ptsecurity发布《2019年第四季度网络安全威胁论报告》

使用的符号

执行摘要

2019年第四季度的重点包括:

  • 独特的网络事件正在增长,与上一季度相比,数量增加了12%。
  • 针对性攻击的份额与上一季度相比增加了2个百分点,达到67%。这是由于针对单个组织和整个行业的大量APT攻击。
  • 有11个非常活跃的小组。他们的攻击主要针对政府机构,行业和金融。
  • 支付卡信息占从组织窃取的所有数据的三分之一(32%)。这比上一季度增加了25个百分点。我们认为,这种增长有两个原因:繁忙的寒假购买季节,加上MageCart攻击的数量逐渐增加,以及对Click2Gov的第二波攻击。
  • 勒索软件攻击非常危险。此类攻击在恶意软件感染中所占的比例对于组织而言为36%,对于个人而言为17%(在上一季度分别为27%和7%)。
  • 勒索软件的新趋势是,如果受害者拒绝付款,则将发布被盗信息。我们认为这是因为越来越多的公司备份其数据,而无需为解密付费。恶意因素正在相应地进行调整,现在威胁其受害人以披露个人数据的所有潜在后果,这受欧盟通用数据保护条例(GDPR)的保护。

统计

在2019年最后一个季度,针对数据盗窃和直接经济利益的攻击百分比实际上与上一季度相同。

图1.攻击者的动机
图1.攻击者的动机

在2019年最后一个季度,支付卡信息占从组织盗窃的所有信息的三分之一(32%)。这是上一季度(7%)的几倍。这是预料之中的。一方面,人们在寒假临近之前进行了大量的在线购买。另一方面,这种跃升与对数以千计的在线商店进行的MageCart攻击的数量激增有关,再加上对许多美国人用来支付水电费的Click2Gov服务进行的第二波攻击。

对个人的攻击百分比与上一季度相比下降了近一半,现在仅占所有攻击的10%。与上一季度相同,从个人窃取的所有数据中,凭证几乎占一半(40%)。诱骗用户公开其凭据的常见方法之一是带有链接到虚假登录页面的网络钓鱼电子邮件。但是电子邮件安全网关可以阻止该链接,从而迫使攻击者发明新的方案。例如,代替链接,他们可以附加一个HTML文件,该文件被认为是付款文件。如果用户打开该文件,则JavaScript内部将在用户的浏览器中生成一个身份验证表单,而不会进行任何可疑的重定向到另一个站点。输入凭据后,脚本会将凭据发送给攻击者。

图2.被盗数据的类型
图2.被盗数据的类型

定向攻击的百分比仍然很高。三分之二的攻击(67%)是针对性的。黑客攻击了特定的公司或感兴趣的行业。结果,我们发现``多行业''类别的攻击次数更少(2019年初为26%,而年底为14%)。

排名前五位的目标行业列表保持稳定:政府,行业,医疗保健,金融和教育。同时,我们发现对IT公司和零售业的攻击增加了两倍。稍后我们将讨论这种引人注目的攻击。

随着这一年的发展,区块链作为目标的受欢迎程度逐渐降低,仅达到1%。但这并不意味着加密钱包拥有者没有危险。例如,门罗币加密货币的站点在2019年最后一个季度遭到入侵。攻击者上传了被屏蔽为合法加密货币钱包的恶意软件。据报道,一名用户在这次攻击中损失了7,000美元。

图3.组织中的受害者类别
图3.组织中的受害者类别

在将近四分之一的案例中(23%),对个人的威胁来自其移动设备。通过下载可疑的软件,用户可以使攻击者更轻松地进行操作。在2019年最后一个季度,许多想要越狱设备的Apple用户成为网络犯罪分子的受害者。当checkra1n实用程序于2019年秋季发布时,它允许使用硬件漏洞将所有iPhone(包括iPhone X)以及某些iPad越狱。由于checkra1n不依赖于iOS版本,因此这种越狱方法在移动用户和安全研究人员中迅速流行。我们建议不要执行任何越狱操作,因为这样做会削弱设备对恶意软件的保护。网络犯罪分子很快利用Checkra1n的流行度。思科Talos研究人员发现了虚假的网站checkrain [。] com,该网站用于分发蒙版为checkra1n的mobileconfig文件。安装并启动后,此文件模仿越狱过程。然后,用户被告知他们需要下载某些移动应用程序才能完成该过程。黑客使用伪造的checkra1n来推广这些应用程序,并促使更多的人下载它们。

