没有什么比预测更难的了。基于过去12个月发生的事情,安全领域专家的知识以及对APT攻击的观察和研究,研究人员对未来做出以下预测。假旗攻击假旗的使用一直是多个APT中的一个重要元素,通常是为了转移攻击者的注意力——例如,在Lazarus恶意软件中使用俄语单词,或在WildNeutron中使用罗马尼亚语单词,等。我们相信虚假标志攻击会更进一步,攻击者不仅希望规避可追溯性,而且会主动将责任推给其他人。它还可能包括其他不相关的APT,它们使用已建立的后门、窃取和重复使用代码,或故意泄露源代码供其他组织使用,从而进一步混淆视听。此外,还应考虑到攻击者在攻击和横向移动过程中使用了恶意软件、脚本、公开的安全工具或从其他渠道购买的管理员软件,使得追溯工作越来越困难。从勒索软件到有针对性的勒索软件在过去两年中,由于网络犯罪分子越来越有针对性地使用勒索软件恶意软件,针对那些可能支付大笔资金的人,因此普通勒索软件攻击的数量有所下降。付费恢复数据的组织。我们将这种技术称为“目标勒索软件”。在这一年中,我们记录了多起攻击者使用有针对性的勒索软件的案例,我们相信未来可能会有更激进的勒索尝试。未来可能的趋势是攻击者放弃使文件无法恢复的勒索形式,而是威胁要释放数据。除了有针对性的勒索软件之外,网络犯罪分子还试图使他们的攻击多样化,以包括PC或服务器以外的其他类型的设备。例如,智能电视、智能手表、智能汽车/房屋/城市等消费产品中的勒索软件,勒索软件是从受害者身上榨取经济利益的最有效工具。新的网上银行和支付攻击新的网络攻击可能会随着最近在整个欧盟全面生效的新银行法规而出现。PSD2(支付服务指令)对提供支付服务的公司提出了监管要求,由于银行将被要求向第三方开放其基础设施和数据,因此攻击者可能会尝试以新方式滥用这些新机制。基础设施攻击和针对非PC目标的攻击一段时间以来,攻击者一直在将他们的工具集扩展到Windows之外,甚至超出PC系统:例如VPNFilter和Slingshot,目标是网络硬件。一旦攻击者控制了设备,就可以大大提高攻击者的灵活性。他们可以选择一个大规模的僵尸网络攻击场景并使用该网络来攻击不同的目标,或者他们可以使用靠近选定目标的僵尸网络进行更隐蔽的攻击。据悉,黑客已经侵入了全球至少10家手机电信公司的网络,并潜伏多年。他们能够在电信基础设施上部署自己的VPN服务。物联网设备的激增正在融合现实世界和网络世界,为攻击者提供了越来越多的机会。今年有报道称,未知攻击者使用RaspberryPi从NASA的喷气推进实验室窃取了500兆字节的数据。去年12月,英国盖特威克机场在其中一条跑道上发现一架无人机后,因担心发生碰撞而停飞航班。由于使用无人机,该国部分关键基础设施已陷入停顿。毫无疑问,此类攻击的数量将会增加。亚欧贸易路线上的攻击增加了克劳塞维茨的格言,即“战争只是政治通过其他方式的延续”可以扩大到包括网络冲突,这反映了现实世界的紧张局势和冲突。例如,关于俄罗斯干预美国大选的指控,以及对这种情况可能在2020年大选之前再次发生的担忧,我们在美国起诉书中看到了所谓的中国黑客行为。有几种方法可以解决这个问题。其中包括随着政府寻求在国内外谋取利益而增加的政治间谍活动。如果发生潜在或实际的经济危机并导致不稳定,它还可能扩展到技术间谍活动。这可能导致包括土耳其、东欧和南欧以及东非在内的亚欧贸易路线沿线发生新的袭击。很可能会看到立法和政策发生变化,因为政府希望更明确地定义什么是允许的,什么是不允许的。一方面,可以制定合理的监管政策,避免制裁。另一方面,可以更积极地使用技术,因为司法部门热衷于促进不同类型的“合法拦截”以在计算机上收集证据。犯罪集团可能会更多地使用加密技术,并隐藏他们的行动。近年来,我们看到了一些针对关键基础设施的攻击,通常与地缘政治有关。虽然工业设施中的大多数受感染设备都来自“主流”恶意软件,但仅这一事实就凸显了这些设施的脆弱性。虽然针对关键基础设施的针对性攻击不太可能成为主流犯罪活动,但这一数字在未来还会增长。在物理和网络日益融合、地缘政治冲突上演的世界中,网络攻击为政府提供了一种介于外交和战争之间的手段。攻击方法越来越复杂,很难知道顶级攻击者到底有多先进,以及他们拥有哪些资源可供使用。例如,几年前我们观察到零日漏洞源源不断,攻击者准备为此付费。今年,我们看到谷歌在8月宣布了它在过去两年中发现的至少14个iOS漏洞。攻击者还可能使用非常规方法,例如使用信令数据或Wi-Fi/4G来过滤数据,尤其是在使用物理植入物时。同样,相信未来会有更多攻击者使用DoH(DNSoverHTTPS)来隐藏他们的活动。最后,未来几个月可能会开始发现更多UEFI恶意软件。移动攻击重点转移在过去十年中,数字生活的主要存储设备已从PC转移到手机。攻击者很快注意到并开始专注于开发移动攻击工具。虽然我们一直预测针对手机的攻击数量会显着增加,但观察结果并未反映这一推论。上述链接提到了攻击者如何利用iOS中至少14个零日漏洞攻击亚洲的某些少数群体。最近,我还看到了Facebook如何起诉以色列NSO,指控其滥用服务器(部署恶意软件拦截用户数据)。我们还看到,Android零日漏洞现在比iPhone更贵(根据Zerodium的价目表),所有这些都告诉我们攻击者已经投入了大量资金来开发这些技术。滥用个人信息:从DeepFakes到DNA泄露我们讨论了数据泄露如何帮助攻击者创建更有说服力的社会工程攻击。并非每个攻击者都有潜在受害者的完整档案,这使得越来越多的泄露数据变得非常有价值,勒索软件攻击也是如此。在记录数据不断增加的世界中,我们可以看到特别敏感的泄漏危险,例如与生物特征数据相关的泄漏。所有这些听起来都很超前,但它与用于通过社交媒体投放选举广告的技术非常相似。这种技术已经在使用中,一些攻击者利用它只是时间问题。综上所述,未来的可能性太多了,我们的预测中可能会有很多意想不到的事情。攻击环境的复杂性提供了更多的可能性。此外,没有研究团队完全了解APT攻击者的行为。我们将持续观察、分析和预测APT活动,了解他们使用的手段,并提供最新的分析报告。原始PDF:卡巴斯基安全公告2019。2020年高级威胁预测(PDF,英文)
