虽然本文关注的是在俄罗斯境内活动的网络攻击者,但这些网络攻击者很少将自己局限在俄罗斯境内,勒索软件组织就是这样一个跨国界的典型例子活动。此外,在一个国家/地区发现的攻击趋势往往会在其他地方和新的网络犯罪集团中迅速浮出水面。本文试图介绍卡巴斯基实验室研究人员认为重要并将扩大其影响范围的网络犯罪活动。示例分析Kaspersky的计算机事件调查部门专门从事俄语和俄语网络犯罪攻击。我们提供的服务包括事件分析、调查,旨在预防和减轻网络攻击。早在2016年,攻击者的主要关注点就集中在主要网络团体中的金融机构,尤其是银行。Lurk、Buhtrap、Metel、RTM、Fibbit和Carbanak等知名恶意软件系列已开始将全球银行作为攻击目标。如今,受到攻击的行业不仅限于金融机构,幸运的是我们调查的重大攻击已经不可能了。受影响的行业包括从IT到零售、石油和天然气到医疗保健的所有行业。2020年,我们为俄罗斯客户调查了200起案件,2021年前9个月,我们已经调查了300多起案件。受影响的行业范围从IT到零售、石油和天然气到医疗保健。这是一个令人惊讶的趋势,正如人们所预料的那样,由于冠状病毒大流行的影响,远程工作更有可能导致攻击。主要趋势网络犯罪生态系统一直由各种参与者组成。该系统的主要组成部分是进行网络犯罪活动所需的基础设施和用于该活动的工具。攻击者的角色直接依赖于基础设施和工具。让我们来看看过去五年来俄语世界网络安全发生的一些重大变化,看看网络犯罪分子是如何运作的。客户端攻击逐渐消失五年前,用特洛伊木马感染您的计算机就像访问新闻站点一样容易。事实上,俄罗斯的许多恶意软件都是通过新闻平台和其他合法网站传播的。虽然Web攻击仍然很流行,但随着浏览器安全性的提高,使用这种方法的攻击变得更加困难。以前,许多网络攻击者只是通过合法网站传播漏洞。整个市场都是围绕这个过程建立的,由专门的人来运行。在那个年代,浏览器漏洞百出,用户体验差,普遍不安全。许多人使用他们习惯使用的浏览器,而不是选择的浏览器或他们的组织设置的默认浏览器,例如InternetExplorer。通过Adob??eFlash、Silverlight和Java等插件进行的攻击也是感染用户设备的最简单和最常见的方法之一,现在它们已成为过去。2021年,浏览器将变得更加安全,其中一些浏览器将在无需用户干预的情况下自动更新,浏览器开发人员将继续投资漏洞评估。此外,随着众多漏洞赏金计划的发展,将发现的漏洞出售给开发者自己变得更加容易,而不是在暗网上寻找买家,这也导致了漏洞价格的上涨。有了更安全的浏览器,网络感染变得更具挑战性,导致网络攻击者慢慢将目光投向别处。因此,以这种方式针对普通用户而不是商业用户变得过于昂贵且在商业上不可行。漏洞被大量利用应用程序更复杂,架构也更好。这从根本上改变了网络攻击者在俄语地区的运作方式。随着漏洞利用价格的上涨,攻击客户端变得极其困难和昂贵。客户端感染过去严重依赖漏洞,整个团队都会发现它们并针对特定漏洞编写漏洞利用程序,针对不同的操作系统进行调整。大多数时候,网络攻击者利用1-day漏洞,他们检查开发人员最近推出的补丁,并为已关闭的漏洞编写漏洞利用程序。然而,由于软件更新周期长(现在仍然如此),用户经常会延迟更新他们的设备,从而留下一个窗口,在此期间网络攻击者可以感染相当多的受害者。典型的感染链是这样的:攻击者会攻击合法网站,因为五年前,没有人了解保护网站安全的重要性。黑客可以直接受到威胁,也可以通过侵入具有站点管理权限的人的帐户来进行攻击。攻击者会集成一些代码,这些代码可能是页面上的一个窗口,用户是看不到的。