虽然本文主要关注在俄罗斯活动的网络攻击者,但这些网络攻击者很少将自己限制在俄罗斯,勒索软件组织就是这些跨境活动的典型例子。此外,在一个国家发现的攻击趋势往往很快就会出现在其他地方和新的网络犯罪组织中。本文试图介绍卡巴斯基实验室研究人员认为扩大其影响范围的重要网络犯罪活动。
示例分析
卡巴斯基的计算机事件调查部门负责攻击俄罗斯和俄罗斯的网络罪犯。我们提供的服务包括事件分析和调查,都是为了防止和缓解网络攻击。
早在2016年 年,攻击者就专注于金融机构,尤其是银行的主要网络组织。Lurk、Buhtrap、Metel、RTM、Fibbit 和 Carbanak 等知名恶意软件家族已经开始攻击全球银行。
如今,受到攻击的行业不再局限于金融机构,幸运的是,我们当年调查的重大攻击不再可能。受影响的行业包括 IT 从零售到零售,从石油和天然气到医疗保健。2020年,我们为俄罗斯客户调查了200个案例,到2021年前9个月,已有300多个案例。受影响的行业包括IT零售,从石油和天然气到医疗保健。这是一个令人惊讶的趋势,正如预期的那样,由于新冠肺炎疫情的影响,远程工作更有可能引发攻击。
主要趋势
网络犯罪生态系统一直由各种角色组成。该系统的主要组成部分是网络犯罪活动所需的基础设施和工具。攻击者的角色直接依赖于基础设施和工具。接下来,让我们了解一下过去五年俄罗斯网络安全领域的一些重大变化,以及网络犯罪分子的运作模式。
对客户端的攻击逐渐消失
五年前,用木马感染你的电脑和访问新闻网站一样容易。事实上,俄罗斯的许多恶意软件都是通过新闻平台和其他合法网站传播的。Web 攻击仍然很受欢迎,但随着浏览器安全性的提高,使用这种方法的攻击变得更加困难。在过去,许多网络攻击者只是通过合法的网站传播漏洞。整个市场都是围绕着这个过程建立起来的,专门的人员来运作。
当时浏览器漏洞百出,用户体验差,普遍不安全。许多人使用他们习惯的浏览器,而不是选择或组织设置的默认浏览器,如 Internet Explorer。通过插件(如 Adobe Flash、Silverlight 和 Java)攻击也是感染用户设备最简单、最常用的方法之一,现在已经成为过去。
到2021年,浏览器将变得更加安全,部分浏览器将自动更新,无需用户参与,浏览器开发人员将继续投资于漏洞评估。此外,随着大量漏洞赏金程序的开发,更容易将发现的漏洞卖给开发人员,而不是在暗网上寻找买家,这也导致了漏洞价格的上涨。
使用更安全的浏览器,网络感染变得更具挑战性,导致网络攻击者慢慢将攻击目标放在其他地方。因此,对于普通用户而不是企业用户来说,这种方式变得过于昂贵和不可行。
大量使用漏洞
应用程序变得更加复杂,它们的好。这从根本上改变了俄罗斯网络攻击者的运作模式。
随着漏洞价格的上涨,对客户端的攻击变得极其困难和昂贵。过去,客户端感染严重依赖于漏洞。整个团队将找到它们,并为特定的漏洞编写漏洞使用程序,并调整不同的操作系统。在大多数情况下,网络攻击者将使用 1日的漏洞,检查开发人员最近推出的补丁,并编写关闭的漏洞使用程序。然而,由于软件更新周期(仍然)很长,用户经常延迟更新他们的设备,留下了一个窗口,在此期间,网络攻击者可以感染相当多的受害者。
一个典型的感染链是这样的:攻击者会攻击一个合法的网站,因为五年前没有人意识到保护网站的重要性。黑客可以直接打破网站,也可以通过入侵拥有网站管理权限的人的账户来攻击。攻击者将集成一些代码,这可能是页面上的一个窗口,这对用户来说是看不见的。然后,由于目标将继续使用该网站,它还将加载攻击者控制的页面。另一个选择是攻击横幅广告网络,我们可以在无数的网站上看到横幅广告,而网站管理部门无权管理广告显示的内容。您也可以简单地购买并将流量导向特定的恶意页面。最后,将用户引导到一个由攻击者控制的页面,它包含了一个可以使用用户浏览器中漏洞的代码。