图4.攻击目标
图4.攻击目标
图5.攻击方法
图5.攻击方法

攻击次数

图6. 2018和2019年每月的事件数量(1 = 1月,12 = 12月)
图6. 2018和2019年每月的事件数量(1 = 1月,12 = 12月)
图7. 2019年第四季度的事件数量(按周)
图7. 2019年第四季度的事件数量(按周)

攻击方式

在这里,我们将根据2019年第四季度一些最引人注目的网络事件,描述罪犯使用的攻击方法。

恶意软件使用

勒索软件继续打击世界各地的公司。在2019年第四季度,受害者包括学校,医疗机构,工业设施,政府和IT公司。最激进的勒索软件运营商是Sodinokibi,Maze,Ryuk和Bitpaymer。仅在西班牙,至少三个公司(咨询公司Everis,广播公司Cadena SER和制造公司TECNOL)成为后两个集团的受害者。

越来越多的公司意识到勒索软件的威胁,并越来越重视在遭受攻击时进行备份。结果,勒索软件运营商必须继续思考使受害者支付赎金的新方法。例如,迷宫的操作员在对敏感数据进行加密之前先将其复制到其服务器上,然后威胁要向公众公开,除非受害者付款。两个这样的受害者是被要求赎回300比特币的Allied Universal和被“估价”为850比特币的Southwire。在这两种情况下,公司都拒绝支付赎金,而攻击者则继续进行威胁。两家公司的文件最终都存储在网络上。

图8.恶意软件的类型
图8.恶意软件的类型
图9.恶意软件分发方法
图9.恶意软件分发方法

公司中大多数(79%)的恶意软件感染始于网络钓鱼电子邮件。这些电子邮件可以作为大规模攻击的一部分发送,也可以根据目标量身定制。公司特定的网络钓鱼电子邮件通常来自APT组。作为威胁监视和研究的一部分,积极技术专家安全中心(PT ESC)记录了APT团体如TA505,Sofacy(APT28),Donot(APT-C-35),Cloud Atlas,青铜联盟(LuckyMouse,APT27)的攻击),Leviathan(APT40),Bisonal,Gamaredon,SongXYCobalt,以及RTM在整个2019年最后一个季度。这些组织中的一些组织发送带有非常可信的诱饵文本的恶意文件。例如,Cloud Atlas小组的攻击活动以俄语文字介绍了中美在人工智能领域之间的地缘政治对抗。

图10. Cloud Atlas发送的文档片段
图10. Cloud Atlas发送的文档片段

社会工程学

攻击者通常会操纵人们的情绪来传播恶意软件。电子邮件是完成此任务的一种方法。在2019年第四季度,54%的攻击使用了社交工程和恶意软件。在假期期间,用户需要特别注意其收件箱。假期是攻击者最积极地发送网络钓鱼电子邮件的时间。例如,在美国感恩节之前,攻击者发出了带有假定贺卡的电子邮件。附件实际上将恶意软件(例如Emotet)传递到了受害者的计算机上。在万圣节圣诞节期间,还发送了包含伪造的聚会邀请的大量电子邮件,其中包含Emotet 。

即使您没有单击可疑链接,也没有打开可疑附件,也不要认为自己没有免疫力。在2019年第四季度,黑客利用了Microsoft OAuth API的功能来进行网络钓鱼攻击。OAuth协议允许向第三方应用程序发布访问令牌,而无需知道凭据。攻击进行如下。网络钓鱼电子邮件包含一个指向可能在OneDrive或SharePoint上的文件的链接。但是在单击链接并输入凭据后,用户将获得一个表单,请求访问Office 365帐户。注意力不集中的受害者只需单击即可提供所有请求的权限。然后,攻击者可以访问用户的联系人列表,文件和通信。

勒索电子邮件并不是什么新招,但它们仍然能带来丰厚的回报。例如,Check Point估计 Phorpiex僵尸网络的运营商通过发送此类电子邮件在五个月内赚了大约115,000美元。作为入侵的证据,攻击者从受到破坏的数据库中获取受害者的密码,并将密码包括在消息中。保密信息的支付通常以比特币支付。但是,Cofense指出,攻击者已开始请求以其他货币(例如litecoins(LTC))付款。原因是包含比特币钱包地址的消息经常被电子邮件安全网关精确阻止,以防止这种勒索企图。一些网络罪犯采取了以QR码形式在电子邮件中放置比特币钱包地址的行为

图11. <a href =
图11. 来自网络钓鱼应用程序O365 Access的请求

骇客

漏洞CVE-2019-0708(也称为BlueKeep)现在被用于实际攻击中以运送矿工。但是,我们认为,将来该漏洞也可能被其他活动(包括APT攻击)中的黑客使用。

