卡巴斯基安全公告2019。2020年的高级威胁预测

 

2020年5G技术预测

 

卡巴斯基安全公告2019。2020年的高级威胁预测

 

互联医疗2020的网络安全:概述和预测

 

2020企业安全预测

 

2020年金融机构面临的网络威胁:概述和预测

 

没有什么比做预测更困难的了。与其试图凝视水晶球,不如根据过去12个月中发生的事情进行有根据的猜测,以了解在哪里可以看到在不久的将来可能被利用的趋势。

根据该领域专家的知识以及对APT攻击的观察,我们认为这将在未来几个月内发生,因为APT威胁参与者历来是创新的中心。

下一级的错误标志攻击

错误标志的使用已成为几个APT组的工作手册中的重要元素。过去,这通常涉及试图将注意力转移到应对攻击负责的人身上,例如,在Lazarus组恶意软件中使用俄语单词,或在WildNeutron中使用罗马尼亚语单词。在一个值得注意的情况下- 奥林匹克驱逐舰袭击-Hades APT小组试图走得更远,而不仅仅是通过伪造袭击的要素以使它看起来像是另一个威胁行动者的工作来掩盖归属之水。我们认为,这将进一步发展,威胁行为者不仅寻求避免归因,而且积极地将责任归咎于其他人。

例如,这可能包括通过其他无关的APT参与者建立后门程序的使用,盗窃和再利用的代码(最近公布的情况下Turla重用代码从一个名不见经传的伊朗小组,由英国NCSC和NSA概述想到的)或故意泄漏源代码,以便其他组织采用它并进一步混淆。

最重要的是,我们应该考虑参与者在攻击和横向移动期间如何继续使用商品恶意软件,脚本,可公开获得的安全工具或管理员软件,从而使归因越来越困难。在安全研究人员渴望获得任何小线索的情况下,将几个错误的标记混入此等式中,可能足以将作者身份转移给其他人。

从勒索软件到目标勒索软件

在过去的两年中,由于网络犯罪分子越来越倾向于使用这种类型的恶意软件,因此,针对各种用途的广泛的勒索软件攻击的数量有所减少,重点是那些可能会大量付款以恢复其恶意软件的组织。数据。我们称这种技术为“目标勒索软件”。全年,我们记录了几起攻击者使用目标勒索软件的情况,我们认为,未来的发展可能是更积极地勒索金钱的尝试。潜在的扭曲可能是,威胁行为者会威胁发布从受害者公司那里窃取的数据,而不是使文件无法恢复。

除了有针对性的勒索软件外,网络犯罪分子还不可避免地会试图扩大其攻击范围,以包括PC或服务器以外的其他类型的设备。例如,消费产品中的勒索软件,例如智能电视,智能手表,智能汽车/房屋/城市。随着越来越多的设备连接到互联网,网络犯罪分子还将寻求通过货币化对这些设备的访问获利的方法。不幸的是,勒索软件是从受害者那里获取经济利益的最有效工具。

新的网上银行和支付攻击媒介

网络犯罪的新的潜在攻击媒介可能会随着最近在整个欧盟范围内全面生效的新银行业法规而开启。PSD2(付款服务指令)规定了提供付款服务的公司的监管要求,包括不属于已建立的银行界的新金融科技公司对个人数据的使用。在线支付(包括移动支付)的安全性是该法规的关键方面。然而,由于将要求银行向希望向银行客户提供服务的第三方开放其基础设施和数据,因此攻击者可能会试图通过新的欺诈手段来滥用这些新机制。

更多基础架构攻击和针对非PC目标的攻击

长期以来,坚定的威胁行动者一直在将其工具集扩展到Windows甚至PC系统之外:VPNFilter和Slingshot,例如,目标网络硬件。当然,对于攻击者来说,好处是,一旦攻击者破坏了此类设备,它就会为他们提供灵活性。他们可能会选择大规模的僵尸网络风格的妥协,并在将来将该网络用于不同的目标,或者他们可能接近选定的目标进行更多的秘密攻击。在2019年的威胁预测中,我们考虑了``无恶意软件''攻击的可能性,其中打开VPN隧道以镜像或重定向流量可能会向攻击者提供所有必要的信息。在6月,据透露黑客曾渗透到全世界至少10家蜂窝电信公司的网络中,并且隐藏多年。在某些情况下,他们似乎已经能够在电信基础架构上部署自己的VPN服务。大量物联网设备带来的现实世界和网络世界的融合为攻击者提供了越来越多的机会;很明显,威胁行为者已经意识到了这种潜力。据报道,今年未知的攻击者使用Raspberry Pi从NASA喷气推进实验室偷走了500MB数据。去年12月,英国的盖特威克机场(Gatwick airport)陷入停顿,原因是担心在一条跑道上看到至少一架无人机后可能会发生碰撞。虽然尚不清楚这是由业余无人机所有者还是坚定的DDoS攻击者造成的,但事实仍然是,由于使用无人机,该国的关键基础设施已陷入停顿。毫无疑问,此类攻击的数量将会增加。

近年来,我们看到了对关键基础设施的一系列高调攻击,这些攻击通常与更广泛的地缘政治目标保持一致。尽管工业设施中的大多数感染仍然来自“主流”恶意软件,但这一事实本身就凸显了这些设施可能有多脆弱。虽然针对关键基础设施的针对性攻击不太可能成为主流犯罪活动,但我们确实希望看到这种攻击在未来会增加。现在,在一个物理和网络日益融合的世界中,地缘政治冲突得以解决。而且,正如我们之前所观察到的那样,此类攻击为政府提供了一种在外交与战争之间进行报复的形式。

