编者按:近日,知名网络安全公司卡巴斯基发布《2019年网络威胁形势预测》,对APT、IoT、政治性报复、网络攻击新生力量等热门话题进行了探讨,安全内参翻译如下。

没有什么,比做出准备的预测更困难了。因此,本文的目的并非给出确切的预言,而是根据最近发生的状况以及未来几个月内可能产生影响的趋势做出有根据的推断。

我就此咨询了行业内最为睿智的从业者,亦立足各类APT攻击场景以汇总这些传统性安全破坏手段中出现的创新趋势,这一切将成为我们对接下来可能发生的情况做出“预测”的支持性素材。

不会再出现大规模APT攻击

很多朋友读到这里可能有些吃惊——什么?如今的世界不是网络安全威胁愈发严重吗?这一次的预测为什么指向了完全相反的方向?

这背后的根本原因在于,安全行业此前不断发现各类由国家政府支持的高度复杂攻击活动,而此类行为往往需要多年的筹备时间。从攻击者的角度来看,合乎逻辑的处理方式似乎在于不断探索新的、更为复杂的入侵技术,从而确保这类技术能够提高发现及归因特定攻击者来源的难度。

事实上,目前已经存在多种能够实现这一目标的方法,其中唯一的要求就是理解安全行业目前所使用的归因技术,同时发现不同攻击活动当中所使用的技术手段的相似性——这已经不是什么秘密。只要拥有充足的资源,攻击者就能够建立起一种简单的新型解决方案,即建立起多种彼此不同的持续攻击活动集合,且各项活动很难被归因于同一攻击者或者操作方。资源充足的攻击者将能够发起创新型攻击活动,同时继续保持自身的匿名属性。当然,安全行业发现原有攻击方式的机率仍然不小,只是在识别新的攻击行动时将面临更大的挑战。

在某些情况下,对于一部分有能力实施网络攻击活动的恶意行为者而言,其可以直接针对目标受害者的基础设施与企业——例如互联网服务供应商(简称ISP),而非费力选择更复杂的攻击活动。有时候此类入侵甚至可以通过对原有工具的调整实现——完全无需使用恶意软件。

此外,一部分攻击活动会被归因于多个不同团体以及来自不同企业的具体工具与技术,这种“外部化”倾向将使得归因难度显著提升。需要强调的是,在政府支持型恶意活动当中,资源与人才的“外部化”趋势可能会影响到此类活动的未来形式。在这种情况下,技术能力与工具将归私营企业所有,且其适用于任何客户。通常来讲,这些客户并不完全了解相关技术与工具背后的细节及后果。

总结上述情况,表明我们不太可能发现新的、复杂性较高的攻击活动——资源充足的攻击者有很大机率直接转向新的攻击范式。

网络硬件与物联网

在某些情况下,每个攻击参与者都会部署用于指向网络硬件的功能与工具,这也是一种合乎逻辑的行为倾向。以VPNFilter为代表的活动正是攻击者利用恶意软件建立多功能“僵尸网络”的典型示例。在这类特殊案例当中,即使恶意软件本身已经得到广泛传播,防御方仍然需要投入大量时间以检测攻击活动,考虑其中真正隐藏的针对性攻击究竟是什么——这同样是一类值得高度关注的现实情况。

事实上,对于拥有充足资源的攻击者而言,其完全可以更进一步:除了针对目标组织之外,他们为什么不直接将矛头指向拥有更多元素的基础设施?虽然目前还没有出现这种程度的入侵行为(就我们所知),但但从以往的案例(例如Regin)可以明确地看到,对于任何攻击者来说,这种高度控制能力都将极具吸引力。

网络硬件中存在的漏洞允许攻击者实施多种不同方向的后续入侵。他们可能会建立大规模僵尸网络体系,并进一步利用其达成其它攻击目标; 也可能接近选定的目标以实施更深层次的秘密攻击。对于后者,我们应当关注“无恶意软件”攻击,即经由VPN隧道以实现流量镜像或者重新定向,从而为攻击者提供一切必要信息。

上述一切网络元素也可能成为强大物联网的重要组成部分,而僵尸网络的增长速度显然已经不可阻挡。举例来说,当涉及关键基础设施的破坏行动时,此类僵尸网络在攻击者手中将爆发出惊人的能量。一旦被拥有充足资源的攻击者所掌握,僵尸网络有可能被用于实施掩护攻击或者某种形式的恐怖袭击。