以上是2016年流行的浏览器攻击链,现在不可能存在了。
为了达到攻击的目的,网络犯罪组织为特定的用户组开发了漏洞使用工具包,并定制了下载到受害者设备的漏洞使用程序。运行漏洞后,攻击者将选择下载到感染设备的特定负载。负载通常会导致远程访问计算机。一旦被感染,该设备将根据其对网络攻击者的吸引力进行评估。之后,攻击者将加载一个特定的漏洞使用程序来评估感染设备的兴趣,然后将特定的恶意软件上传到该设备。
因为这种浏览器攻击不再可行,也不再容易执行,所以不再需要不同的播放器。这包括组织、开发和销售漏洞使用包和购买特定设备访问权的组织,专门购买和引导流量到具有漏洞使用的特定页面。
当然,客户端软件中的漏洞仍然存在,但现在它们不在浏览器中,而是在各种类型的文档中,如PDF或Word,这些带有宏选项的文档通常通过电子邮件传播。然而,这种变化使得攻击和感染过程更加困难。与浏览器感染不同,当传播隐藏时PDF或Word在恶意文件中,攻击者无法收到受害者的反馈或目标设备的额外信息。另一方面,浏览器会自动报告软件和插件的版本。这样,随着攻击者通过在线钓鱼邮件传播恶意文件,更难跟踪用户软件的版本或攻击程度。最重要的是,电子邮件服务器和Word等应用程序中的安全机制也加大了感染的难度,许多包含恶意文件的电子邮件在到达目标之前不会被拦截,而用户在应用程序中会定期收到关于潜在危险附件的警告。
云服务器
通信和数据存储需要基础设施。
随着组织采用新 IT 在服务方面取得了进展,跟随同一趋势和变化的网络攻击者也在不断进步。迁移到云服务而不是传统服务器是一种新的攻击趋势。过去,网络攻击者租用服务器,这通常不是以自己的名义,而是非常合法的。2016年,与可疑活动相关的服务器投诉更容易被忽视。当时,一些组织提供防弹服务器,可以忽略用户的投诉。然而,随着时间的推移,管理这些服务器变得越来越困难,利润也越来越低。
网络攻击者还攻击组织的服务器,将其用作中继服务器,以混淆调查人员,并使跟踪主要 C&C 中心变得更加困难。有时,网络组织会在服务器上存储一些信息(例如从受害者那里提取的数据)。这些数据分布在各种平台上的结构需要专人来管理。
云服务器的使用使得网络攻击者的生活更容易。现在,如果多次投诉导致账户暂停,将数据转移到新服务器只需两分钟。这意味着团队不再需要专门的管理员来管理服务器,而是将任务外包给云服务器提供商。
恶意软件开发人员
尽管 APT 攻击者继续在定制的恶意工具上投入大量资金和资源,但网络攻击者选择了更简单、更便宜的方式,不再包括开发自己的恶意软件或漏洞。
开源恶意软件越来越频繁地出现在黑暗的互联网上。旧的网络组织免费向公众发布源代码已成为一种趋势,这使得新玩家很容易开始他们的网络犯罪活动。银行木马 Cerberus 开发者于2020年 10月发布了恶意软件的源代码,臭名昭著的同名勒索软件开发者 Babuk 其勒索软件代码于2021年 9 月初发布。
