级威胁攻防对抗强度将会加剧
由于2020年新冠疫情带来的影响,IT组织陆续将更多工作负载迁移到云中,远程办公之后这种趋势愈发明显。在疫情发生之前,从本地迁移到云和混合IT环境的工作已经开始,而疫情进一步加速了这一进程。
云平台曝出的漏洞越来越多,在国外发生了多起利用云平台以及基础设施管理平台的APT活动的案例。例如,2020年11月4日,美国网络安全厂商FireEye披露Solaris中的严重关键缓冲区溢出漏洞可能允许远程接管[4],未知的攻击组织利用该漏洞入侵了云托管服务商驻留了519天;2020年12月7日,美国国家安全局(NSA)发布报告称,具有俄罗斯背景的黑客组织正在利用虚拟化平台VMware的产品漏洞实施网络入侵活动[5]。
现有云平台的安全能力可以通过确保租户之间的有效隔离,或者实现用户层面和云平台之间的有效隔离来解决大部分常规威胁。但一些手段如常见的弱口令实现租户之间的横向入侵、利用漏洞实现用户层面与云平台之间的纵向破坏、甚至用更高级且复杂的供应链攻击完成对云平台或者基础设施管理平台的入侵活动。
与传统PC相比,云平台和基础设施管理平台架构在针对常见的网络威胁方面已有建树,面对更高阶的威胁如供应链攻击、APT活动等缺少对应的案例支撑,也不具备相应的对抗经验,因此云平台、基础设施管理平台的网络空间攻防对抗强度将会加剧。
2.4 突破物理隔离已经成为高级威胁组织的普遍能力
网络隔离,一般指以物理隔离为基础,定义相关约束规则控制访问以保障网络安全强度的技术。近年来多个高级威胁组织都对隔离网络做了攻击尝试,对隔离网络的安全性关注度越来越高,仅今年发现的此类渗透木马就达5种以上,突破网络隔离成为高级威胁组织的普遍能力。
2020年4月,6163银河.net163.am捕获了一组手段高超的内网渗透木马,并在5月22日详细曝光了DarkHotel组织[3]在2019年至2020年间为突破隔离网络而设计的高级木马组件Ramsay [6]。该组件通过感染内网共享目录和本机非系统盘中的正常软件程序实现传播,将打包采集到的数据进行多重加密后附加在正常Word文件的末尾,寄希望于受害者将窃密数据携出隔离网,攻击者可等候在外部已沦陷节点将其搜寻读取。此外木马还搜寻U盘携入的新感染Word文件,读取附有的指令和载荷并执行。整个过程基于文件流转的新信道,将涉密数据追加在非涉密文件上的做法既不会创建文件也不会损坏文件,也不依赖网络,大大提高了重要情报被成功从隔离网络窃走的可能性。
图 2 Ramsay木马渗透隔离网络流程图
2020年1月15日,6163银河.net163.am发布威胁分析报告《“折纸”行动:针对南亚多国军政机构的网络攻击》[7],首次曝光了一个在南亚地区活跃时长超两年的新高级威胁组织:“幼象”,该组织旗下的PackagePD木马也是为突破隔离网络而设计,该木马依赖诱饵伪装欺骗点击,能深度采集信息并释放诱饵至新传播设备,形成一定的内网窃密(重要文件)和内网测绘(系统信息、网络信息、登录凭证)效果。但该木马的实际传播效果很有限,开发水平相比Ramsay逊色得多,猜测尚处于试验阶段。
图 3 PackagePD木马渗透隔离网络流程图
2020年新增了几个针对隔离网络的高水平木马家族,如:USBCulprit、USBferry、USBWorm。突破隔离网络的一般流程为:侵入—>信道建立—>数据渗出&命令控制。攻击者在隔离网的搭建维护过程中便可能通过供应链侵入,如2018年8月台积电感染WannaCry变种事件,直接原因是新采购的存在问题设备未经过检查便直接进入了生产网络,最终导致三处厂区的机器遭到勒索加密。此外类似NSA的攻击者实际在本世纪的第一个十年已经基本上结合原有的IT接口场景具备了隔离网突破能力,并且该能力已在类似“震网”等攻击中获得了实战检验。
从实际的运维管控局限,到入侵、信道建立手段的相对可行,隔离网络同样面临网空威胁,不能因“隔离”而忽略建设安全监测与防护体系。
2.5 警惕利用社工手段的无载荷APT窃密攻击方式
