調查顯示,越來越多的攻擊活動不再依賴惡意軟件了
根據CarbonBlack的最新研究報告,各位安全研究專家可要注意了,因為現在越來越多的攻擊者在進行惡意活動時并不需要依賴惡意軟件了。
根據該公司發表的這篇標題為《2016年非惡意軟件攻擊和勒索軟件正在興起》的報告,在今年的1月份,大約有3%的網絡攻擊利用的是目標系統中的應用程序漏洞以及合法進程。但是到11月份時,這種攻擊方法的占比數量上升到了13%。報告中指出:“不依賴于惡意軟件的黑客攻擊活動目前已經到達了一種前所未有的高水平階段,所以在2017年,安全研究專家們應該更加注意這種類型的惡意攻擊活動。”
這項調查中的數據來源于一千多位CarbonBlack的客戶,其研究結果至少涵蓋了250萬終端設備的安全狀態。為了更好地衡量所謂的“非惡意軟件攻擊”(不依賴于惡意軟件的攻擊活動),調查人員將PowerShell和Windows Management Instrumentation(WMI)的惡意使用歸納進了“非惡意軟件攻擊”的范疇內。
報告中寫到:
| “通常情況下,攻擊者在進行“非惡意軟件攻擊”的時候是不需要在目標主機中下載惡意文件的。即便如此,他們仍然能夠在目標用戶的計算機中進行各種惡意活動,例如竊取數據、盜竊用戶憑證、或者監視目標主機所處的整個網絡環境。” |
惡意軟件PowerWare就是一個很好的例子,它可以使用目標主機中的PowerShell來下載并運行勒索軟件。在PowerShell的幫助下,攻擊者可以更好地隱藏自己的活動蹤跡,因為PowerShell是一個合法的Windows工具,而這款工具的使用并不會引起反病毒產品的注意。同樣的,有些攻擊者還會利用Windows Management Instrumentation(WMI)來進行攻擊,因為它也是Windows系統中的一個合法工具。
為了更好地研究這種類型的攻擊活動,CarbonBlack還對它們進行了歸類,并且對那些嚴重程度較高的“非惡意軟件攻擊”事件進行了單獨地分析。報告表示,相較于2016年的第一季度,此類攻擊活動的活躍度在2016年第四季度上升了33%。在接下來的90天內,大約有三分之一的組織將會遭受這種類型的惡意攻擊。
報告中所定義的“嚴重攻擊”指的是那些使用了可疑OS命令以及能夠直接向PowerShell發送可執行代碼的攻擊活動。在這些攻擊活動中還涉及到了其他的一些惡意攻擊技術,例如動態執行shellcode,讀取其他進程的內存數據,或者向其他正在運行的進程中注入惡意內容等等。
勒索軟件正在興起
這份報告還對目前正在興起的勒索軟件攻擊進行了討論。現在,企業遭受勒索軟件攻擊的事件數量正在不斷攀升。相比于去年,今年企業受勒索軟件攻擊的事件數量上漲了50%,而攻擊者的非法收入從去年的2400萬美元增長到了現在的8億5000萬美元。
報告中寫到:
| “勒索軟件已經成為了2016年全行業增長最為迅速的產業了。而在2015年,增長較為迅速的分別是科技公司、能源企業、公共事業公司、以及金融部門。” |
除了越來越普遍之外,勒索軟件攻擊的協同性也在不斷提升。比如說,在上個月的一次勒索軟件攻擊事件中,攻擊者一次性感染了舊金山交通運輸管理局的2000多臺計算機。
在所有的勒索軟件中,Locky可以稱得上是效率最高的了。在2016年,總共有四分之一的勒索軟件攻擊都與這款勒索軟件有關,而Locky也是2015年使用頻率排名前五的勒索軟件之一。經過了一年的升級與更新,這款勒索軟件現在已經可以通過Facebook和即時聊天信息來傳播了。
