网络犯罪分子继续发展其攻击方法的复杂性, 从针对某些攻击的定制勒索软件和自定义编码, 到在陆地上生活 (lotl) 或共享基础设施, 以最大限度地利用他们的机会。福蒂内最新报告。
妥协前和妥协后的流量
研究如何确定威胁行为体是否在一周中的不同日子实施了分阶段的攻击, 这表明网络犯罪分子总是希望最大限度地利用机会, 使他们受益。
在比较工作日和周末两个网络杀人链阶段的 Web 过滤量时, 在工作周期间发生的前妥协活动的可能性大约是其他方面的三倍, 而妥协后的流量在这方面的差异较小。
这主要是因为利用活动通常需要某人执行操作, 例如单击网络钓鱼电子邮件。相反, 命令和控制 (C2) 活动没有此要求, 可以随时发生。
网络犯罪分子理解这一点, 并将在互联网活动最普遍的一周内最大限度地利用机会。区分工作日和周末的网络过滤做法对于充分了解各种攻击的杀死链非常重要。
大多数威胁共享基础结构
不同威胁共享基础设施的程度显示了一些宝贵的趋势。与唯一或专用基础结构相比, 一些威胁在更大程度上利用社区使用的基础结构。近60% 的威胁至少共享一个域, 这表明大多数僵尸网络利用已建立的基础结构。
IcedID 就是这种 "为什么要在可以借入的时候购买或构建" 的行为的一个例子。此外, 当威胁共享基础设施时, 它们往往会在杀戮链的同一阶段共享基础设施。威胁利用域进行利用, 然后再将其用于 C2 流量, 这是很不寻常的。
这表明, 基础结构在用于恶意广告活动时发挥着特定的作用或功能。了解哪些威胁共享基础架构以及攻击链的什么位置, 使组织能够预测未来恶意软件或僵尸网络的潜在进化点。
内容管理需要持续管理
在集群中, 对手往往会从一个机会转移到下一个机会, 针对的是成功利用的漏洞和正在上升的技术, 以快速最大限度地利用机会。
最近受到网络犯罪分子高度关注的新技术的一个例子是网络平台, 这些平台使消费者和企业更容易建立网络存在。它们继续成为目标, 甚至关联的第三方插件。
这强化了这样一个事实, 即必须立即应用补丁, 并充分了解不断演变的漏洞世界, 以保持领先。
勒索软件远未消失
一般来说, 以前的勒索软件的高率已被更有针对性的攻击所取代, 但勒索软件远未消失。相反, 多个攻击表明它是为高价值目标定制的, 并为攻击者提供了对网络的特权访问权限。
Lockergoga是在多级攻击中进行的有针对性的勒索软件的一个示例。在功能复杂度方面, LockerGoga 将其与其他勒索软件区分开来的情况很少, 但尽管大多数勒索软件工具使用一定程度的混淆来避免检测, 但在分析时使用的它很少。
这表明攻击的针对性, 以及恶意软件不容易被检测到的预先确定。此外, 与大多数其他勒索软件一样, Anatova 的主要目标是在受害者系统上加密尽可能多的文件, 只是它系统地避免加密任何可能影响它所感染的系统稳定性的文件。
它还可以避免感染看起来像是用于恶意软件分析或蜂窝的计算机。这两种勒索软件变体都表明, 安全领导者需要继续关注针对商品勒索软件的修补和备份, 但有针对性的威胁需要更有针对性的防御, 以抵御其独特的攻击方法。
需要动态和主动的威胁情报
提高组织的能力, 不仅能够正确抵御当前的威胁趋势, 而且还要为攻击随时间的演变和自动化做好准备, 这就需要动态、主动且可在整个过程中获得威胁情报。分布式网络。
这些知识可以帮助确定显示针对数字攻击表面的攻击方法演变的趋势, 并根据坏行为者集中精力的位置确定网络卫生优先事项。
如果在每个安全设备上都无法实时操作, 那么就会严重削弱对威胁情报采取行动的价值和能力。只有广泛、集成和自动化的安全结构才能为整个网络环境提供保护, 从物联网到边缘、网络核心, 再到速度和规模的多云。
福蒂内首席信息安全官菲尔·奎德说: "不幸的是, 我们继续看到网络犯罪社区反映了民族国家行为者的战略和方法, 以及他们所针对的不断发展的设备和网络。组织需要重新思考其战略, 以更好地证明和管理网络风险。
"重要的第一步是将网络安全更像一门科学--做得非常好--这需要利用网络空间的速度和互联互通基础知识进行防御。采用一种结构化的安全、微观和宏观分割方法, 并利用机器学习和自动化作为 AI 的基石, 可以提供巨大的机会, 迫使我们的对手回到起点。
閱讀更多 智安網絡 的文章