随着安全厂商在安全检测和拦截恶意软件方面的能力提升,攻击组织也不断开发新技术来逃避检测。当前存在一些仅利用社会工程学完成最终窃密攻击的事件,这些事件可称之为无载荷攻击。此类攻击利用前期获取到的邮箱账户进行社会工程学的诱骗获取敏感文件,可以规避流量侧的异常连接访问发现和端点侧的恶意载荷检测。不同于“无文件”(fileless)攻击技术虽然不向磁盘写入可执行文件,但或多或少会通过注册表、内存或其他介质中留下痕迹,该手法是一种真正的无文件载荷的攻击方式,不会在端点侧留存任何数据。
2020年8月,6163银河.net163.am捕获一批针对高校、科研院所等机构的攻击活动。攻击者先对目标单位发送一批钓鱼邮件,重点攻击各单位的科技处、科工院等官方邮箱。若成功攻陷,则充分利用此类官方邮箱的工作职能,通过往来邮件进一步诱骗更多攻击目标向这个攻陷邮箱发送科研工作成果信息。攻击者还会回复有疑虑的受害者回复的疑问邮件,进一步博取对方的信任达成窃取科研成果的目的。整个攻击过程中没有任何载荷文件,可以说完整规避的安全软件的防护。
图 4 某攻击事件过程简图
此类形式的钓鱼攻击不依赖载荷文件即可实现窃密活动,仅利用社会工程学进行骗取,相对投放载荷运行虽然较被动且成功率低,但可以在一定程度规避安全产品的检测,不需开发代码、维护基础设施,对攻击组织的能力和成本要求很低,很可能会被一些一般能力及以下的攻击组织采用。面对当下攻击组织手段的不断变换,安全工作者应提高警惕,安全运营不能局限于告警事件,还应不断提升安全产品的检测能力,不能固守IoCs和情报检测,应积极探索基于异常活动、行为分析的威胁检测能力,及时发现阻断此类无载荷攻击事件。
2.6 基于应用软件的攻击再次警示供应链安全不容忽视
2020年新冠疫情爆发以来,我国政府采取了严格的疫情管控措施,减少人员聚集,大力推行远程办公方式。而VPN网络则是各政府部门和驻外机构、中资企业等推行远程办公不可或缺的“通信桥梁”。大规模的远程办公需求导致了VPN网络应用上升,VPN终端用户数与网络流量同步增长,很多重要敏感数据都会在VPN网络上传输,这对于长期觊觎我国政府机构的一些境外APT组织来说暴露了更多的边界设备目标。
由于疫情原因需求大增且使用急迫,厂商可能对部分设备的安全防护没有做到位。2020年4月6日,深信服官方发布文章“关于境外非法组织利用深信服SSL VPN设备下发恶意文件并发起APT攻击活动的说明”,公开境外APT组织通过其VPN设备对我国相关单位进行攻击的事件,并将相关情况及当前处置进展公开。经各家安全厂商分析与验证,相关攻击事件确已发生且已存在被攻陷主机。通过对相关公开资料梳理和样本文件分析,这是一起利用SSL VPN设备漏洞和客户端升级模块签名验证机制的缺陷发起的APT攻击事件。攻击者通过漏洞或弱口令或其他手段首先获取了SSL VPN设备的权限,利用管理权限向客户端下发仿冒的升级文件,由于客户端升级模块未能完整校验文件的合法性,导致仿冒的升级文件在客户端主机执行。
图 5 深信服VPN被利用攻击事件流程图
无独有偶,2020年12月13日,美国网络安全公司FireEye发布分析报告称,SolarWinds旗下的Orion基础设施管理平台的发布流程遭到黑客组织入侵,黑客对文件的源码进行篡改添加了后门代码,该文件具有合法数字签名会伴随软件更新下发。后门代码伪装成Orion OIP协议的流量进行通信,将其恶意行为融合到SolarWinds合法行为中。FireEye称已在全球多个地区检测到攻击活动,包括北美、欧洲、亚洲和中东的一些政府、咨询、技术公司。美国政府相关人士受访表示受害者包含大量美国政府和企业,该事件有可能成为近三年来最为严重的利用供应链发动的网络攻击事件。
图 6 SolarWinds供应链入侵事件