然后,由于目标将继续使用该站点,它还会加载一个由攻击者控制的页面。另一种选择是攻击横幅广告网络,我们可以在无数网站上看到横幅广告,而网站管理员无法控制广告显示的内容。也可以简单地购买并将流量定向到特定的恶意页面。最终,用户会被定向到一个由攻击者控制的页面,其中包含利用用户浏览器漏洞的代码。以上是2016年流行的浏览器攻击链,已经不行了。为达到攻击目的,网络犯罪团伙针对特定用户群体开发了漏洞利用工具包,并定制了漏洞利用程序下载到受害者的设备上。程序。运行漏洞后,攻击者选择一个特定的有效负载下载到受感染的设备。有效负载通常会导致远程访问计算机。一旦被感染,该设备将根据它对网络攻击者的吸引力进行评级。之后,攻击者会加载特定的漏洞利用程序来衡量受感染设备的兴趣,然后将特定的恶意软件上传到设备。由于此类浏览器攻击不再可行或易于执行,因此不需要各种不同的玩家。这包括专门购买特定页面并将流量引导至具有漏洞利用的特定页面的组织、开发和销售漏洞利用工具包的组织以及购买特定设备访问权限的组织。当然,客户端软件中的漏洞仍然存在,只是现在不在浏览器中,而是在各种类型的文档中,例如PDF或Word,带有经常通过电子邮件传播的宏选项。然而,这种变化使得攻击和感染过程更加困难。与浏览器感染不同,当分发隐藏在PDF或Word中的恶意文件时,攻击者无法收到受害者的反馈或有关目标所用设备的额外信息。另一方面,浏览器会自动报告软件和插件的版本。这使得追踪用户的软件版本或攻击范围变得更加困难,因为攻击者转向网络钓鱼电子邮件来分发恶意文件。最重要的是,电子邮件服务器和Word等应用程序中的安全机制也使感染变得更加困难。许多包含恶意文件的电子邮件在到达目标之前不会被拦截,并且用户会定期在应用程序中收到它们。了解有关潜在危险配件的警告。云服务器通信和数据存储需要基础设施。随着组织在采用新IT服务方面取得进展,网络攻击者也遵循相同的趋势和变化。迁移到云服务而不是常规服务器是一种新的攻击趋势。以前,网络攻击者会租用服务器,通常不是以他们自己的名义,但相当合法。2016年,针对与可疑活动相关的服务器的投诉更有可能被忽视。当时,一些组织提供了无视用户投诉的防弹服务器。然而,随着时间的推移,管理此类服务器变得越来越困难且利润越来越低。网络攻击者还破坏了组织的服务器,将它们用作中继服务器来迷惑调查人员,并使追踪主要的C&C中心变得更加困难。有时,网络团体会在他们入侵的服务器上存储一些信息(例如,从受害者那里提取的数据)。这种分布在各个平台上的数据结构需要专门的人员来管理。云服务器的采用让网络攻击者的生活变得更加轻松,现在,如果多次投诉导致帐户被暂停,只需两分钟即可将数据传输到新服务器。这也意味着团队不再需要专门的管理员来管理服务器,这项任务外包给了云服务器提供商。对于恶意软件开发人员来说,最可怕的趋势可能是网络攻击者可以轻松获得新的有效恶意软件,虽然APT攻击者继续将大量资金和资源投入到定制的恶意工具中,但网络攻击者正在选择更简单、更便宜的方式,不再涉及开发您自己的恶意软件或漏洞。开源恶意软件在暗网上出现的频率越来越高,老牌网络组织免费向公众发布源代码已成为一种趋势,让新玩家很容易开始网络犯罪活动。银行木马Cerberus的开发人员于2020年10月发布了其恶意软件的源代码,而臭名昭著的同名勒索软件的开发人员Babuk于2021年9月初发布了其勒索软件代码。更糟糕的是,随着渗透测试工具和服务的发展,新的恶意工具出现在黑市上。这些工具是为合法服务而开发和使用的,例如评估客户的安全基础设施和成功渗透网络的潜力。它们旨在出售给精心挑选的客户群,这些客户群只会将它们用于合法目的。