沿亚欧贸易路线的地区的袭击增加

克劳塞维茨的格言“战争只是通过其他手段进行政治的延续”,可以扩展到包括网络冲突,网络攻击反映了更广泛的现实世界的紧张局势和冲突。我们已经看到了很多例子。例如,考虑一下俄罗斯干预美国大选的指控,以及担心在2020年大选前夕可能重新启动这一选举的担忧。在美国起诉书中所谓的中国黑客的“命名和假名”中,我们已经看到了这一点。移动植入物被广泛用于监视“感兴趣的人”是另一个例子。

有几种方法可以发挥作用。其中包括随着政府寻求在国内外确保其利益的政治间谍活动的增加。这可能意味着监视该国“不受欢迎的”个人或运动以及国外潜在对手的活动。在潜在或实际的经济危机以及由此造成的不稳定的情况下,它还可能扩展到技术间谍活动。这可能会导致亚洲和欧洲之间贸易路线沿线的地区遭受新的攻击,包括土耳其,东欧和南欧以及东非。

随着政府希望更清晰地定义什么是什么和什么是不允许的,我们很有可能会看到立法和政策的变化。一方面,这可以用作建立合理的可否认性的一种方法,从而在怀疑的手指被一个国家指向另一个国家时避免制裁。另一方面,它可以使技术的使用更加积极,因为几个司法部门似乎渴望为各种“合法拦截”打开大门,以便在计算机上收集证据。犯罪集团可能采取的对策之一是更多地使用加密和暗网来掩盖其行动。

越来越复杂的攻击方法

很难确切地知道顶级攻击者到底有多先进,以及他们口袋里有什么样的资源。当然,每年我们学到的东西都更多:例如,几年前,我们发现准备为付钱的足智多谋的攻击者无休止的零日供应。今年,我们观察到了几个示例,但可能最有趣的是,在过去两年中,至少有14个针对iOS的漏洞利用,例如Google在8月份披露的那样。

为鱼叉式网络钓鱼活动传统上针对的Microsoft Word和其他软件实施的新隔离方法可能会对恶意软件分发方法产生重大影响,迫使不那么精通的参与者改变其传播恶意软件的方式。

我们认为可能已经使用了类似于几年前描述的Quantum插入攻击的其他拦截功能;希望我们能够发现其中一些。

攻击者似乎也可能会使用非常规方法来窃取数据,例如使用信令数据或Wi-Fi / 4G,特别是在使用物理植入物时(我们也认为这可能被忽略了)。同样,我们相信将来会有更多的攻击者使用DoH(基于HTTPS的DNS)来隐藏其活动并增加发现的难度。最后,由于我们看到此类系统的能力正在逐步提高,因此在接下来的几个月中,我们可能会开始发现更多UEFI恶意软件和感染。

供应链的使用将继续是最难解决的交付方法之一。攻击者可能会继续通过操纵软件容器(例如,滥用软件包和库)来扩展此方法。

将重点转移到移动攻击上

在过去的十年中,发生了重要的转变:我们数字生活的主要存储已从PC转移到了移动设备。一些威胁行为者很快注意到了这一点,并开始专注于开发针对移动设备的攻击工具。尽管我们一直在预测针对移动设备的攻击数量会大大增加,但是从现场观察到的结果并不总是反映出这种推断的演变。但是,缺乏对现象的观察并不一定意味着它没有发生。

我们已经讨论了攻击者如何滥用iOS中的至少14个零日漏洞来针对亚洲的某些少数民族。最近我们还看到了Facebook如何起诉以色列公司NSO涉嫌滥用其服务器(以部署恶意软件来拦截用户数据)。我们还看到,与iPhone相比,Android零点击,完全持久性漏洞利用如今(根据Zerodium的价格表)更昂贵。

所有这些都告诉我们攻击者在开发这些技术上投入了多少资金。他们所有人都清楚几乎每个人的口袋里都有一部电话,以及这些设备上的信息的价值。每年我们都朝着这个方向看到新的动作。我们还看到,由于缺乏可见性或可访问性,对于安全研究人员而言,获取有关此类平台上的攻击的更多技术细节可能有多么复杂。

没有充分的理由认为这将很快停止。但是,由于安全社区越来越重视此主题,我们相信被识别和详细分析的攻击次数也会增加。

个人信息的滥用:从深层的假货到DNA泄漏

前面我们讨论了数据泄漏如何帮助攻击者进行更具说服力的社会工程攻击。并非每个对手都对滥用的潜在受害者有完整的了解,这使得越来越多的泄露数据非常有价值。对于“目标较少”的攻击(例如我们已经讨论过的勒索软件案例)也是如此。

在一个日志数据持续增长的世界中,我们可以看到特别敏感的泄漏中的危险,例如涉及生物识别数据时。同样,广泛讨论的Deepfake提供了使这种攻击成为可能的技术,尤其是在将其与不太明显的攻击媒介(例如视频和音频)结合使用时。我们不应忘记如何将其自动化,以及AI如何帮助剖析和创建此类骗局。

是的,所有这些听起来都是未来派的,但它与通过社交媒体驱动选举广告所讨论的某些技术非常相似。该技术已经在使用中,某些攻击者利用它只是时间问题。

未来的可能性如此之多,以至于我们的预测中可能未包含某些东西。发生攻击的环境的程度和复杂性提供了许多可能性。此外,没有一个威胁研究团队可以完全了解APT威胁参与者的运作。我们将继续尝试并预期APT小组的活动,并了解他们采用的方法,同时提供有关其活动及其影响的见解。

 

 

 

发表评论 / Comment

用心评论~