不只是入侵 攻擊者傾向於更長久地潛藏在網路中
網路入侵者駐留的時間越來越長,染指的機器越來越多。
Carbon Black最近分析了其40家企業客戶的事件報告,發現攻擊者潛蹤匿跡的手段更為豐富,駐留受害者網路的時間有所增長。
僅剛剛過去的3個月裡,Carbon Black接到的報告就反映出黑客反擊安全工具和管理員的行為有5%的上升,過去6個月裡(從2018年第三季度到今年第一季度),這一漲幅是10%。此類行為包括刪除日誌、禁用殺軟、劫持合法程序和關閉防火牆。
黑客自然乾的是黑客的事,這裡面有什麼值得重點注意的嗎?
首先,這種對確保自己不被檢測的額外關注,已成為攻擊者想要更長久地潛藏在被滲透網路中的“大政方針”的一部分。有了更長的駐留時間,黑客就能更充分挖掘已侵入系統的價值。
Carbon Black 首席網路安全官 Tom Kellermann 稱:黑客已經從搶了就跑發展到家園入侵了。黑客是真想佔有這些系統,擁有這些基礎設施。
其中部分原因在於黑客瞄準智慧財產權的比率大幅上升。隨著俄羅斯等民族國家的公司企業和政府越來越熱衷於竊取競爭對手的科技和文件,智慧財產權盜竊作為動機的攻擊佔了該安全公司觀測到的所有攻擊的22%,比上一季度增長了5%。
第二個主要趨勢是跳板攻擊——攻擊者從已侵入網路跳轉到供應鏈更上游的另一家公司的網路。
報告指出,第一季度分析的所有攻擊中50%都是經由供應鏈成員或其他合作公司跳轉的。
雖然跳板攻擊技術並不新鮮,此類攻擊的頻率及其背後的原因卻是前所未見的。黑客如今不是簡單地想要入侵大型企業,還想一定程度上藉助其身份。比如說,黑客可能在拿下某個網路後徵用電子郵件伺服器執行“逆向”電子郵件攻擊入侵和魚叉式網路釣魚攻擊。一旦敵人入侵公司網路,他們會利用受害者的品牌進一步擴大戰果。
真正的戰利品是受害公司的品牌。
這就又給惡意黑客隱藏其蹤跡添加了一層動機。他們想利用單個被黑系統或網路作為據點,拉取更有價值的智慧財產權,觸碰更多的公司。
雖然趨勢本身說明了不容易解決的一些巨集觀問題(比如政治和外交問題),有些簡單的技術規範和行為還是可以用來緩解傷害的。
首先,管理員和安全人員應採取更細緻的方法審查事件。比如說,別假設攻擊者已經撤退了,而是儘可能悄悄地收集證據,並警惕入侵者可能採取反制措施。
供應商,尤其是微軟,也應承擔一定的責任。微軟應介入並封鎖其遠端管理工具,以便更好地保護其企業客戶。
WMI和PowerShell不應該以這樣一種戲劇性的方式被濫用,微軟是時候悔過了。