新型側載惡意軟件如何破壞業務
Mimecast威脅中心的新研究詳細介紹了最近通過側載(sideloading)技術傳送的惡意軟件活動。它針對Microsoft Store中的Microsoft App Installer功能,該功能允許用戶從網頁安裝Windows 10應用程序。據悉,此事背后的惡意行為者之前還曾利用Trickbot和BazarLoader分發垃圾郵件,進而誘發勒索軟件攻擊。
不過,此次活動只是側載攻擊構成威脅的一個主要示例。那么究竟什么是側載攻擊?它們如何運行?會對企業造成什么損害?以及如何防御它們?以下是企業需要了解的有關側載攻擊的全部信息。
什么是側載攻擊(sideloading attack)?
Netacea威脅研究主管Matthew Gracey McMinn介紹稱,“側載只是將應用程序安裝到手機或計算機等設備上。只是,它與正常安裝的主要區別在于,側載是指在不使用應用商店的情況下安裝應用程序的操作。例如,從Google查找應用程序并將其安裝到iPhone中,而不是從App Store下載。”
在此過程中,攻擊者所要做的就是讓用戶相信自己正在安裝一個合法且值得信賴的應用程序。 Redscan威脅情報主管George Glass表示,此類應用程序可能未經安全測試,并且本質上可能是惡意的,因此用戶通過安裝它們會面臨安全威脅。雖然大多數設備都已禁用此訪問,需要用戶在菜單中手動啟用它才能運行,但Windows 10如今仍默認允許側載。
Glass補充道,“通常來說,這些應用程序是在某種形式的社交工程攻擊之后通過網絡釣魚電子郵件或彈出廣告下載的。用戶還可能被“免費”或“破解”版本吸引,進而下載包含惡意代碼的軟件。”
最近觀察到的一個側載攻擊案例就是WizardUpdate,它偽裝成合法的應用程序,例如 Adobe Flash Player。最初,該應用程序只是一種偵察工具,用于收集系統信息并將其轉發回命令和控制(C2)服務器。然而,該應用程序現在已升級為包含避免macOS網守保護、從應用程序內加載其他程序(例如廣告軟件和惡意軟件)以及更改系統設置等功能。
Gracey McMinn指出,鑒于許多公司都擁有不通過官方應用商店提供,且業務流程所需的合法定制應用程序,因此側載也就成為其生態系統的必要組成部分。
側載攻擊的影響
側載攻擊對企業造成的潛在損害可能是巨大的。Glass解釋稱,“側載應用程序攻擊可能會導致企業遭到入侵,除非支付贖金,否則無法訪問數據,或者是機密數據外泄。此外,側載應用程序存在與電子郵件附帶惡意軟件類似的風險,只是側載攻擊最初的感染方法可能會受到相對較少的安全控制。”
攻擊者能夠在側載攻擊中傳播的惡意軟件范圍極廣——從簡單的鍵盤記錄器或勒索軟件,到刪除數據并使設備無法運行的惡意軟件。狡猾的網絡犯罪分子會嘗試將惡意軟件與有用的東西(例如免費的PDF到Word文檔轉換器)捆綁在一起。用戶安裝了自認為有用的工具,卻完全不知道后臺運行的惡意軟件。這種后臺惡意軟件會創建一個后門,使攻擊者可以訪問和控制設備。
一些攻擊者選擇將這些進入公司的訪問點出售給其他參與者,而另一些則會繼續利用這些訪問點發起進一步攻擊。Gracey McMinn介紹稱,“擁有網絡后門的網絡犯罪分子可以以此為立足點,進一步破壞更多端點。他們將在網絡中(從計算機到計算機、服務器到服務器)移動,直到獲取足夠的訪問和控制權限來發動針對目標的大規模攻擊。”
如此一來,即便是一臺計算機上的一個簡單的惡意側載應用程序,都可能會導致關鍵服務器和業務的廣泛部分遭受全面勒索軟件攻擊,進而削弱業務并阻止其執行核心業務功能。此類攻擊的問題在于,攻擊者可以安裝的惡意軟件類型實際上沒有限制。
如何防止側載攻擊
雖然喪失對關鍵服務、數據庫、數字流程的訪問權以及使用IT資產的能力,足以讓任何安全領導者徹夜難眠,但CISO可以采取措施幫助企業防止側載攻擊。安全專家一致認為,想要實現這一點,必須將技術控制與用戶意識結合起來。
技術控制可以限制用戶安裝應用程序的能力,但這些對于業務需求來說并非總是實用的。這就是意識培訓發揮作用的地方。
Glass建議稱,考慮通過Windows組策略限制用戶權限,以防止非系統管理員在公司設備上下載和安裝可能不需要的程序。通過使用應用程序允許列表,確保用戶僅直接從供應商的網站或應用程序商店而非第三方網站下載和安裝軟件。
企業還應掃描電子郵件以防止惡意內容到達受害者手中,并使用完整的網絡保護套件來檢測和阻止勒索軟件和其他惡意軟件,同時,監控進出網絡的數據流,并使用經過驗證且受保護的備份解決方案進行恢復(如果數據丟失的話)。此外,還需要部署零信任策略,這可以防止用戶從未經授權的位置安裝軟件,并將每個用戶對網絡資源的訪問權限制在他們工作所需的范圍內。
由于大多數側載攻擊都依賴社交工程技術,因此對用戶進行教育培訓至關重要。此外,當用戶找不到應用程序來做他們業務所需的事情時,他們經常會嘗試側載應用程序。為此,建議CISO確保企業中的所有員工都知道可以向他們請求獲取所需的應用程序,以便為員工提供已知安全的應用程序。
