以往APT在网络攻击、高端定制、手工制作、限量发布等方面是奢侈品。但随着APT工具技术的产品化和“大众化”,以及“APT即服务”的商业化和规模化,以往以高成本、低频率瞄准高价值目标的APT,大大降低了门槛和难度。正呈现出泛滥的趋势,许多过去没有将APT纳入威胁模型的用户,比如中小企业,现在正成为APT攻击的目标。这意味着大量的企业和机构需要根据APT的最新发展趋势,修改自己的威胁模型。或许,应对网络犯罪“攻上云”的趋势,最好的防御策略就是“安全上云”。安全公司KasperskyLab和Bitdefender在9月分别发布了关于两个APT雇佣军的报告。一个针对金融领域的律师事务所和公司,而另一个针对建筑和视频制作公司。这些只是过去几年中一系列类似报告中的最新例子。Bitdefender全球网络安全研究员LiviuArsene表示:“我们最近看到了一种趋势,即过去由国家资助的APT组织使用的策略和技术现在正被用于对付较小的公司。”强大的黑客组织已经开始提供新的APT即服务模型。正如“恶意软件即服务”的到来标志着网络犯罪行业的新篇章,在国家支持的攻击中或作为其他更大的APT组织的一部分,honinghacker提供的“APT即服务”-雇佣团体将成为新常态。”DeathStalker和Kaspersky,一种流行的脚本语言,专注于公司称为DeathStalker的黑客雇佣军团体最近的活动,该团体的工具与其他恶意软件植入物具有相似之处,可追溯到很久以前截至2012年。该组织最近主要针对在金融行业工作或与之合作的实体,包括律师事务所、财富咨询公司和金融技术公司,已确认的受害者遍布阿根廷、中国、塞浦路斯、以色列、黎巴嫩、瑞士、土耳其,英国和阿拉伯联合酋长国.DeathStalker目前的植入物是用PowerShell编写的Powersing.PowerShell是Windows附带的一种经常被滥用的脚本语言,用于自动执行系统管理任务。该恶意软件通过带有恶意链接附件的鱼叉式网络钓鱼电子邮件进行传播。特别值得注意的是,Powersing有效载荷可以到达社交媒体网站上的各种“死角”,并从作者留下的带有编码文本的评论中获取命令和控制(C&C)服务器URL。用于“投毒”的网站包括Google+、Imgur、Reddit、Tumblr、Twitter、YouTube和WordPress。Powersing定期联系C&C服务器获取命令,有两个功能:定期从受害者电脑截屏并发送到C&C服务器,执行C&C提供的任意Powershell脚本。这两个简单的函数为攻击者提供了强大的能力。一种允许他们对受害者进行侦察,另一种允许通过手动黑客进行更广泛的攻击。卡巴斯基实验室已经确定了DeathStalker的分发方式(LNK文件)、使用deaddrops的方式与用其他脚本语言(VBE和JavaScript)编写的另外两个恶意软件家族Janicab和Evilnum过去使用的代码相似。卡巴斯基研究人员指出,虽然代码比较并不能证明任何确凿证据,但他们认为Powersing、Evilnum和Janicab来自同一个团伙。根据受害者的类型和黑客感兴趣的信息,卡巴斯基实验室认为,DeathStalker背后是一个黑客雇佣军组织,为私人客户提供黑客雇佣服务,或者充当金融界的信息经纪人,出售窃取的数据。卡巴斯基在报告中说:“我们认为DeathStalkers纯粹根据他们的价值判断或根据客户要求来选择他们的目标。”“在这种情况下,我们评估金融部门的任何公司,无论其地理位置如何,都可能成为DeathStalker的猎物。”黑客雇佣军使用有针对性的攻击向量,Bitdefender在其最近针对一家在世界各地设有办事处、与纽约、伦敦、澳大利亚和阿曼合作的房地产开发商的报告中??记录了这一点。公司最近遭遇APT攻击。该公司的客户还包括著名的建筑师和世界知名的室内设计师。值得注意的是,这个黑客组织将他们的恶意软件植入作为Autodesk3DSMax(一种流行的3D动画和建模程序)的流氓插件。这表明黑客组织确切地知道目标是谁、他们拥有什么数据以及他们可以利用什么软件作为入口点。“在调查过程中,Bitdefender的研究人员还发现威胁行为者拥有一套强大而完整的间谍工具,”该公司表示。“基于Bitdefender的遥测技术,我们还发现了其他类似的恶意行为者与同一命令和控制服务器进行通信。