Mimecast威胁中心的新研究详细介绍了最近通过侧载技术传播的恶意软件活动。它针对MicrosoftStore中的MicrosoftAppInstaller功能,该功能允许用户从网页安装Windows10应用程序。据悉,此事的幕后黑手此前还利用Trickbot和BazarLoader分发垃圾邮件,进而诱发勒索软件攻击。尽管如此,该活动只是侧载攻击所构成威胁的一个主要例子。那么侧载攻击到底是什么?它们是如何工作的?他们会对企业造成什么损害?以及如何防御它们?以下是企业需要了解的有关侧载攻击的所有信息。什么是侧载攻击?Netacea威胁研究总监MatthewGraceyMcMinn表示,“Sideloading只是在手机或电脑等设备上安装应用程序。但是,它与正常安装的主要区别在于,sideloading是指安装应用程序的行为不使用应用程序商店。例如,从谷歌找到一个应用程序并将其安装在iPhone上,而不是从应用程序商店下载。”在这个过程中,攻击者所要做的就是让用户相信他们正在安装合法且值得信赖的应用程序。Redscan威胁情报主管乔治·格拉斯表示,此类应用程序可能没有经过安全测试,可能是恶意的自然,因此用户在安装它们时会面临安全威胁。虽然大多数设备都禁用了此访问权限,需要用户在菜单中手动启用它才能正常工作,但Windows10今天仍然默认允许侧载。Glass补充说,“通常,这些应用程序在某种形式的社会工程攻击后,通过网络钓鱼电子邮件或弹出广告下载。用户也可能被‘免费’或‘破解’版本引诱下载包含恶意代码的内容。”最近观察到的一个侧载攻击示例是WizardUpdate,它伪装成合法应用程序,例如Adob??eFlashPlayer。最初,该应用程序只是一个侦察工具,用于收集系统信息并将其转发回命令和控制(C2)服务器。然而,该应用程序现已升级,包括避免macOS网守保护、从应用程序内加载其他程序(如广告软件和恶意软件)以及更改系统设置等功能。GraceyMcMinn指出,sideloading已经成为他们生态系统的必要组成部分,因为许多公司拥有合法的自定义应用程序,这些应用程序无法通过官方应用程序商店获得,并且是业务流程所必需的。侧载攻击的影响侧载攻击对企业的潜在损害可能是巨大的。Glass解释说:“侧载应用程序攻击可能会导致业务受到损害,除非支付赎金,否则无法访问数据,或者泄露机密数据。”此外,侧载应用程序存在与电子邮件恶意软件类似的风险,只是侧载攻击的初始感染方法可能受到相对较少的安全控制。”恶意软件攻击者可以在侧载攻击中传播的范围很广——从简单的键盘记录程序或勒索软件,到禁用设备的数据删除恶意软件。狡猾的网络罪犯会尝试将恶意软件与有用的东西捆绑在一起,例如免费的PDF到Word文档转换器。用户安装他们认为有用的工具,但完全不知道后台运行的恶意软件。这种后台恶意软件创建了一个后门,使攻击者可以访问和控制设备。一些攻击者选择将这些接入点出售给公司的其他参与者,而其他人则继续使用这些接入点进行进一步的攻击。GraceyMcMinn说,“拥有网络后门的网络罪犯可以以此为立足点,进一步危害更多端点。他们将在网络中移动(从一台计算机到另一台计算机,从一个服务器到另一个服务器),直到他们获得足够的访问和控制权限,以启动一个对目标进行大规模攻击。”因此,即使是单台计算机上的一个简单的恶意侧载应用程序也可能导致对关键服务器和大部分业务的全面勒索软件攻击,从而削弱业务并阻止其执行核心业务功能。这种类型的问题攻击的关键在于攻击者可以安装的恶意软件类型几乎没有限制。如何防止侧载攻击虽然失去对关键服务、数据库、数字流程的访问权限以及使用IT资产的能力足以保持任何安全leaderupatnight,CISOs可以采取措施帮助企业防止侧载攻击。安全专家一致认为,要做到这一点,技术控制必须与用户意识相结合。技术控制可以限制用户安装应用程序的能力,但这些并不总是实际业务需求。这就是意识培训发挥作用的地方。考虑通过Windows组策略限制用户权限,以防止非syGlass建议,阻止管理员在公司设备上下载和安装可能不需要的程序。通过使用应用程序允许列表,确保用户仅直接从供应商的网站或应用程序商店下载和安装软件,而不是从第三方站点下载和安装软件。组织还应该扫描电子邮件以防止恶意内容到达受害者,使用完整的网络保护套件来检测和阻止勒索软件和其他恶意软件,监控进出网络的数据流,并使用经过身份验证和受保护的备份解决方案进行恢复(以防万一数据丢失)。此外,部署零信任策略,防止用户从未经授权的位置安装软件,并将每个用户对网络资源的访问权限限制在他们完成工作所需的范围内。由于大多数侧载攻击都依赖于社会工程技术,因此用户教育至关重要。此外,当用户找不到满足其业务需求的应用程序时,他们通常会尝试旁加载应用程序。为此,建议CISO确保企业中的所有员工都知道他们可以请求他们需要的应用程序,以便为员工提供已知安全的应用程序。