10月,Wallarm专家报告了PHP 7(CVE-2019-11043)中的一个漏洞,该漏洞允许在支持PHP-FPM 的Nginx服务器上执行任意命令。客户面临风险的云存储公司NextCloud 发布了有关如何防范新威胁的指南。但是,并非所有NextCloud管理员都能及时采取安全措施,并且不久之后,就有关于 NextCry勒索软件攻击的报告。该恶意软件针对并感染了易受CVE2019-11043影响的NextCloud服务器。该漏洞是新漏洞,因此防病毒软件无法检测到第一批NextCry攻击。这使感染发生。

黑客可以与社会工程学一起使用,例如在浏览器漏洞中。在11月,发现诈骗者在伪装成技术支持人员的攻击中积极利用Mozilla Firefox中的漏洞。易受攻击的浏览器的用户被引诱(例如通过电子邮件)访问由黑客控制的Web资源。当用户访问时,浏览器将被弹出窗口阻止,表明用户必须联系技术支持或购买某些软件。诀窍并不新鲜,但仍然有效。

网络攻击

Web资源仍然是黑客主义者的目标。在美国俄亥俄州,黑客在11月5日选举日攻击了一个电子投票系统,并尝试进行SQL注入。

公司网站对黑客也很有吸引力。攻击者希望获取客户端数据库,支付卡信息以及站点用户的凭据。如果攻击者成功窃取了敏感数据,受害公司必须通知受影响的用户并采取措施防止进一步的攻击。例如,由于违反了在线商店客户的个人数据,智能手机制造商OnePlus不得不启动一个漏洞赏金计划并与HackerOne合作。该漏洞是由网络漏洞引起的,其详细信息尚未披露

黑客还可以使用Web漏洞进行拒绝服务(DoS)攻击。思科专家报告称,尝试在Cisco自适应安全设备和Firepower设备防火墙Web管理界面中利用漏洞CVE-2018-0296的尝试有所增加。该漏洞允许通过发送特制的HTTP请求来远程重启受攻击的设备,而无需登录。它还允许通过目录遍历读取系统信息。该漏洞早在2018年中期就被报告,但对于黑客来说仍然是重中之重。

凭证泄露

攻击者在互联网上搜索具有弱密码的可访问网络设备,以感染恶意软件,然后将其添加到其僵尸网络中以进行加密货币挖掘或DoS攻击。一个名为Mozi的新僵尸网络将使用弱Telnet密码搜索Netgear,D-Link和华为路由器,并用恶意软件感染它们。该Muhstik番茄固件僵尸网络的目标路由器具有默认密码“admin”。

黑客还有其他方法可以通过大规模暴力攻击获得的凭据来获利。一种选择是在暗网上出售数据。但是攻击者通常会免费发布此类数据库。一项DDoS租用服务的所有者在一个黑客论坛上发布了超过515,000台服务器,路由器和IoT设备的Telnet凭据列表。说明:该人可以从云服务提供商那里租用高性能服务器,而不是创建僵尸网络。

受害者类别

在本节中,将更详细地考虑对2019年第四季度具有特殊意义的行业的攻击。

政府

图12.政府:2019年第四季度使用的攻击方法
图12.政府:2019年第四季度使用的攻击方法
图13.攻击目标
图13.攻击目标
图14.数据被盗
图14.数据被盗

美国受到Click2Gov服务的一系列攻击的打击。我们在一年前它们进行了详细描述。在2019年第四季度,这些攻击再次发生。八个城市的当局表示,在8月下旬至11月之间通过该服务支付水电费的人受到影响。

图15. Click2Gov上攻击的地理分布(黄色:第一波攻击,蓝色:新一波攻击)</a>
图15. Click2Gov上的攻击的地理分布(黄色:第一波攻击,蓝色:新一波攻击)

APT团体仍将政府机构作为目标。在2019年最后一个季度,Gamaredon APT小组保持活跃。在11月和12月,PT ESC对该组织进行了17次袭击,针对乌克兰的国家机构以及与军事和国防有关的组织。该小组现在使用另一种有效负载交付方法。在以前的攻击中,他们发送了带有宏的文档。但是,在年底,他们使用了模板注入,这可以避免防病毒检测。使用此方法,文档不包含OLE对象或宏。而是包含指向自动从攻击者服务器下载的恶意模板文档的链接。该文档包含一个宏,该宏将恶意的Visual Basic脚本(VBScript)保存到启动文件夹。宏还修改了注册表值,该值负责警告用户执行宏。进行此修改后,所有宏文档将自动运行。

图16. Gamaredon攻击中使用的模板注入感染
图16. Gamaredon攻击中使用的模板注入感染
图17.来自Gamaredon电子邮件的文档,带有嵌入到带有宏的模板文档的链接
图17.来自Gamaredon电子邮件的文档,带有嵌入到带有宏的模板文档的链接