除了破坏性攻击之外,也有攻击者利用此类多功能僵尸网络执行恶意通信的短程跳频——即通过绕过传统泄漏通道的方式回避监控工具的扫描。

虽然近年来我们一直在强调物联网可能带来的潜在威胁,但这次我们再次呼吁大家不要低估物联网僵尸网络的威力——而且这种威力还将不断增强。

公开报复

当前,外交与地缘政治领域最大的挑战之一,在于如何应对主动网络攻击。这个问题的答案并不简单,而且在很大程度上取决于攻击活动的严重性与公然性,外加其它一系列考量因素。而此前发生的民主党全国委员会黑客入侵活动之后,此类情况正变得愈发严重。

在对索尼娱乐网络黑客攻击及民主党全国委员会入侵活动的调查当中,一系列相关嫌疑人遭到起诉。这不仅会曝光待审判者的身份,同时也会公开攻击活动幕后黑手的相关信息——这一方面可能在民间掀起舆论浪潮,另一方面也有可能引发更为严重的外交争议。

事实上,我们已经看到俄罗斯方面因涉嫌干涉美国民主进程而遭受的指责。这有望让其它国家在未来以更为审慎的态度考量此类行为。

然而,对此类事件的恐惧,或者对以往状况的恐惧,正是攻击者最希望达成的目标。他们现在可以利用其它更为微妙的方式引导并利用这种恐惧、不确定与怀疑情绪——包括“影子经纪人”在内的各类知名攻击活动就是最好的印证,而未来此类事件恐怕还将不断增加。

接下来,我们又会面临怎样的挑战?以往的攻击活动已经对我们的宣传阵地进行了探查与检测。我们认为这种情况才刚刚拉开序幕,且未来还将出现更多滥用方式——例如我们在Olympic Destroyer(奥运毁灭者)中看到的伪旗事件,截至目前我们仍不清楚其最终目标是什么以及可能发挥怎样的作用。

新生力量的出现

简单来讲,APT世界可以分为两大组成部分:拥有充足资源的传统先进攻击者(我们预计其相关活动将逐渐消失)以及多股迫切希望参与其中的新生力量。

问题在于,网络攻击活动的入门门槛已经达成历史最低点。目前市面上流通着数百种非常有效的工具、经过重新设计的漏洞以及多种框架,且可供所有人公开加以使用。其还拥有另一项重要优势,这些工具的存在使得归因几乎无法实现,且可根据实际需求进行轻松定制。

世界上有两大地区正成为网络攻击新生力量的摇篮:东南亚与中东。根据观察结果,我们怀疑这些地区的网络攻击组织正在迅速发展,且主要利用社交工程手段攻击当地受保护程度较低且缺少安全知识储备的受害者。然而,随着目标防御水平的增加,攻击者也会利用其它直接攻击手段及相关技术工具,从而将自身活动扩展到其它区域。在这类基于脚本的工具场景当中,我们也发现了不少专门提供防御服务的公司。而且尽管OPSEC遭到破坏,但这类企业一直在努力改善防护能力。

从技术角度来看,另一个值得关注的有趣事实在于,JavaScript后漏洞利用工具在短时间内焕发了新的生机——这显然与管理员限制其功能的难度(与PowerShell相反)、缺少系统日志以及在陈旧操作系统上的强大运行能力息息相关。

可怕的Ring

Meltdown/Spectre/AMDFlaws以及一切相关漏洞(以及未来可能出现的漏洞)迫使我们不得不重新思考高危恶意软件的具体来源。虽然我们几乎没有看到任何对此类Ring 0漏洞的实际利用行为,但单纯是相关可能性就足以令人不寒而栗,因为其几乎能够躲过几乎所有安全机制的监控。

以SMM为例,其自2015以来就始终具备至少一种概念验证方案。SMM是一项CPU功能,能够有效提供对目标计算机的全面远程访问,甚至不允许Ring 0进程访问其内存空间。这不禁令我们想到,截至目前尚未发现此类恶意软件的活动情况,是不是因为我们根本就没能成功发现任何相关线索。对于这项功能的利用无疑是一种不容忽视的可能性,因此我们宁愿相信多年来至少有数个恶意集团在试图利用这些机制,其中一些甚至取得了成功。