不到一个月的软件样本。分布于韩国、美国、日本和南非。网络犯罪集团还可能针对这些地区的特定受害者。”6月,Bitdefender发布了一份关于另一个名为StrongPity的可疑雇佣军组织的报告,该组织具有以金融和地缘政治为目标的雇佣军网络犯罪集团的特征。另一个更早的代号为Barium或Winnti的APT组织也发起了一系列涉及流行软件的供应链攻击,其过去的行动和攻击也表现出对网络间谍和经济利益的极大兴趣。APT出租趋势?受雇黑客一直存在于互联网的黑社会中。甚至有证据表明,俄罗斯等国家从网络犯罪圈子中招募黑客从事情报活动。然后,这些黑客学习复杂的APT式技术、战术和程序(TTP),这些技术、策略和程序(TTP)也可用于他们的犯罪活动。或者,他们可以组建雇佣军团并将他们的技能出售给想要监视竞争对手或操纵金融市场的私人实体。有些团体甚至得到向第三方客户出售黑客服务的国家的资助、培训和支持。朝鲜就是这种情况。4月,美国国务院、财政部、国土安全部和联邦调查局发布了一份关于朝鲜网络威胁的联合咨询报告,其中提到:“朝鲜网络攻击者朝鲜还接受第三方客户的付款以入侵《网络雇佣兵:国家,黑客和权力》的作者、美国外交政策智库卡内基国际和平基金会网络政策倡议的联合主任蒂姆毛雷尔说:“我发现这是一个引人入胜的故事。”,确实提醒人们网络威胁形势的复杂性,我认为报纸或政策制定者当前的讨论并未考虑到这一点。”“我认为很少有人真正意识到这些不同类型的维度。朝鲜必须赚很多钱,所以他们的行为方式很独特。但它也引发了一些有趣的问题,即朝鲜的网络攻击方式是否会在国际上传播。Maurer表示,不同的黑客或黑客群体戴着不同颜色的帽子,而政府代理人和受雇的黑客使得组织很难知道黑客的真实意图以及黑客将如何处理和使用被盗数据。在过去几年APT技术和工具的商品化和公开发布的推动下,提供黑客雇佣服务的雇佣军团体的数量正在增长。许多网络犯罪集团和勒索软件团伙使用手动黑客和无文件执行技术,滥用脚本语言和双重用途工具(也被系统管理员或IT安全专业人员使用),在网络内部进行长达数月的侦察和横向移动操作,开发自定义和有效载荷等即使是中小型公司也面临APT的风险那么,无论规模大小,行业和组织能否承受不将APT纳入其威胁模型的后果?SMB存在一个严重的问题,因为它们通常没有检测和响应此类攻击所需的安全产品、预算或熟练人员。据Bitdefender的Arsene称,“中小企业将不得不彻底改革他们的威胁模型,建立新的安全策略并重新调整他们的安全预算。”“过去,大多数在APT攻击中‘撒谎’的中小企业是实际上,部分供应链攻击针对的是更大的目标,而APT就业服务的繁荣大大降低了此类攻击的门槛,这意味着中国规模较小的企业也会成为APT攻击的牺牲品。“我确实认为,对于大多数组织而言,移动到云是有意义的,因为这样云服务提供商的安全团队就可以更有效地检测和防御APT,从而得到更好的保护,”Maurer说,“如果你是一家小公司,而且可能只有一个人忙于更新补丁,你就不会拥有有效防御更高级威胁的带宽。在过去十年中,具有攻击性网络能力的民族国家黑客组织的数量从6个增加到30多个国家,APT攻击知识和能力的扩散继续超过国家(和组织)有效防御的能力。Maurer还认为,云提供商在不断投资于安全和保护客户方面享有盛誉,因为任何有关客户的云资产遭到破坏的新闻报道都会点名提及云提供商的名字,无论他们是否负责。话虽如此,大多数云安全问题都是由不安全的配置引起的,最终责任在客户。总之,虽然迁移到云端可能会减轻一些组织的网络监控负担,但他们仍然需要确保其云服务器和资产得到安全配置。Arsene认为,中小企业还可以考虑端点检测和响应(EDR)以及托管检测和响应(MDR)解决方案,这些解决方案对于中小企业来说也是负担得起的,并且可以提供企业级的安全操作。中心的许多服务。“小型企业面临的最大挑战是缺乏合格的安全和IT人员,以及缺乏可以检测可疑行为的安全工具,尤其是在竞争激烈和财务驱动的垂直行业,”Arsene指出。“中小型企业不仅需要检测恶意软件的安全软件,还需要端点和网络层的可见性工具来增强其安全性。安全人才短缺可以通过选择托管检测和响应团队来解决,该团队不仅可以评估公司的基础设施,并提出安全和强化工具,还可以充当专门的威胁猎手团队来追踪可疑事件的威胁源。":gooann-sectv)获取授权】点此阅读该作者更多好文