在12月,PT ESC发现了由Bisonal团体对蒙古,韩国和俄罗斯政府机构进行的三起袭击的痕迹。该小组的恶意电子邮件使用了带有漏洞CVE-2018-0798的漏洞利用的RTF文档。这些文档是使用构建器8.t生成的,该构建器还被其他APT组(例如Goblin Panda,IceFog和SongXY)使用。

图18.来自Bisonal的电子邮件文档
图18.来自Bisonal的电子邮件文档

SongXY小组还袭击政府机构。PT ESC在2019年第四季度记录了三起袭击事件:两次袭击乌克兰政府机构,另一次袭击俄罗斯。Bisonal和SongXY都将RTF文档与漏洞CVE-2018-0798一起利用。附件由构建器8.t生成。

图19. SongXY的恶意附件示例
图19. SongXY的恶意附件示例
图20. SongXY的恶意附件示例
图20. SongXY的恶意附件示例

工业公司

图21.工业公司:2019年第四季度使用的攻击方法
图21.工业公司:2019年第四季度使用的攻击方法
图22.攻击目标
图22.攻击目标
图23.数据被盗
图23.数据被盗

RTM小组仍在积极攻击俄罗斯和独联体国家的工业公司。但是,它们还会向政府机构,银行以及科学和教育机构发送恶意电子邮件。PT ESC在第四季度检测到该组织的25封恶意邮件。从2019年6月开始,RTM开始根据某个比特币钱包收到的交易量,通过逻辑运算来计算服务器IP地址。在2019年12月中旬,RTM更改了获取IP地址的算法。现在,每个恶意软件样本都包含两个比特币钱包编号,并且计算基于从第一个钱包到第二个钱包的最新外发交易。所做的更改对该组的代码影响很小,但为攻击者提供了防范其C2服务器地址欺骗的保护。

图24. RTM组向一家工业公司的网络钓鱼消息
图24. RTM组向一家工业公司的网络钓鱼消息

在2019年第四季度,APT攻击不仅针对俄罗斯和独联体国家,还针对美国,韩国,日本,印度尼西亚,土耳其和德国的工业公司。Cyber​​X第52部分的专家发现了针对行业的针对性攻击,攻击者在其中发送了网络钓鱼电子邮件以发送Separ信息窃取程序。人们相信,Separ可以用来窃取用于访问工业系统的知识产权和密码。

APT33集团还积极攻击工业公司。该小组大量使用密码喷雾,他们在对大量帐户的攻击中测试多个弱密码。在Cyber​​warCon上,一位Microsoft演讲者介绍了监视APT组的发现。专家说,近几个月来,受攻击的组织数量已减少到2,000个,但是攻击者试图对每个组织进行黑客攻击的帐户数量急剧增加。

金融机构

图25.金融机构:2019年第四季度使用的攻击方法
图25.金融机构:2019年第四季度使用的攻击方法

在第四季度,PT ESC发现了Cobalt集团发给金融机构的12封邮件。

图26. Cobalt组的网络钓鱼电子邮件
图26. Cobalt组的网络钓鱼电子邮件

该小组使用不同类型的恶意附件,例如带有漏洞的RTF文档,带有宏的Microsoft Office文档以及VHD(虚拟硬盘)文件。最后一种是针对Cobalt恶意电子邮件的新格式。它仅适用于Windows 7和更高版本。打开VHD文件后,它会自动安装为驱动器。然后,Windows资源管理器将打开恶意内容,而用户只需启动它即可。Cobalt在第四季度使用的有效负载包括CoolPlants,CobInt,COM-DLL-Dropper和JScript后门。

图27.恶意VHD映像附件
图27.恶意VHD映像附件
图28.带有嵌入式恶意宏的文档
图28.带有嵌入式恶意宏的文档

TA505团体还袭击金融机构。攻击者不受任何特定地理位置的束缚。根据PT ESC的说法,该组织在第四季度袭击了美国,哥伦比亚,印度和捷克共和国的金融机构。来自TA505的恶意电子邮件的附件提供了Get2加载程序,该程序又将FlawedGrace和SDBbot后门以及Snatch加载程序下载到受感染的计算机。

图29.从TA505到捷克银行的网络钓鱼电子邮件
图29.从TA505到捷克银行的网络钓鱼电子邮件

除金融机构外,TA505的目标还包括IT公司,行业和大学。除了已经提到的恶意软件外,该组织仍使用CryptoMix勒索软件,EmailStealer恶意软件来通过扩展名过滤文件并窃取电子邮件帐户,禁用Windows Defender并启动有效负载的实用程序以及经过修改的ServHelper后门程序。最重要的是,TA505已开始使用AZORult间谍软件。