例如,网络攻击者最喜欢的CobaltStrike,其反编译版本于2020年11月泄露,现在被网络攻击者和APT组织使用。其他包括Bloodhound,另一种最流行的网络映射网络犯罪工具,用于专门传播的Kali和CommandoVM,用于漏洞利用的CoreImpact和MetaspoitFramework,netscan.exe(softPerfectNetworkScanner),以及用于远程访问的合法服务,例如TeamViewer,AnyDesk和RMS/LMS。最重要的是,网络攻击者利用旨在帮助系统管理员的合法服务,例如允许远程执行程序的PSexec。随着远程工作的发生,此类工具越来越受欢迎。今天,要了解网络攻击者使用什么工具,只要知道渗透测试人员在市场上部署和提供什么工具就足够了。从本质上讲,恶意软件利用市场非常成熟,比以往任何时候都更容易开展网络犯罪活动。同时,对企业的攻击也变得更加困难。攻击组织越来越小这些结构性转变(漏洞利用成本上升、迁移到云服务器、开发的高级攻击工具的可访问性)导致网络组织越来越小。本质上,攻击链已经优化,许多功能已经外包,团队也变得更小了。现在不需要系统管理员来管理物理网络,云服务管理是一项简单的工作。网络犯罪集团也基本停止开发自己的恶意软件。以前,大型网络犯罪集团会投资自己的恶意软件,因此至少需要两名开发人员来处理恶意软件的不同部分(例如客户端和服务器端),现在他们只需要一名操作员。如果您不需要开发人员,那么您也不需要测试人员。为恶意网站买流量变成了买数据,访问不同的机构,账户信息等等,而且这些服务也是外包的。因此,网络犯罪组织要想在2021年成功运作,就需要管理员、网络访问专家以及负责提取和兑现被盗资金的金融专家。2016年和2021年网络犯罪集团的变化攻击目标的变化2016年,俄罗斯银行陆续遭到黑客攻击。此次事件发生后,实施类似攻击的网络攻击组织几乎被重创。目前,这些网络组织已经转而攻击其他行业的目标。然而,到2018年,他们意识到以组织为目标更有利可图,使用勒索软件、窃取工具或远程访问工具从网络内部窃取资金。2020年针对俄罗斯金融机构的案件有所减少,几乎没有涉及银行软件的事件。出于意识形态原因,网络攻击者并非以西方组织为目标。首先,针对欧洲和美国的组织更有利可图。例如,对于国际公司,赎金起价为70万美元,最高可达700万美元。同时,攻击目标向西方转移并不意味着俄罗斯企业不再受到国内黑客的攻击。由于黑客仍然受到语言的限制,用他们的母语准备钓鱼邮件和文档要容易得多。这是说俄语的黑客在攻击俄罗斯公司时的唯一优势。在行业方面,攻击的目标不再局限于金融机构。僵尸网络的出现创造了一个网络访问市场,各行各业的公司在没有特定目标的情况下受到损害,随后通过暗网出售对这些公司的访问。大流行病也在推动这一趋势中发挥了作用,公司将其大部分基础设施转移到网上并将其开放给远程工作人员,从而导致更大的攻击面和更多的方式来攻击原本保护得更好的网络。通常,勒索软件运营商会选择容易获得的目标,另一个重点是拥有或运营加密货币的组织和用户:加密交易所、加密钱包等都是诱人的目标。发展趋势目前,暗网已经不再出售真正有价值的漏洞(如0-day漏洞)。但是暗网上购买现成账号、访问登录、DDoS攻击、进入目标组织等需求仍然很多。只要有必要,攻击者仍然可以轻松找到这些服务。本文翻译自:https://securelist.com/russian-speaking-cybercrime-evolution-2016-2021/104656/如有转载请注明原文地址。