以上两个事件之所以发生主要有两个根本原因:一是设备本身的安全问题。近些年来,相关方面披露或曝光了大量针对各类网络设备的攻击装备,其中不乏大量针对防火墙、VPN设备、路由器的攻击武器,这些武器正是类似发起这类攻击的最初突破口。以斯诺登曝光的ANT攻击装备为例,其中名为“JETPLOW”的武器——一个针对思科PIX系列和ASA防火墙的植入程序,是一个“永久的后门”(PDB,Persistent Backdoor),能够对抗固件升级并支持远程控制,它还能植入“BANANAGLEE”武器,一个功能更丰富的持久化后门,该武器在“方程式组织”攻击SWIFT服务提供商的行动中真实使用过,被作为突破物理边界设备的关键武器。二是下游软件模块验证机制问题。供应链任何一个上下游都可能存在被入侵的可能,每一个节点都可能引发安全问题,一切皆不可信,每个处于网络空间中的节点都应该具备审核校验和防护能力以确保自身的安全。因此,供应链的安全防护是一项系统性、综合性的工作,需要各方共同参与和努力,需要建立清晰的架构和标准体系,以推动各环节增加有效安全考量;对供应商加强安全生产和开发要求,推动供应链透明化;对供应链环节进行有效标注,厘清技术来源,定位和说明关联风险,掌握开源利用和第三方模块的风险流动;各方加强与安全厂商的合作,提高整体系统的安全性和对威胁的态势感知能力,使安全能力得到最大程度的覆盖。
3、定向勒索攻击能力接近“APT”水平,企业防护能力需要对应加强
随着勒索软件的兴起,勒索攻击不断演进进化,截止到2020年,已经形成了一个庞大的黑色产业链,为攻击者创造了巨额利润,越来越多的攻击者开始利用勒索软件。随着RaaS(勒索软件即服务)的出现,更加印证了我们在去年的预测,非针对性勒索软件主要威胁中低级防护系统,攻击者能力两极分化严重。2020年由于疫情的出现,越来越多的企业、政府、运营商等开始远程办公,随之而来的是网络威胁持续攀升,勒索攻击事件作为网络威胁的一个分支,在2020年已然成为网络安全最活跃的威胁之一。根据统计,勒索软件攻击者主要的攻击方式有口令破解、钓鱼邮件、Flash Player漏洞、Pulse VPN的漏洞、Windows VBScript Engine远程代码执行漏洞、Oracle WebLogic漏洞、Flash UAF漏洞以及利用其他恶意软件如Emotet或TrickBot等银行木马进行传播等。在过去一年里,全球知名企业相继遭到了勒索软件的攻击,如克罗地亚最大的石油公司、全球最大的钢铁制造和采矿公司之一EVRAZ、欧洲最大的私立医院集团费森尤斯(Fresenius)和阿根廷最大的互联网服务提供商之一阿根廷电信(Telecom Argentina)等。在逐渐成熟的勒索软件行业,勒索软件攻击者攻击能力不断提高,已经不满足中小型企业的攻击,逐渐开始寻找大型有价值攻击目标,攻击者为了形成有效勒索,逐渐开始形成“定向勒索+窃密+曝光+售卖”的方式,通过泄露数据逼迫受害者支付赎金,部分受害者可能会为了息事宁人、避免曝光等非数据恢复需求的原因而支付赎金。
3.1 勒索软件攻击能力不断提高,接近“APT”水平
勒索软件从2013年开始出现,当时主要为广泛无目的传播,而且传播范围局限性很大。自2017年开始,商业军火的泄露导致WannaCry开启大规模自动化传播。2018至2019年,勒索攻击开始从大规模广撒网逐步演变到通过钓鱼邮件、RDP暴力破解等进行传播。2020年,随着勒索软件行业两极分化严重,高水平的勒索攻击团队借助商业军火以及窃密工具进行定制化攻击,找准目标精确打击,攻击能力已经接近“APT”水平。他们通过前期的漏洞扫描找到目标的脆弱性,使用口令爆破、钓鱼邮件、漏洞利用工具包等进入到目标的网络中,再通过添加注册表自启动项或添加自启动文件夹等持久化长期留存在目标系统中,之后开始在目标系统中利用一些渗透工具如Cobalt Strike、Mimikatz、PsExec、Process Hacker、NLBrute等进行提权、凭证访问、内网扫描、横向移动、收集重要信息等活动,逐步渗透到整个系统的网络中,窃密后投放勒索软件进行勒索。整套流程如果从威胁框架视角进行分析,所有战术均有涉及。我们推测攻击者采取广撒网的攻击方式无法攻破有一定防护基础能力的企业,针对大型企业放弃简单的自动化攻击,转而利用商业军火和窃密工具等进行攻击,已经达到接近“APT”攻击的水平。