2019年4月,一个名为Raccoon的新信息窃取者出现在了暗网中,并且越来越受欢迎。在2019年第四季度,浣熊的经营者袭击了银行的员工。为了避免被电子邮件系统检测到,攻击者从先前受到攻击的公司帐户发送网络钓鱼电子邮件。10月下旬,电子邮件中包含指向托管在Dropbox上的恶意映像的链接。浣熊以MaaS(恶意软件即服务)的形式每月分发200美元。开发人员会定期更新恶意软件并添加新功能。

图30. Raccoon开发人员的更新公告
图30. Raccoon开发人员的更新公告

在第四季度,对IT公司的攻击百分比增加到对组织的所有攻击的8%,而第三季度为3%。大型IT公司是勒索软件运营商有吸引力的目标,这不足为奇。如果IT服务提供商受到威胁,则该提供商将失去客户,他们将担心基础架构的完整性。这种危险足以使IT公司支付赎金。

图31. IT:2019年第四季度使用的攻击方法
图31. IT:2019年第四季度使用的攻击方法
图32.攻击目标
图32.攻击目标
图33.数据被盗
图33.数据被盗

《通用数据保护条例》规定,必须保护个人数据免遭未经授权或非法的处理,以及意外丢失,破坏或损坏(完整性和机密性)。在2019年第四季度,我们看到了一种新趋势。勒索软件运营商说,如果披露了被盗的个人数据,公司将根据GDPR支付更多的费用,从而迫使受害者支付赎金。例如,美国最大的托管服务提供商之一CyrusOne 受到勒索软件(大概是Sodinokibi)的攻击。攻击者威胁说,如果受害者拒绝付款,则会泄露被盗的数据。

图34.关于暗网攻击的公告
图34.关于暗网攻击的公告

IT公司,如Synoptek完整的技术解决方案,还通过Sodinokibi在第四季度打击。

在本季度初,黑客攻击了Extendware的网站,该公司为在Magento CMS上运行的网站开发扩展程序。攻击者将键盘记录程序注入了销售页面。专家认为这可能是供应链攻击。黑客不仅可以将恶意软件注入Extendware网站,还可以将其注入扩展。此类攻击可能会危害所有Extendware客户端。在2019年中,我们已经撰写了有关针对IT公司的供应链攻击的文章。这种趋势在整个2019年一直持续,并且可能会在2020年持续。另一个针对电子商务平台开发商Volusion的供应链攻击的例子。稍后我们将详细介绍攻击。

零售

图35.零售:2019年第四季度使用的攻击方法
图35.零售:2019年第四季度使用的攻击方法
图36.攻击目标
图36.攻击目标
图37.数据被盗
图37.数据被盗

在本季度初,参与攻击的黑客统称为MageCart,这损害了 6月6日(在Magento上开发的在线服装商店)的危害。攻击者向该站点注入了JavaScript嗅探器(用于窃取支付卡信息的脚本)。为了使嗅探器更难检测,黑客注册了一个域名(mogento [。] info),该域名很容易与Magento混淆。伪造的Web资源被用来分发恶意组件并接收被盗的支付卡信息。

什么是MageCart?

MageCart是对启用了付款的网站(例如在线商店)的一种攻击。MageCart还用于指代这些攻击背后的黑客团体。在这种攻击中,黑客入侵了一个网站,并在付款页面中注入了特殊的JavaScript脚本(“嗅探器”)。当用户在受感染的站点上输入支付卡信息时,嗅探器会将这些信息发送到黑客的服务器。这些攻击有时称为网络浏览。

现在,网络浏览非常普遍,以至于不同的MageCart小组有时会相互独立地攻击相同的网站。例如,PerimeterX 得出结论,在6个其他网站上安装了类似于6月6日攻击中发现的嗅探器,包括PEXSuperstore.com。然而,他们还在PEXSuperstore.com上发现了另一个嗅探器,大概是由另一组攻击者安装的。

上季度相同,发生了MageCart供应链攻击。例如,一个小组入侵了Volusion的Google Cloud存储并注入了一个嗅探器该嗅探器被自动推送到基于Volusion的在线商店。估计受害者人数从6,500到20,000不等。

当破坏在线资源并安装JavaScript嗅探器时,攻击者会尽力逃避检测。例如,在Volusion的情况下,攻击者使用域名volusion-cdn [。] com掩盖了与Volusion服务器通信时的非法数据传输。在基于Magento的商店的攻击中使用了相同的技巧。隐藏JavaScript嗅探器的另一个趋势是使它们的代码尽可能小。在2019年第四季度,恶意软件字节检测到仅注入了一行代码的攻击。该行从Payment-mastercard [。] com下载了JavaScript嗅探器,该地址属于攻击者。

