暗網經濟引擎:流行的十大自動化攻擊
正如安全自動化可以幫助企業更有效地檢測、響應和緩解網絡威脅一樣,自動化工具也能讓網絡犯罪分子“如虎添翼”。
網絡安全公司Recorded Future最近分析了來自威脅情報平臺、開放源情報源和公共報告的數據,統計出了網絡犯罪分子最常用的十類自動化攻擊工具和服務。
Recorded Future指出,網絡犯罪分子已經創建了一個欣欣向榮的工具和資源生態系統,地下黑市銷售的各種工具能夠讓攻擊鏈(KillChain)幾乎每個環節都實現自動化,從最初的偵察、網絡侵入到有效負載投遞、逃避檢測、泄露數據以及被盜數據的貨幣化。
Recorded Future發現,“產品化”甚至“商品化”的惡意軟件使過去需要攻擊者花費數月時間才能開發、測試和部署的攻擊,現在已經可以“開箱即用”,這使菜鳥攻擊者也可以毫不費力地參與網絡非法活動。例如,快速驗證或訪問數千個帳戶密碼,繞過反惡意軟件產品投遞有效載荷和工具,從受感染系統中竊取憑據和其他敏感數據,以及從電子商務站點和地下市場竊取支付卡數據的嗅探器,不法分子甚至可以全自動方式出售被盜的憑據和其他數據。
以下是Recorded Future報告中給出的十大自動化攻擊工具類別,以及企業如何用威脅情報、自動檢測防御、SOAR等安全自動化技術來緩解此類威脅:
一、數據庫泄露與銷售工具
針對企業數據庫的自動化攻擊工具可以讓攻擊者獲得對網絡的未授權訪問,竊取數據或賬戶信息,然后在網絡地下黑市中銷售。常見的數據泄露自動化攻擊工具包括賬戶提權、企業電子郵件泄露、勒索軟件等類型。
緩解措施:
- 確保所有軟件和應用程序保持最新
- 過濾電子郵件中的垃圾郵件并仔細檢查鏈接和附件
- 定期備份系統并離線存儲
- 區分公司敏感數據
- 建立基于角色的訪問
- 應用數據加密標準
二、檢查器與暴力破解工具
攻擊者通過數據泄露攻擊獲得賬戶后,可利用檢查器和暴力破解器來發起大規模的自動登錄請求,以檢驗受害者賬戶的有效性,或通過對數千個帳戶的憑據填充攻擊來獲得未經授權的訪問。
緩解措施:
- 除密碼管理器外,還應為帳戶設置唯一的密碼
- 啟用登錄驗證(例如CAPTCHA)或多因素身份驗證(MFA)
- 部署定制的Web應用程序防火墻
- 限制登錄流量和頻次
- 刪除未使用的面向公眾的登錄名
- 為流量和網絡請求建立基準,以監視意外流量
三、加載程序和加密程序
攻擊者經常使用加載程序和加密程序來避免被端點安全產品(例如防病毒軟件)檢測到,然后下載并執行一個或多個惡意有效載荷(例如惡意軟件)。
緩解措施:
- 定期更新防病毒軟件
- 部署除防病毒之外的其他響應和檢測控制措施,以檢測惡意負載
- 對網絡釣魚和相關風險進行培訓和教育
四、竊密程序和鍵盤記錄器
竊密器和鍵盤記錄器用于從受害者那里竊取敏感信息,包括賬戶、隱私信息和支付卡信息,而且還能將有效負載安裝到受害者的系統上。
緩解措施:
- 投資提供補丁狀態報告的解決方案
- 配置網絡防御機制以警告設備上的惡意活動
- 監視文件驅動器和注冊表的可疑更改
五、金融惡意代碼注入
攻擊者無需自己編寫腳本即可自動執行攻擊,攻擊者如今可以輕松獲得流行且功能強大的金融欺詐工具。這些工具或模塊可以與銀行木馬一起使用,在用戶被重定向到合法網站之前,通過注入HTML或JavaScript代碼收集敏感信息。
緩解措施:
- 使軟件和應用程序保持最新
- 在所有設備上安裝防病毒解決方案,安排更新并監視防病毒狀態
- 通過SMS身份驗證器應用程序啟用MFA多因素認證
- 僅使用HTTPS連接web服務
- 教育員工并進行安全意識培訓
- 部署垃圾郵件和Web過濾器
- 加密所有公司敏感信息
- 禁用HTML或將HTML電子郵件轉換為純文本電子郵件
六、漏洞利用工具
漏洞利用工具包用于自動利用Web瀏覽器漏洞,以最大程度地傳播感染,并提供諸如木馬、裝載程序、勒索軟件和其他惡意軟件之類的惡意負載。
緩解措施:
- 優先修補技術產品中微軟產品和較舊漏洞的補丁
- 確保在瀏覽器設置中自動禁用Adobe Flash Player
- 開展并長期堅持網絡釣魚安全意識培訓
七、釣魚與垃圾郵件
攻擊者利用垃圾郵件和網絡釣魚服務來開展電子郵件攻擊活動,訪問成千上萬的受害者,以部署惡意軟件或進一步訪問網絡。
緩解措施:
- 不要在線發布您的電子郵件地址或回復垃圾郵件
- 下載安裝額外的垃圾郵件過濾工具和防病毒軟件
- 在線注冊時避免使用個人或公司電子郵件地址
- 制定密碼安全策略
- 要求所有員工落實加密措施
- 開展專項員工安全培訓
八、“防彈”托管服務(BPHS)
為了爭取更多的犯罪時間,攻擊者會利用代理和防彈托管服務(BPHS)來掩蓋其活動。BPHS依靠一種模型保證向惡意內容和活動提供匿名安全托管,并承諾不會因司法請求而中斷犯罪活動或導致攻擊者被捕。
緩解措施:
- 利用威脅情報平臺來協助監視惡意服務提供商
- 將與惡意BPHS關聯的服務器列入黑名單
九、嗅探器
在暗網經濟中,嗅探器(Sniffer)指的是一種用JavaScript編寫的惡意軟件,能從電子商務網站的支付頁面滲透并竊取無卡交易(CNP)數據。
緩解措施:
- 對網站進行定期審核,以識別可疑腳本或網絡行為
- 防止不必要的外部腳本加載到支付頁面上
- 評估電子商務網站上的第三方插件并監視其代碼或行為的更改
十、自動化網絡黑市
為了將攻擊獲得的內容貨幣化,攻擊者會通過在線信用卡商店、帳戶商店和暗網市場中出售被盜數據。通過買賣銀行帳戶、手機帳戶、在線商店賬戶、約會帳戶乃至受感染系統的數字指紋憑證來賺錢,這些交易將推動進一步的攻擊和破壞。
緩解措施:
- 監視商店和市場中與您企業相關的帳戶
- 對“黑店”中失竊帳戶數量激增做出及時反應
- 留意非公開域的賬戶泄露
- 通過SMS身份驗證器應用程序啟用MFA
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