我们在虚拟化/虚拟机管理程序恶意软件,或者UEFI恶意软件层面也看到了类似的情况。我们已经发现了针对二者的概念验证方案,而且HackingTeam甚至透露称至少自2014年以来就始终存在可用的UEFI持久驻留模块,但截至目前我们同样没有看到真正的真实攻击案例。

我们会发现此类攻击的蛛丝马迹吗?或者说这些漏洞确实还没有得到利用?作为安全从业者,我们恐怕很难过分乐观地抱持后一种观点。

最值得关注的感染载体

作为本文当中最符合大家预期的预测结果,下面我们打算聊聊鱼叉式网络钓鱼攻击。我们认为,这种最成功的感染载体将在不久的将来变得愈发重要。其成功的关键仍然在于能够激发受害者的好奇心,且近期来自各类社交媒体平台的大量数据泄露事件可能帮助攻击者持续改进这种入侵手段。

现在,任何都能够在市场上购买到来自社交媒体巨头Facebook、Instagram、领英乃至Twitter的外泄数据。虽然在某些情况下,我们还不清楚攻击者具体获取到哪些数据类型,但其中可能包括私人消息内容甚至登录凭证。这将成为社交工程攻击者的定期,例如其可能利用登录凭证将用户与好友间私下讨论的内容公开发布在社交媒体上,从而极大提高攻击活动的成功机率。

这些资料也能够与传统侦察技术相结合,攻击者会认真检查目标以确定受害者的正确身份,从而最大限度减少恶意软件的分发数量以降低被检测到的可能性。除此之外,攻击者还会遵循常规的交流模式,即在执行任何恶意活动前进行人为交互,从而回避自动检测系统的扫描。

实际上,亦存在一部分用于提高网络钓鱼效率的机器学习类方案。目前尚不清楚此类技术在现实情况下的具体作用,但几乎可以肯定的是,上述全部因素的结合将使得鱼叉式网络钓鱼活动在接下来的一段时间内成为社交媒体上极为有效的感染载体。

破坏性恶意软件

Olympic Destroyer(奥运毁灭者)是过去一年当中最为著名的破坏性恶意软件案例之一,也有不少攻击者会定期将这些功能引入自身恶意活动当中。破坏性攻击的主要优势体现在攻击之后对日志或证据的转移及清理层面,攻击者当然也可以利用这种方式进一步打击受害者的心态。

其中一部分破坏性攻击,则与地缘政治战略目标(例如针对乌克兰的攻击活动)或者政治利益(例如影响到多家沙特阿拉伯石油企业的攻击)有关。在其它一些情况下,破坏性攻击也有可能是黑客行为主义思维的体现; 或者是由更为强大的实体指使特工组织所执行,旨在将自身安全地隐蔽在阴暗当中。

无论如何,上述攻击活动的核心在于其“太过强大”以至于不能全面使用。例如在报复场景之下,政府可能会借此作为一种回应,从而表达出介于外交回应与战争行为之间的态度。实际上,已经有一些国家的政府在对此进行试验。大部分此类攻击皆拥有预先规划,且涵盖侦察及入侵等前期筹备步骤。我们不清楚目前有多少受害者身在“等待处刑”状态,即一切已经准备就绪,只待触发器被激活; 此外,我们也不知道攻击者的军火库中还储备着哪些其它武器。

互联网连接共享(简称ICS)环境以及关键基础设施特别容易受到此类攻击的影响; 尽管各行业及政府在过去几年中已经付出了大量努力以改善安全水平,但现状距离理想仍有很长的距离。正因为如此,我们才认为即使这种攻击不太可能全面爆发,但仍可能在新的一年当中有所体现——特别是作为特定政治决策的报复性手段。

高级供应链

这是最令人担忧的攻击载体之一,且过去两年当中已经被多次成功利用——这不禁让我们对自己的供应商及其安全水平越来越缺乏信心。而且同样的,这种攻击并没有简单的解决办法。

