不只是入侵 攻击者倾向于更长久地潜藏在网络中

网络入侵者驻留的时间越来越长,染指的机器越来越多。

Carbon Black最近分析了其40家企业客户的事件报告,发现攻击者潜踪匿迹的手段更为丰富,驻留受害者网络的时间有所增长。

仅刚刚过去的3个月里,Carbon Black接到的报告就反映出黑客反击安全工具和管理员的行为有5%的上升,过去6个月里(从2018年第三季度到今年第一季度),这一涨幅是10%。此类行为包括删除日志、禁用杀软、劫持合法进程和关闭防火墙。

黑客自然干的是黑客的事,这里面有什么值得重点注意的吗?

首先,这种对确保自己不被检测的额外关注,已成为攻击者想要更长久地潜藏在被渗透网络中的“大政方针”的一部分。有了更长的驻留时间,黑客就能更充分挖掘已侵入系统的价值。

Carbon Black 首席网络安全官 Tom Kellermann 称:黑客已经从抢了就跑发展到家园入侵了。黑客是真想占有这些系统,拥有这些基础设施。

其中部分原因在于黑客瞄准知识产权的比率大幅上升。随着俄罗斯等民族国家的公司企业和政府越来越热衷于窃取竞争对手的科技和文档,知识产权盗窃作为动机的攻击占了该安全公司观测到的所有攻击的22%,比上一季度增长了5%。

第二个主要趋势是跳板攻击——攻击者从已侵入网络跳转到供应链更上游的另一家公司的网络。

报告指出,第一季度分析的所有攻击中50%都是经由供应链成员或其他合作公司跳转的。

虽然跳板攻击技术并不新鲜,此类攻击的频率及其背后的原因却是前所未见的。黑客如今不是简单地想要入侵大型企业,还想一定程度上借助其身份。比如说,黑客可能在拿下某个网络后征用电子邮件服务器执行“逆向”电子邮件攻击入侵和鱼叉式网络钓鱼攻击。一旦敌人入侵公司网络,他们会利用受害者的品牌进一步扩大战果。

真正的战利品是受害公司的品牌。

这就又给恶意黑客隐藏其踪迹添加了一层动机。他们想利用单个被黑系统或网络作为据点,拉取更有价值的知识产权,触碰更多的公司。

虽然趋势本身说明了不容易解决的一些宏观问题(比如政治和外交问题),有些简单的技术规范和行为还是可以用来缓解伤害的。

首先,管理员和安全人员应采取更细致的方法审查事件。比如说,别假设攻击者已经撤退了,而是尽可能悄悄地收集证据,并警惕入侵者可能采取反制措施。

供应商,尤其是微软,也应承担一定的责任。微软应介入并封锁其远程管理工具,以便更好地保护其企业客户。

WMI和PowerShell不应该以这样一种戏剧性的方式被滥用,微软是时候悔过了。

Carbon Black 季度事件响应危险报告:

https://www.carbonblack.com/wp-content/uploads/2019/04/carbon-black-quarterly-incident-response-threat-report-april-2019.pdf

上一篇:针对机场运营系统的4个攻击场景

下一篇:主动监控 VS. 被动监控:不再是非此即彼的选项