更糟糕的是,随着渗透测试工具和服务的发展,黑市中出现了新的恶意工具。这些工具是为合法服务开发和使用的,如评估客户的安全基础设施和成功的网络渗透潜力。它们旨在出售给精心挑选的客户,这些客户只会用于合法目的。例如,网络攻击者最喜欢的 CobaltStrike,它的反编译版本在 2020年 11 月泄露,现在网络攻击者和 APT 组织正在使用它。其他包括 Bloodhound,另一种最受欢迎的网络映射网络犯罪工具,用于特殊传播 Kali 和 Commando VM, 用于使用漏洞Core Impact 和 Metaspoit Framework, 用于感染计算机netscan.exe(softPerfect Network Scanner),以及合法的远程访问服务,如 TeamViewer、AnyDesk 和 RMS/LMS。最重要的是,网络攻击者使用合法的服务来帮助系统管理员,如 ,允许远程执行程序PSexec。这种工具随着远程工作场所的增加而变得越来越流行。
如今,了解网络攻击者使用什么样的工具就足够了解渗透测试人员在市场上部署和提供的工具。
恶意软件开发市场本质上已经非常成熟,比以往任何时候都更容易开展网络犯罪活动。与此同时,攻击企业变得更加困难。
攻击组织越来越小
这些结构性变化(漏洞成本上升、迁移到云服务器和已开发的高级攻击工具的可访问性)导致网络组织越来越小。本质上,攻击链已经优化,许多功能已经外包,团队变得更小。
现在不再需要管理物理网络的系统管理员了。云服务管理是一项简单的任务。网络犯罪组织基本停止开发自己的恶意软件。过去,大型网络犯罪集团投资于自己的恶意软件,因此至少有两名开发人员负责恶意软件的不同部分(如客户端和服务器端)。现在他们只需要一个操作员。如果不需要开发人员,则不需要测试人员。
恶意网站的购买流量已经转化为购买数据、访问不同组织、账户信息等,这些服务也被外包。
因此,网络犯罪组织要想在2021年成功运营,就需要管理者、网络访问专家和负责提取和兑现被盗资金的金融专家。
2016网络犯罪集团和2021年的变化
改变攻击目标
2016 年,俄罗斯银行遭到黑客攻击。此后,类似攻击的网络攻击组织几乎受到了攻击。目前,这些网络组织已转向攻击其他行业的目标。然而,到2018年,他们意识到利用勒索软件、窃取工具或远程访问工具从网络中窃取资金更有利可图。
20202000年,俄罗斯金融机构的案件有所下降,包括银行软件在内的事件几乎没有发生。
出于意识形态原因,网络攻击者将目标转向西方组织。首先,欧洲和美国的组织收入更高。例如,对于国际公司来说,赎金从 70万美元开始,最高可达 700 1万美元。
同时,向西方转移攻击目标并不意味着俄罗斯斯通公司不再受到国内黑客的攻击。由于黑客仍然受到语言的限制,用母语准备在线钓鱼电子邮件和文件要容易得多。这是俄罗斯黑客攻击俄罗斯公司的唯一优势。
就行业而言,攻击目标不再局限于金融机构。僵尸网络的出现创造了一个网络访问市场,来自各行各业的公司在没有特定目标的情况下受到攻击,然后通过暗网出售访问权限。疫情也在推动这一趋势方面发挥了作用。企业将大部分基础设施移动到互联网上,向远程员工开放,导致更大的攻击面和更多的方式攻击原本受到更好保护的网络。通常,勒索软件的运营商会选择容易获得的目标,另一个重点是拥有或运营加密货币的组织和用户:加密交易所、加密钱包等。
发展趋势
目前,真正有价值的漏洞(如 0 日漏洞)已不再在暗网上出售。然而,在暗网上仍有许多关于购买现成账户、访问和登录的信息DDoS只要需要攻击和进入目标组织,攻击者仍然可以毫不费力地找到这些服务。
本文翻译自:https://securelist.com/russian-speaking-cybercrime-evolution-2016-2021/104656/如果转载,请注明原始地址。