图38.链接到注入到受感染站点中的虚假付款数据输入表单</a>
图38. 链接到注入到受感染站点的伪造的付款数据输入表单

还发现域名付款万事达卡[。] com也参与了其他攻击。该域用于加载用于支付数据输入的伪造表单,模仿了合法支付服务提供商的输入表单。用户在网上诱骗表单中输入付款信息后,数据进入攻击者的服务器,并将用户重定向到提供者的原始页面。

零售公司必须牢记,他们可能像其他任何行业一样成为勒索软件的受害者。例如,在2019年第四季度,阿里哥汽车集团在这种攻击中损失了250,000美元

APT团体也攻击零售公司。例如,PT ESC检测到TA505小组对日本零售公司的APT攻击。

图39.从TA505发送给日本零售公司的电子邮件
图39.从TA505发送给日本零售公司的电子邮件

公司可以采取哪些措施来确保安全

使用经过验证的安全解决方案

  • 集中管理软件更新和补丁。为了正确地确定更新计划的优先级,必须考虑最紧迫的安全威胁。
  • 安装具有沙箱的防病毒软件,以动态扫描文件,并能够在员工打开公司电子邮件系统之前检测和阻止威胁,例如恶意电子邮件附件。理想情况下,防病毒软件应同时支持多个供应商的解决方案,并具有检测隐藏或混淆的恶意软件迹象的能力,并阻止跨各种数据流的恶意活动:电子邮件,Web流量,网络流量,文件存储和Web门户。无论选择哪种解决方案,它都应能够通过在签名数据库更新以检测以前未知的威胁时自动重新扫描文件来实时和追溯地检查文件。
  • 我们还建议使用SIEM解决方案来及时发现并有效响应信息安全事件。这将有助于识别可疑活动,防止基础架构被黑客入侵,检测攻击者的存在并采取及时措施来消除威胁。
  • 用于分析安全性和识别软件漏洞的自动化工具。
  • 部署Web应用程序防火墙作为预防措施。
  • 通过深入的流量分析,实时,以节省的流量检测复杂的针对性攻击。使用此类解决方案将使您能够检测以前未被注意的攻击并实时监视网络攻击,包括使用恶意软件和黑客工具,利用软件漏洞以及对域控制器的攻击。这种方法可快速识别攻击者在基础架构中的存在,将关键数据丢失和业务系统中断的风险降到最低,并减少攻击者造成的财务损失。
  • 使用专门的反DDoS服务。

保护您的数据

  • 加密所有敏感信息。不要将敏感信息存储在可以公开访问的地方。
  • 执行常规备份,并将其保存在与用于日常操作的网段隔离的专用服务器上。
  • 尽可能减少用户和服务的特权。
  • 为每个站点或服务使用不同的用户名和密码。
  • 尽可能使用两因素身份验证,尤其是对于特权帐户。

不允许使用弱密码

  • 强制执行具有严格长度和复杂性要求的密码策略。
  • 需要每90天更改一次密码。
  • 用唯一且符合严格密码策略要求的更强密码替换所有默认密码。

监控安全状况

  • 使软件保持最新。不要延迟安装补丁。
  • 对员工进行有关信息安全的测试和教育。
  • 确保不安全的资源不会出现在网络外围。定期清点可访问Internet的资源,检查其安全性,并修复发现的任何漏洞。监视新闻是否有新漏洞是一个好主意:这在识别受影响的资源和采取必要的措施方面具有领先优势。
  • 筛选流量以最大程度地减少外部攻击者可访问的网络服务接口的数量。特别注意用于服务器和网络设备的远程管理的接口。
  • 定期进行渗透测试,以发现攻击内部基础架构的新媒介,并评估当前措施的有效性。
  • 定期审核Web应用程序的安全性,包括源代码分析,以识别和消除使应用程序系统和客户端面临攻击风险的漏洞。
  • 密切注意资源每秒接收的请求数。配置服务器和网络设备以承受典型的攻击情形(例如TCP / UDP泛洪或大量数据库请求)。

帮助客户保持安全

  • 提高客户之间的安全意识。
  • 定期提醒客户如何避免最常见的攻击导致网络安全。
  • 敦促客户不要在可疑网站上输入其凭据,也不要通过电子邮件或电话发布此类信息。
  • 说明客户怀疑欺诈的行为。
  • 通知客户端有关安全性的事件。