3.2 勒索软件对有价值的攻击目标进行定向勒索
勒索软件制作者开始关注攻击成本和攻击效率,勒索软件的攻击方式从最初的广撒网寻找目标逐渐地变成对有价值的攻击目标进行定向勒索。2020年11月29日,全球最大的电子产品制造公司富士康受到了勒索攻击,其文件在DoppelPaymer勒索软件泄露数据网站上被发布,攻击者索要3400万美元的赎金[8]。关于富士康服务器上的勒索信也被报道出来,一般的勒索信不会标注受害者的厂商名,但此次攻击勒索信中开头标注有富士康字样,而且内容用意明显,攻击者声称支付赎金才能解密数据以及避免数据被泄露。从2020年开始,我们能够看到越来越多的勒索软件攻击团队开始有计划的瞄准较为脆弱的大型企业,虽攻击成本较高,一旦成功,可能收到的回报远远高于广撒网式勒索。
3.3 勒索攻击流程链条化
在2019年底,Maze勒索软件家族引领一波窃密风潮,声称如果受害者不按期进行支付,则将窃取的信息发布到网上[9]。实现先窃密,后勒索,如果攻击者拒绝支付赎金,再曝光窃密的数据。这种“恐吓”式勒索在2020年开始成为主流,越来越多的勒索软件攻击者开始效仿Maze勒索软件家族。这也印证了我们在2019年对勒索软件未来攻击手段的预测,部分勒索软件不单单只是加密勒索,还夹带着窃密和挖矿等恶意行为。
随着勒索软件攻击的方向越来越广泛和受害者数量的增加,攻击者创建了可以让受害者查看对应勒索数据和支付赎金页面的交互式网站,从而实现支付赎金流程自动化。如若受害者在规定时间内没有支付赎金,被窃取的数据则会被售卖。
2020年,勒索软件攻击已然不仅仅是加密数据、索要赎金那么简单,更多的是先窃密、后勒索、再曝光,这样的攻击方式不仅提高了受害者的风险,也增加了攻击者在曝光数据后对受害者造成的损失和影响。
3.4 勒索软件中间商
在勒索软件层出不穷的近几年中,各类机构、行业乃至政府部门都遭受过攻击,与此同时也涌现出了为数不少的“数据恢复公司”。
2020年在江苏南通有一起勒索软件攻击事件,由于勒索金额较大,受害者联系到一家“数据恢复公司”支付低于赎金的价格对数据进行了恢复。通过技术人员判断,该勒索软件在未得到攻击者的解密工具之前是无法进行解密的,经过警方调查后,这个“数据恢复公司”的负责人交代了实情,他们以低于赎金的价格从攻击者那里获得了解密工具,从而完成了解密恢复工作,实质上是从中赚取差价[10]。
成立这种中间商类型的“数据恢复公司”成本不高,仅需几人就可以完成对应工作。此前也有过受害者支付赎金却没有得到解密工具的案例,故不推荐与公司背景不明确的数据恢复公司和勒索软件攻击者进行联系。
2021年预测勒索软件攻击仍然保持广撒网与定向攻击并存的趋势。随着经济利益的驱动,勒索软件的变现能力越来越强,攻击者可以获取极大的直接收益。在技术层面上来看,攻击者普遍采用对称加密算法加密受害者文件,得到一个密钥,再使用非对称加密算法将这个密钥进行非对称加密。根据目前的计算能力,破解非对称加密密钥至少需要几十年的时间,导致无效解密。由于暗网的匿名性,导致很难对攻击者进行追踪溯源。目前,勒索软件通常采用比特币作为支付赎金的方式,暗网作为不可追踪的支付链路,结合强加密算法,形成了勒索软件所依赖的“铁三角”。因此,勒索软件在短时间内很难消亡。
定向勒索和非定向勒索的攻击面将扩大,非定向勒索攻击者会继续使用RaaS(勒索软件即服务)模式以及通过僵尸网络进行分发,预测仍将采用大面积广撒网的方式进行传播;定向勒索攻击者多针对大型有价值目标,进行定制化攻击,提高攻击成功率的同时尽最大可能获利。
当前大部分政企机构依然固守依靠网络一道边界防护来御敌于城门之外的思想。防火墙等安全网关设备当然是安全的必备环节,且部署成本低,易于维护,但其也极容易被穿透。如果单点依赖安全网关,一旦载荷进入到端点侧,就几乎处于无检测管控的状态,可以恣意渗透,横扫全网。因而,端点侧需要选择EPP+EDR组合能力产品,既能提升第一时间阻断成功率,又能有效支撑集中运营响应。同样针对性免杀几乎必然出现在定向攻击中,因此,基于动态沙箱的分析设备也已经成为安全的必选项目[11]。