尽管这是一种针对整个行业(类似于水坑攻击)甚至整个国家(例如NotPetya攻击活动)的理想攻击载体,但由于被检测发现的风险较高,因此利用其实施针对性攻击的效果并不特别理想。当然,我们也看到了更多无差别化的攻击尝试,例如向公共存储库中的共享库注入恶意软件等。当在某些特定项目当中使用这些库时,攻击者将能够成功发动入侵并随后从存储库中删除恶意代码,从而顺利实现针对性攻击活动。

那么,这种攻击当下能否以更具针对性的方式奏效?在软件层面这种使用思路似乎比较困难,因为其总是会留下痕迹,且恶意软件可能会被分发至多个客户。相比之下,将矛头指向专门服务于特定客户的供应商似乎更具可行性。

那么硬件植入方法又如何?这类操作真的具有可行性吗?最近行业对此产生了一些争议。尽管我们从斯诺登披露的漏洞当中看到了美国国安局如何在硬件产品被交付至客户的过程中对其进行操控,但这种方式似乎只适用于能量巨大的机构——而不太可能被大多数攻击者所效法。事实上,即使是国安局这类机构,也同样面临着多种制约性因素的影响。

不过,对于买方身份明确的特定订单而言,攻击者完全可以立足货源进行硬件操纵,而非在交付流程中做手脚——这将显著提升硬件植入的成功机率。

但我们仍然很难想象攻击者要如何规避工业装配流水线上的所有技术控制机制,从而顺利完成这种操纵。虽然不能完全否定这种可能性,但其恐怕必须要得到制造商的认可与合作才能实现。

总而言之,供应链攻击将继续成为一种行之有效的感染载体。但在硬件植入方面,我们认为其成功机率很低——当然,如果真的成功,我们也可能永远无法发现……

移动端

每一年的安全趋势预测都少不了移动端。未来一年中,移动端的安全威胁不会表现出太多开创性,但这种缓慢的感染浪潮仍然值得关注。毫无疑问,所有攻击者都会在其活动当中引入移动元素,而非单纯着眼于PC设备。现实情况在于,我们已经发现了大量针对Android设备的攻击手段,且攻击者在入侵iOS方面也取得了一些进展。

尽管需要同时利用多项零日漏洞才能成功感染iPhone设备,但我们需要再次强调,拥有充足资源的攻击者能够承担此类技术的实施成本并在关键攻击活动中加以运用。一部分私营企业甚至宣称其已经能够访问任何iPhone设备。其它一些资源相对匮乏的组织也可以找到一些创造性的方法以绕过苹果设备上的安全机制,例如使用流氓MDM服务器并通过社交工程方式诱导受害者在设备中赋予其权限,最终为攻击者提供安装恶意应用的能力。

立足于上述情况,我们期待观察今年年初泄露的iOS引导代码是否会给攻击者带来新的可乘之机,或者为其提供新的攻击方式启发。

无论如何,我们预计移动恶意软件领域不会出现任何爆发性发展,但我们认为高级攻击者将继续立足移动端开展活动,旨在寻找更多访问目标设备的可行方法。

其它注意事项

攻击者还有可能采取哪些更具前瞻性的思维方式?其中很重要的一点,特别是在军事层面,可能在于利用机械化工具取代存在各种错误风险的人类执行者。考虑到这一点,再结合今年4月因尝试入侵禁止化学武器组织Wi-Fi网络而被荷兰驱逐出境的所谓格勒乌(俄罗斯情报总局)特工,利用无人机取代人类特工实施短程黑客入侵是否将更具现实意义?

或者,攻击者是否可以选定一部分加密货币项目,进而通过后门活动实现数据收集,甚至窥探用户的财务收益状况?

攻击者是否有可能利用某些数字商品进行洗钱?或者,他们是否可能通过游戏内购提升帐户价值,再将帐户转手售出的方式完成洗钱?

在这里,我们必须要承认,我们做出的预测很有可能并不符合实际情况。毕竟我们无法完全理解现实环境中的复杂性因素,而这些因素直接决定着不同领域中发生高水平攻击活动的可能性。攻击者是否有可能利用股票交易所内部各银行间的系统实施欺诈?我不知道,我甚至不清楚是否存在这样的系统。但可以肯定的是,关注此类机会的攻击者将大开脑洞,尝试一切有可能成功的攻击途径。

本文的意义正在于此:尝试做出预测,努力理解那些还没有实际发生的攻击,并预防其在未来变为现实。

本文由安全内参翻译自Securelist

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。