美国网络安全公司群击(CrowdStrike)欧洲、中东和非洲地区技术策略顾问泽基·图雷迪撰文指出,社会工程技术依然有效并且不可避免地长期存在,网络攻击的人为因素始终对防御者提出挑战。根据该公司的《全球威胁报告》,2019年,使用无恶意软件技术的趋势已从40%上升到51%,这种趋势在欧洲、中东、非洲和北美地区尤为普遍,而且还出现了民族国家支持组织使用上述技术的案例。相比于恶意软件网络攻击,无恶意软件网络攻击的范畴更广,涵盖了从内存执行代码到使用被盗凭证等方法,其依赖人为因素因此通常更难以检测,而行为检测和人为威胁搜寻是拦截这种攻击的唯一行之有效的方法。奇安网情局编译有关情况,供读者参考。
如今,大多数人已经意识到恶意软件会带来风险,它是一种大多数组织机构已经惯于应对的广泛的攻击载体。尽管诸如过时的社会工程之类的技术可能会落后于企业理念,但鉴于其依然有效,它们仍能构成相当大的风险。尤其在全球遭受新冠病毒影响的情况下,恶意行为者更容易利用人们的情感,特别是恐惧情绪,来诱导目标点击恶意链接。
最久经考验的社会工程学策略之一,便是目标电子犯罪团体仍在依赖并流行使用的商务电子邮件入侵(BEC)。这种方法会诱导受害者允许攻击者访问关键数据。无论犯罪团体的攻击目的是经济利益、数据泄漏还是服务中断,这些攻击都被证实是行之有效的。手动操作键盘技术以及凭证盗窃(包括凭证转储、有效账户和账户探索)也都得到了越来越广泛的使用。这些方法通常应用在针对特定目标的更加复杂的攻击中,会对大多数机构造成风险,不论这些机构的规模如何。
在讨论网络攻击的人为因素时要注意的第一件事是区分恶意软件和无恶意软件(malware-free)之间的区别。恶意软件会将恶意文件写入目标磁盘,而大多数组织通常都会对其进行防御。这些攻击也更容易被阻止,使用反恶意软件就可以做到。而无恶意软件攻击这种方法不会将文件或文件片段写入磁盘。它的范畴更广,涵盖了从内存执行代码或使用被盗凭证的种种方法。无恶意软件技术通常更难以检测,因为它们依赖人为因素,而行为检测和人为威胁搜寻才是拦截这种攻击的唯一行之有效的方法。令人担忧的是,群击(CrowdStrike)公司的《全球威胁报告》指出,去年,使用无恶意软件技术的趋势已从40%上升到51%。该报告还指出,这种趋势在欧洲、中东、非洲和北美地区尤为普遍,有更多技术娴熟的人员能够在这些地区开展此类攻击。
一、伪装的恶意行为者
从去年的无恶意软件攻击技术的发展趋势可以预期,有效凭证是2019年众多网络攻击的关键组成部分。通过获取和利用凭证,恶意行为者能够获得对系统的访问权,在组织间横向移动并在其中长久立足。然而,从防御者的角度来看,运用这种技术的攻击将看似为网络合法用户正常操作。
对于仍然依赖基础用户ID和密码进行身份验证的机构,通过这些方式遭受入侵的风险将不可避免地持续存在。即使采用更复杂的身份验证框架,例如双因素身份验证(2FA),也不能完全消除此漏洞。利用认证技术漏洞的入侵证明这是一个亟需关注的盲点。另一种恶意行为者使用的类似的技术被称为电子邮件线程劫持。简单地说,恶意行为者可以劫持电子邮件内容,以将自己表现为防御者已知的合法对象。攻击者按主题(例如“回复:”)识别电子邮件线程,从而窃取受害者的电子邮件内容,并生成对该线程的回复。由于发件人似乎是防御者认识的某人,并且此主题引用了他们之前进行的对话,此方法就更有可能使收件人打开恶意附件或链接。
二、简单但有效
通常,网络钓鱼电子邮件和文本包含拼写和语法错误。当可疑邮件进入收件箱时,检查电子邮件地址和拼写对于确定它是否是真实邮件至关重要。电子邮件是否真实的另一个线索是,银行或医院等官方机构很少建议用户下载或点击链接。
新型冠状病毒是每个企业议程的重中之重,对于电子犯罪团体来说,诱导用户单击或下载恶意文件非常容易。从伪装成医疗保健机构到冒充社区监视人员,恶意行为者无所不能。通常,电子邮件非常简单,并提供了病毒的解决方案或治愈方法。一旦激发邮件,大量损坏就会被下载到设备上,这可能会造成业务完全停滞。
群击(CrowdStrike)公司博客详细介绍了此类攻击的一个案例,有一封电子邮件冒充了哥伦比亚卫生部。该邮件声称有一个文档,其中详细说明了确诊的冠状病毒病例的位置,鼓励用户下载该文档。如果下载文档,设备将感染远程访问工具(RAT)有效载荷,该工具可以从Google Chrome、Firefox、Thunderbird和Microsoft Outlook中窃取凭证。它还可以记录用户的键盘操作。
三、保护网络
对于网络防御者来说,社会工程技术需要牢记在心。通常公司基础设施可能不属于“网络安全”范围,例如电话网络,是使社会工程技术如此危险的部分原因。虽然这些渠道很少属于网络安全协议,恶意行为者可以诱使受害者打开会造成入侵的电子邮件或点击恶意文档。尽管这通常是为了获得经济利益而针对企业部署的技术,但2019年显示出民族国家支持组织的案例。教育用户对于应对这种多样化威胁至关重要。当然,技术在检测和阻止入侵方面不可或缺,但最终这些攻击利用的是终端用户。因此,可以启动用户意识计划来对抗“网络钓鱼”和相关社会工程技术的持续威胁。
总而言之,网络攻击的人为因素始终对防御者提出挑战。手动操作键盘的攻击的本质使检测和解决利用这些方法的入侵变得相当困难。随着近来无恶意软件攻击的趋势助长恶意行为者使用社会工程技术,各机构将需要采取措施降低这种风险。机构意识计划在教育终端用户如何最好地避免此类攻击方面大有帮助。对于IT决策者而言,他们有责任从前端进行引导,并确保最佳实践能够在机构内普及。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