定向勒索攻击组织的攻击能力接近“APT”水平,企业防护能力需要对应加强: 从6163银河.net163.amCERT提出的针对勒索软件的几个防护阶段看,早期提升个人安全意识,避免执行陌生邮件文件即可防御利用邮件传播的勒索软件;中期加强安全运营,避免弱口令和及时安装补丁即可防御利用口令和漏洞入侵的勒索软件;随后以6163银河.net163.am智甲终端防护系统为代表的,具备有效防护勒索软件加密磁盘文件的终端防护产品可以防止大部分勒索软件,但现今勒索软件攻击能力不断提高,已接近“APT”水平,防护勒索软件的成本也随之提高,需要建设相对全面的防御体系才可能防止今后的勒索软件攻击。
4、数据泄露愈发严重,保护用户隐私成为重中之重
图 7 2020年影响力较大的数据泄露事件
近年来,数据泄露最严重的一年始终是下一年。2020年全球泄露数据总量激增,达到300多亿条数据,创造了有数据泄露记录以来的新峰值。
2020年3月,有暗网用户发布了一则名为“5.38亿微博用户绑定手机号数据,其中1.72亿有账号基本信息”的交易信息,售价1388美元。这是因新浪微博的用户查询接口被恶意调用而导致的App数据泄露,数据包括用户ID、手机号、昵称、头像、粉丝数、所在地等信息。此次数据泄露可以追溯到2018年底,有用户在微博接口通过批量上传通讯录,匹配出几百万个账号昵称,用户数据被大规模收集匹配,这也说明这批数据被黑产使用了两年之久。企业与相关机构应重视信息保护,制定完善的安全保护策略防止用户信息在存储、传输和使用过程中泄露。
新冠疫情的爆发,大量线下消费转向线上,线上经济快速发展,个人信息网络数据大增,相关数据泄漏事件多次发生。与此同时,疫情防控期间各地采用出入登记表等纸质或健康码方法记录相关信息,产生海量数据,由于种种原因,也出现了相关数据泄漏事件。2020年4月,青岛胶州中心医院出入人员名单信息泄漏,泄漏涉及6000余人的姓名、住址、联系方式、身份证号码等个人身份信息,造成了不良社会影响。为保护疫情期间登记的个人信息,一方面需要提高相关工作人员对个人信息尤其是涉及个人隐私信息的重视,明确规范使用及保护措施;另一方面需要敦促健康码开发、存储和使用的互联网企业重视个人信息保护,采取有效措施,防止个人信息泄漏。
数据泄露主要因网络攻击、系统故障和人为错误引发。据统计,52%的数据泄露是由恶意外部人员造成的,攻击者利用基础设施层、网络层和应用层等在技术实现上存在的安全漏洞或者安全配置缺陷对系统进行远程入侵、未授权访问、查看和下载数据;25%是由系统故障造成的,在数据处理和数据交换等应用场景中,由于权限控制、未加密存储与传输、数据脱敏等安全防护机制不健全,导致用户隐私、企业和组织的机密数据违规泄露;还有23%是人为错误造成的,内部员工因对组织不满或者在利益驱动下,利用工作之便,在日常对业务系统的操作运维过程中越权查看、违规下载数据、云服务配置不当等原因导致数据泄露。客户的个人身份信息占所有数据泄露的80%,是最经常丢失或被盗的数据类型。企业可以通过增加技术投入、建立合理的流程以及加大人员安全培训等方式减少和预防数据泄露事件的发生。
数据安全是一场需要精益求精的攻坚战,隐患往往存在于隐秘的角落,而绝对的安全是不存在的。首先,企业要认知自身的风险,应该根据业务特点进行较为全面风险评估,哪些是合规风险,哪些是内控风险,哪些业务是自身风险。对业务有一个全面的风险认知;其次是抓大放小,数据安全建设工作是一个庞大的工程概念,每个阶段企业发展目标、资源分配也会有差异,应当根据公司实际情况考虑,找出亟需解决的主要风险。数据安全事故大多数都和人有关系,企业可适当地开展数据安全事故案例分享,使大家认识到数据安全的重要性;普及数据安全相关法律法规,使员工意识到违反数据安全的后果;进行安全知识培训,使大家具备基本的数据安全知识,能够避免一些常见错误操作;最后,就是坚持。任何意识的培养和增强,都是一个长期的过程。