供应商如何保护其产品

  • 为组织描述的所有措施,以及:
  • 实施安全的开发生命周期(SDL)。
  • 定期审核软件和Web应用程序的安全性,包括源代码分析。
  • 使Web服务器和数据库管理系统保持最新。
  • 请勿使用已知漏洞的库或框架。

用户如何避免成为受害者

不要忽略安全

  • 仅使用许可的软件。
  • 在所有设备上保持有效的防病毒保护。
  • 使软件保持最新。不要延迟安装补丁。

保护您的数据

  • 备份关键文件。除了将它们存储在硬盘驱动器上之外,还应将副本保留在USB驱动器,外部磁盘或云中的备份服务中。
  • 使用没有管理员权限的帐户执行日常任务。
  • 尽可能使用两因素身份验证,例如用于电子邮件帐户。

不要使用普通密码

  • 使用由至少八个难以猜测的字母,数字和特殊字符组成的复杂密码。考虑使用密码管理器(具有密码生成功能的安全存储)来安全地创建和存储密码。
  • 不要重复使用密码。为您使用的每个站点,电子邮件帐户和系统设置唯一的密码。
  • 每六个月至少更改一次所有密码,或者每两到三个月更改一次,甚至更好。

保持警惕

  • 使用防病毒软件扫描所有电子邮件附件。
  • 注意带有无效证书的站点。请记住,在此类站点上输入的数据可能会被犯罪分子拦截。
  • 输入密码或在线付款时请特别注意。
  • 不要单击指向未知可疑站点的链接,尤其是在出现安全警告时。
  • 即使您知道要宣传的公司或产品,也不要在弹出窗口中单击链接。
  • 不要从可疑站点或未知来源下载文件。

关于研究

在此年度报告中,Positive Technologies共享有关最重要和新兴IT安全威胁的信息。信息来自于我们自己的专业知识,大量调查的结果以及来自权威来源的数据。

出于本报告的目的,任何特定的大规模事件(例如病毒攻击,其中的犯罪分子会将钓鱼邮件发送到大量目标)是一种独特的安全威胁。本报告中使用的术语:

  • 网络威胁是各种因素和情况的组合,会造成信息安全受损的风险。在本报告中,我们以网络空间中为破坏信息系统以窃取金钱或数据或其他意图可能对政府,企业或个人造成伤害的恶意分子的行为来分析网络威胁。攻击者的行动可能针对目标公司的IT基础架构,工作站,移动设备,其他设备,或针对网络空间中的人员。
  • 网络攻击由网络犯罪分子利用技术和软件来针对信息系统的未经授权的操作,这些技术和软件会获得对信息的访问,削弱系统的正常功能或可用性,或者窃取,更改或删除信息。
  • 攻击目标是网络罪犯未经授权采取行动的目标。如果使用社会工程学直接从个人,客户或雇员那里获取信息,则攻击的目标是“人类”。另一方面,当社会工程学是将恶意软件放置在公司基础结构或个人计算机上的尝试的一部分时,攻击目标是“计算机,服务器和网络设备”。
  • 攻击动机是网络犯罪分子的总体目标。如果攻击导致盗用支付卡信息,则动机是“数据盗窃”。
  • 攻击方法是用于实现目标的一组技术。例如,攻击者可能执行侦察,检测可用于连接的易受攻击的网络服务,利用漏洞并获得对资源或信息的访问。为了本报告的目的,此过程称为“黑客攻击”。凭据泄露和Web攻击位于不同的类别中,以提高粒度。
  • 受害者类别是被攻击公司所在的经济部门(或个人,如果攻击与雇主无关,则为个人)。例如,“酒店和娱乐”类别包括提供付费服务的公司,例如咨询机构,酒店和饭店。“在线服务”类别包括用户可以在线满足其需求的平台,例如票务和酒店聚合网站,博客,社交网络,聊天平台和其他社交媒体资源,视频共享平台以及在线游戏。影响一个以上行业的大规模网络攻击(最常见的是恶意软件爆发)被归为“多个行业”类别。
  • 我们认为,由于声誉风险,大多数网络攻击并未公开。结果是,即使调查事件并分析黑客组织活动的组织也无法进行精确计数。进行这项研究的目的是,引起关注信息安全状况的公司和普通个人对网络攻击的主要动机和方法的关注,并强调不断变化的网络威胁态势的主要趋势。

组资料

自2016年以来一直活跃的APT-C-35(不要,SectorE02)攻击南亚的组织:巴基斯坦,孟加拉国,斯里兰卡,马尔代夫,缅甸,尼泊尔和上海合作组织的国家。攻击者以政府机构,军事实体和电信公司为幌子。

