▲新一代勒索软件将变得更加普遍而有弹性
勒索软件目前在恶意软件市场中占据主体地位。虽然它不是一个新威胁,但它已逐渐发展成为有史以来最有利可图的恶意软件类型。2016 年上半年,针对个人和企业用户的勒索软件攻击变得更加普遍和猛烈。电子邮件和恶意广告是勒索软件攻击活动的主要媒介。然而,有些威胁实施者现在开始利用网络和服务器端漏洞,这使攻击者有机会悄无声息地实施可能影响整个行业的勒索软件攻击活动。
目前,大多数已知的勒索软件都无法轻易被解密,受害者别无选择,在大多数情况下只能支付索价。但是,由于一些勒索软件的早期版本存在缺陷,即使用户支付了赎金,文件仍会丢失。此外,攻击者可能故意篡改他们控制的文件,根据加密文件的类型(例如,医疗记录或工程设计),数据篡改或失窃的后果可能非常严重。还有一个问题是重新感染的可能性,目前已经出现勒索软件对同一机器上的相同用户攻击两次的例子。
自我传播:思科预计,自我传播勒索软件将是该领域创新者的下一步棋,因此敦促用户现在就采取措施做好应对准备。今年攻击者利用JBoss 后门发起针对医疗保健行业组织的勒索软件攻击活动,这是一个强烈的信号,说明攻击者一旦有充足的行动时间,就会寻找新的方法来侵害网络和用户。自我传播型恶意软件的特点包括:利用广泛部署的产品中的漏洞,复制到所有可用驱动器,文件感染,有限暴力破解攻击活动,弹性指挥和控制,使用其他后门。
模块化:开发新一代勒索软件的攻击者很可能倾向于使用采用模块化设计的软件,模块化设计提高了效率,并使威胁实施者能够在某个方法被发现或者无效的情况下改变策略。我们猜测,新一代勒索软件框架将包含如下核心功能:
· 对用户文件的标准位置进行加密,以及提供自定义的目录和文件类型,允许按目标进行自定义
· 标记哪些系统和文件已加密
· 提供使用比特币付款的指示
· 允许攻击者设定赎金的数额,并指定双重期限:一个是提高支付金额的期限;另一个是删除加密数据的密钥的期限
攻击者充分利用不受限制的时间发起攻击
漏洞为恶意攻击实施者提供行动时间,而他们利用这个优势在防御者修补漏洞之前发起攻击活动。通过漏洞攻击包、勒索软件甚至社交引擎垃圾邮件,攻击者依靠未修补的系统和过时的设备实现其目标。勒索软件攻击活动在增多,最近的攻击活动的范围在扩大,这些都表明攻击者因行动时间不受限制而获益良多。这使得他们能够悄无声息地为攻击活动奠定基础,在准备就绪后发动攻击,并最终成功获得收入。
为了隐藏其活动,他们会使用加密货币、ToR、HTTPS 加密流量和传输层安全(TLS)。同时,通过快速行动,对补丁进行反向工程,并利用难以管理的漏洞披露,漏洞攻击包制作者进一步获得成功。
恶意广告即服务:从 2015 年 9 月到 2016 年 3 月,思科安全研究人员观察到与恶意活动相关的 HTTPS 流量增长了五倍。根据研究,HTTPS 流量的增加主要归因于广告注入器和广告软件。恶意广告注入器是广告软件感染的主要组成部分。网络犯罪分子利用这些浏览器扩展将恶意广告注入到网页中,使用户接触展示广告和弹出窗口,进而促进勒索软件和其他恶意软件活动。思科预计,随着越来越多的网络犯罪分子寻求高效方法,通过合法站点感染大量网络用户并躲避检测,恶意广告即服务这一趋势将不断增强。在帮助攻击者开展勒索软件攻击活动中,恶意广告发挥着核心作用,而勒索软件攻击活动正在快速成为攻击者的首选攻击方法,因为它们可能会带来高额利润。
▲防御者必须有效使用日益紧张的保护时间
虽然防御者一直在创新,全数字化经济依赖的基础设施仍然很脆弱,并且依赖于不充分的安全做法。如今,由于大多数组织中网络浏览器、应用和基础设施的混杂,攻击者有大量的入口通道。这些欠缺防护的设备和软件向攻击者开放了行动空间,安全专业人员必须关闭这些空间。
根据思科对数以千计的通用漏洞披露 (CVE) 进行的研究,主要终端软件供应商从公开披露漏洞到提供补丁之间的时间中值为零天。换句话说,通常在公开披露漏洞的同时,就提供了补丁,但是仍然有很多用户没有及时下载和安装这些补丁。这些补丁的提供和实际实施之间的时间差为攻击者提供了发动攻击的机会。恶意攻击实施者甚至能够在漏洞被公开披露之前就开始利用漏洞。因此,关闭补丁的提供与安装之间的窗口对于防御至关重要。
思科将“检测时间”或 TTD 定义为从发生入侵到发现威胁之间的这段时间窗。利用我们的全球可视性和持续分析模型,对于在发现时没有分类的所有恶意代码,我们都能够测出从恶意代码开始在终端上运行到它被确定为威胁之间的时间。从 2015 年 12 月到 2016 年 4 月,思科将其中值 TTD降低到大约 13 小时,远低于目前让人难以接受的行业估计值 100-200 天。TTD 的显著下降表示思科在对抗攻击者时获得优势的时间段,获得优势指检测威胁的速度快于攻击者开发和投入使用新技术的速度。
思科的威胁情报组织TALOS在今年8月发现,罗克韦尔自动化公司(Rockwell Automation)的MicroLogix 1400可编程逻辑控制器(PLC)存在无证SNMP“社区字符串”(community string),攻击者可加以利用实现远程更改设置或修改设备固件,从而劫持PLC。这表明,即使对于制造业客户,OT并不是孤立且免受攻击的,防御者必须有效使用日益紧张的保护时间,做好对抗复杂威胁的准备,积极提高组织安全性。
思科针对保护业务环境的简单步骤建议
思科的Talos研究人员发现企业可以通过采取几个简单但效果明显的步骤,显著提高其运营安全性,其中包括:
· 改善网络健康:密切监视网络;按时部署补丁和更新;对网络进行分段;在边缘部署防御措施,包括电子邮件和Web安全、新一代防火墙与新一代IPS等。
· 整合防御措施:充分利用架构方法来保障安全,而非部署单独的产品。
· 测量检测时间:努力以最快的速度发现威胁,然后及时做出补救。不断改进企业安全策略中的衡量指标。
· 随时随地保护用户:不管他们在何处工作,不仅限于他们使用的系统,有不仅限于他们身处企业网络时。
· 备份关键数据:定期检查其有效性,同时确保备份的安全。