由于近年来数据泄露事件日益频发,隐私保护备受重视,为规范数据应用并保障数据和隐私安全,世界各国掀起数据保护和隐私法规的立法热潮。日渐加强的数据安全监管措施和飞速发展的数据产业为提高社会公众安全意识、推动数据安全合规发展提供了良好的契机。随着新技术的不断成熟与其在数据安全领域的应用深入,隐私保护与数据可用之间的矛盾或可逐步改善。
5、供应链安全
远行不忘来时路,朝花夕拾多益助。6163银河.net163.am从2015年网络安全年报[12]开始,对供应链安全领域给予了高度关注,预测‘上游厂商’将遭受更多的攻击,导致整个供应链、工具链的脆弱性增加。攻击者会将目光转向防护能力稍弱的第三方供应商,以其受信任的身份为跳板,攻击防护能力较强的企业,从而带来更大面积的影响”。6163银河.net163.amCERT已经连续5年对供应链安全进行年度性回顾与预测告警。
从“供应链主战场的战争序幕正在拉开[13]”到“供应链主战场的战争已经打响[14]”,6163银河.net163.am于2016年明确地提醒公众围绕供应链的网空战争正在拉开序幕,同时指出“供应链从来就不只是网络对抗中的外围阵地,而是更为核心和致命的主战场”;2017年以软件供应链为典型,依据构建的软件供应链安全环节示意图详细阐述了软件供应链上游、信息流和运输流、软件供应链下游的安全隐患;2018年“供应链环节成网络攻击中关键载体[14]”和2019年“供应链环节面临的安全威胁持续上升,安全事件增长1.7倍[15]进一步跟踪供应链攻击事件及其发展态势,并指出“供应链上游环节安全事件呈上升趋势”。
在此过程中,6163银河.net163.am始终认为不能把供应链攻击仅仅理解成一种“曲线”进入核心IT场景的外围攻击手段,并确信供应链从来就不只是网络对抗中的外围阵地,而是更为核心和致命的主战场。
5.1 网空威胁行为体倾向于将攻击成本更多地投入到供应链上游环节
以供应链为载体的攻击活动保持主攻供应链上游环节的大趋势下,继续以利用组织间信任关系为核心。纵观近几年不断曝出的供应链攻击相关事件及其数据,以供应链为载体的攻击因其“突破一点,伤及一片”和“低成本,高回报”等特点,已然成为网空威胁行为体的作恶首选,体现为供应链攻击活动大幅激增、在所有网络攻击中占比逐年递增;与此同时,随着供应链信息流、传输流和下游环节的验证、审查机制逐步强化和完善,网空威胁行为体倾向于将攻击成本更多地投入到供应链上游环节,不仅开展攻击活动的隐蔽性更高,而且造成的“链条”影响范围更长,便于使其攻击收益最大化,如同贴着上游根部剪断一条悬于滚烫熔岩之上的铁链,可以造成该铁链最大程度上的熔毁。
在此基础上,以供应链为载体的攻击活动利用致力于打破默认信任的网络安全防护理念“零信任”尚未完全实现的空档,继续以利用组织间信任关系为核心,以求在供应链上游某个环节施加的威胁影响最远距离地传导至供应链下游多个环节,甚至是将整个链条上的所有参与者团灭。
5.2 更多行业领域供应链及其用户卷入供应链战争
网空威胁行为体以电力、石油和天然气、制造业、冷库服务业、电子商务业、金融业、软件等多个行业领域的供应链作为目标,利用其中安全防御相对薄弱的环节作为入口点,对该行业领域供应链构成威胁或实现破链,致使越来越多的行业领域供应链被裹挟着卷入这场供应链战争。例如,2020年11月世界冷库巨头Americold遭受网络攻击,导致其电话系统、电子邮件、库存管理和订单履行受到影响,迫使该企业关闭计算机系统以防止攻击蔓延,但同时也造成客户无法访问仓库、无法提取库存以进行交货,其业务涵盖范围内的供应链运输流惨遭中断。