网络间谍组织APT28(Fancy Bear,Sofacy)至少从2004年就开始活跃。该组织在2016年美国大选前夕遭到一系列攻击,因此广为人知。在2017年和2018年,该组织袭击了欧洲和南美的国际组织,军事和国防承包商以及政府机构。该小组使用多种工具,包括自己制作的工具。

自2013年以来,APT40(Leviathan,TEMP.Jumper,TEMP.Periscope)就以间谍软件活动而闻名。该组织攻击西欧,北美和东南亚的运输和政府,科学,教育和IT公司。

Bisonal以开发同名恶意软件而闻名。它的历史可以追溯到2014年。该组织主要攻击俄罗斯,韩国和日本的公司。

自2010年以来,青铜联盟(也称为TG-3390,LuckyMouse,APT27或Emissary Panda)就参与了网络间谍攻击。为了在网络上站稳脚跟,该组织经常使用水坑攻击:它们针对目标用户经常访问的网站并将恶意软件放置在网站上,以自动感染访问者的计算机。目前,该集团的目标客户是涉及全球工业,军事制造,能源,航空航天和其他高科技领域的政府实体和公司。

自2014年以来,Cloud Atlas就因攻击俄罗斯,中亚和欧洲(尤其是葡萄牙)的多家公司而闻名。

自2016年以来,Cobalt因其对金融机构的攻击而闻名。该组织开始是从独联体国家的银行偷钱。自2017年以来,它扩大了目标范围,包括东欧和东南亚的银行。该小组以Cobalt Strike(该小组用于在目标网络内发动攻击的渗透测试软件)的名字命名。它破坏企业网络的主要方法是使用各种格式的恶意文件来仿冒邮件:可执行文件,带有宏或漏洞利用的Microsoft Office文档,LNK文件以及包含可执行文件的密码档案。

Gamaredon自2013年以来一直活跃。攻击者仅专注于乌克兰政府实体:C2服务器按地理区域执行过滤。在他们的攻击中,该组织使用一系列脚本将Ultra VNC远程管理实用程序下载到受害者的计算机。他们使用名为Pteranodon的自行开发的框架来全面管理受感染的主机。有了它,攻击者就可以收集有关系统和用户的信息,窃取密码,运行脚本和命令,并将信息泄露到远程服务器。

RTM的历史该组织的历史可以追溯到2016年。该组织试图访问公司银行帐户并窃取资金。他们使用网络钓鱼消息来访问公司网络。从一开始,该小组就在此类消息中使用了一致的格式。Positive Technologies的数据表明,仅在2018年,该组织就发送了59封邮件,收件人包括金融机构。在2019年,该小组开始使用比特币区块链。大多数案例是金融机构,尽管案例还包括行业,政府和与IT相关的组织。此外,该小组已将.bit域用于其某些C2。.bit区域由Namecoin区块链提供动力,该区块链可作为传统DNS注册服务商的防审查和防没收替代方案。PT专家安全中心的专家能够使用区块链体系结构设计一种算法,以监控RTM对新域的注册及其IP地址的更改。这使得警告金融机构和安全社区能够在几分钟(甚至有时甚至是几分钟)内将新的C2服务器开始被攻击者使用。

SongXY由Positive Technologies的专家于2017年发现。该组织的受害者包括来自俄罗斯,日本,蒙古,白俄罗斯,美国,塔吉克斯坦,乌兹别克斯坦,吉尔吉斯斯坦,哈萨克斯坦和乌克兰的至少17家公司。该组织攻击国防和工业。他们使用电子邮件发送Lurid和Gh0st恶意软件,这些恶意软件可以窃取数据,截取屏幕快照并从受害者的麦克风录制音频。

TA505自2014年开始运营。该集团的目标包括加拿大,韩国,英国,美国和其他几十个国家的主要金融,制造,运输和政府机构。网络钓鱼消息是该组织渗透目标网络的主要方法。随着每波新的攻击浪潮,该小组对其工具包进行了质性更改,并采用了更为先进的技术来保持隐身性。自2014年以来,该组织的武器库包括Dridex银行木马,Neutrino僵尸网络以及几个勒索软件系列,包括Locky,Jaf和GlobeImposter。自2018年春季以来,该组织已使用FlawedAmmyy远程访问木马,并且自2018年末以来使用了新的ServHelper后门。

《2019年第四季度网络安全威胁论报告》下载:https://www.ptsecurity.com/upload/corporate/ww-en/analytics/cybersecurity-threatscape-2019-q4-eng.pdf

0 0 vote
Article Rating

未经允许不得转载:x-sec » ptsecurity发布《2019年第四季度网络安全威胁论报告》

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x