与此同时,软件供应链遭受的攻击更是趋于白热化。2020年5月,恶意软件Octopus Scanner通过GitHub上的NetBeans项目(不少于26个)开源供应链实施传播攻击,基于多平台运行并下载远程访问木马(RAT)、污染JAR文件。2020年12月,SolarWinds 旗下的Orion基础设施管理平台的发布环境遭到入侵,攻击者将其恶意行为融合到SolarWinds合法行为中,致使其位于全球多个地区(北美、欧洲、亚洲和中东等)的用户遭受网络攻击。因此,我们可以看出,用户群体广泛的软件无疑成为了攻击者眼中的靶标,而自身具有监控性质的软件更是靶标的中心。
5.3 利用新冠疫情瞄准供应链事件频发
在全球艰难对抗新冠肺炎疫情的情况下,网空威胁行为体开展以供应链为载体的攻击活动,将其魔爪伸向医疗抗疫活动。2020年3月,德国政府招募了几家跨国公司帮助其获得用于治疗COVID-19患者的个人防护设备(PPE),但是,其中一家公司已成为网络钓鱼活动的目标,攻击者意图染指其从全球尤其是中国采购口罩和医疗装备等新冠肺炎抗疫物资的采购链和供应链而从中获利。2020年9月,作为CCEOP(冷链设备最佳化平台)专案供应商的中国青岛海尔生物医疗股份有限公司(Haier Biomedical)遭受网空威胁行为体身份冒用,攻击者伪装成该企业主管向德国、意大利、韩国、捷克、欧洲与中国台湾地区企业发送钓鱼邮件以获取相关凭证,进而破坏全球新冠肺炎疫苗冷链供应链的正常运行。
5.4 供应链安全问题思考
在各个行业领域供应链之中的每个参与者都在独自寻找解决方案、没有形成有效合力的背景下,各自为战形成的防御终将会被网空威胁行为体逐个击破,体现为供应链安全领域攻击形势将在现有已成为攻击目标的多个行业中继续恶化的同时,进一步蔓延至其他更多行业,从而在一定程度上破坏众多受影响组织之间建立已久、维系不易的信任关系,甚至动摇多个行业领域内资源供应和消费的信任基石。因此,各个行业内部、关联行业间参与者在信任机制革新、安全验证强化与合作等方面做出的努力,以及该行业供应链整体在与专业化网络安全企业合作中获得的赋能,显得尤为重要;虽不能一蹴而就,但毕竟不积跬步,无以至千里,不积小流,无以成江海。
而已经沦为攻击与防御对抗的修罗场的软件供应链,其多个环节中的软件代码安全性将逐渐得到重视并产生一系列的影响,包括但不限于:消费者对其购买和定制软件的代码性将提出更明确和更高的要求;商业软件制造商将采取切实有效的措施加强对其研发软件的代码保密性的保障;开源软件代码编制及其分发过程安全性的保障措施将得到重视和有益尝试,逐渐为开源的长久健康发展奠定必要基础;加速催生代码审计岗位及其配套认证体系的产生和推广。
6、威胁泛化
在2013年,6163银河.net163.am用恶意代码泛化(Malware/万物互联时代有效提高人们的幸福感。当物联网在家中,可以操控洗碗机来洗碗,操控机器人打扫,远程操控浴缸放水,通过智能摄像头来随时关注家里情况,体验惬意且智能生活。但当这些设备受攻击者控制时,场景可能是这样的:攻击者通过远程操控智能马桶来反复冲水,操控智能灯泡来反复熄灭、亮起,对咖啡机实施勒索,触发咖啡机的加热、出水、显示赎金信息,获取智能保险箱的密码、远程打开智能门锁,利用智能音响窃取音频,通过摄像头来截获家居画面,远程针对智能电表进行拉闸操作……以上场景不是危言耸听,均为真实已发生案例。智能家居设备一旦出现安全问题,将会面临隐私泄露以及更严重的风险。万物互联是把双刃剑。
关乎民众饮水和农作物种植安全的关键基础设施也面临着巨大的网络安全威胁,暴露出逐渐滑向网空威胁行为体攻击范围靶心的风险。例如:2020年4月,以色列供水系统遭遇网络攻击,攻击者试图改变水氯含量(水氯含量影响饮水民众的生命健康)。同时,以色列国家网络管理局也宣布收到有关针对废水处理厂、泵站和污水处理设施的监控和数据采集(SCADA)系统进行网络攻击的报告;6月,攻击者通过网络袭击了加利利河上游的农业用水泵、中部省份马蒂耶胡达的水泵。所幸上述攻击并未成功,未造成实际影响。2020年9月,超过100套未设任何密码的由摩托罗拉公司设计且已经在世界范围内广泛部署的ICC PRO智能灌溉系统在互联网上被检出,意味着任何人都可通过网络访问并篡改其中的农作物、树木、城市及建筑群灌溉程序,攻击者只需要输入默认的管理员用户名并按下回车键,即可直接访问智能灌溉控制面板,进而可以暂停或终止灌溉操作,更改设置、控制泵送水量及压力,甚至删除用户以锁定灌溉系统。
正像6163银河.net163.am去年网络安全年报所说的:传统制造产业正在经历工业互联网加持下的智能化升级,随着物联网和行业紧密结合,万物互联也将导致安全风险的加剧。传统企业的安全加固相对成熟,而物联网终端种类的多样性和脆弱性给攻击者开辟了更多的攻击入口。例如,现在企业配置更多的智能电视、智能照明、智能打印机、温度传感器、安全摄像头等智能互联设备,而这些物联网设备的安全架构通常不一致,存在更多的安全“黑匣子”风险,针对任意一个脆弱的物联网设备进行攻击,都有可能导致企业安全受到威胁。
另外,正如我们前几年提到,物联网的威胁隐患是面向真实世界的,它切切实实地环绕在我们周围,风险也潜伏在我们周围,伺机而动,影响的是物理实体世界的安全。
附录一:参考资料
[1] SolarWinds旗下软件被用于供应链攻击事件分析
https://www.antiy.com/response/20201215.html
[2] 苦象组织近期网络攻击活动及泄露武器分析
https://www.antiy.com/response/20200917.html
[3] APT-41-Group-Cyber-Wanted-Web
https://www.fbi.gov/wanted/cyber/apt-41-group
[4] In Wild Critical Buffer Overflow Vulnerability in Solaris Can Allow Remote Takeover — CVE-2020-14871
[5] Russian State-Sponsored Malicious Cyber Actors Exploit Known Vulnerability in Virtual Workspaces
[6] Darkhotel组织渗透隔离网络的Ramsay组件分析
https://www.antiy.com/response/20200522.html
[7] “折纸”行动:针对南亚多国军政机构的网络攻击
https://www.antiy.com/response/20200115.html
[8] Foxconn electronics giant hit by ransomware, $34 million ransom
[9] Allied Universal Breached by Maze Ransomware, Stolen Data Leaked
[10] 南通警方破获一起网络敲诈勒索案
http://www.nantong.gov.cn/ntsrmzf/jqsd/content/9bc944cb-9651-40b1-8a00-a5c9cdeffe4b.html
[11] “灵猫”组织针对中东地区的攻击活动分析报告
/research/notice&report/research_report/20201228.html
[12] 2015年网络安全威胁的回顾与展望
/research/notice&report/research_report/2015_annualReport.html
[13] 2016网络安全威胁的回顾与展望《公开版》
/research/notice&report/research_report/725.html
[14] 2017网络安全威胁的回顾与展望
/research/notice&report/research_report/20180707.html
[15] 《2019年网络安全威胁回顾与展望》
/research/notice&report/research_report/2019_AnnualReport.html