本文来自微信公众号“FreeBuf”,作者/晶颜123。
在过去一年中,网络安全领域遭逢剧变。随着地缘政治和经济局势日趋紧张和不确定,组织对有效的全球威胁情报的需求持续增长;随着新的参与者和威胁在全球范围内不断涌现,威胁行为者也在持续进化,试图开发并执行新的战术和方法。安全专家应该假设,没有任何组织或个人能够真正免于网络威胁,并且越来越迫切地需要监控和研究那些以新的姿态重新席卷而来的威胁。
随着勒索软件家族的规模和复杂程度日益增加——包括通过地下论坛与其他威胁参与者协调和合作,勒索软件仍是全球许多组织始终存在的“梦靥”;诱骗个人泄露其设备或敏感信息的社会工程策略正变得越来越狡猾和有针对性,同时能够轻松逃避安全工具的检测;此外,正如在乌克兰、以色列和其他地区的威胁活动所观察到的那样,为政治、经济和领土野心服务的网络攻击趋势仍在继续。
Trellix高级研究中心威胁情报主管John Fokker表示:
“如今的网络环境比以往任何时候都更加复杂。网络犯罪分子——从勒索软件家族到国家行为体组织——在调整策略以遵循新计划方面正变得更加智能、快速、协调。我们预计这种情况在长期内不会发生变化。为了摆脱不断升级的攻击并智胜威胁参与者,所有行业都需要采用一种始终保持警惕、可操作、可理解并能适应新威胁的网络战略。这是我们在未来一年确保领先网络犯罪分子一步的方法。”
下面,来自Trellix高级研究中心团队的网络安全专家和威胁研究人员汇总了他们对趋势、策略和威胁的预测,随着2024年的步伐渐进,组织应该牢记这些预测,以保持敏锐的目光向前发展。
人工智能的威胁
1.恶意LLM的地下开发
人工智能的最新进展已经产生了能够生成类似人类文本的大型语言模型(LLM)。虽然LLM在积极应用方面表现出了显著的技术潜力,但其“两用性”(dual-use)本质也使其容易受到恶意利用。与LLM相关的一个重要安全问题是,它们可能会被网络罪犯滥用于大规模攻击。
领先的LLM(如GPT-4、Claude和PaLM2)在生成连贯的文本、回答复杂的查询、解决问题、编码和许多其他自然语言任务方面取得了无与伦比的成果。但这些高级的LLM的可用性和易用性也为网络罪犯打开了新世纪大门。与早期不那么复杂的人工智能系统不同,如今的LLM为黑客提供了一种强大而经济的工具,消除了对大量专业知识、时间和资源的需求。值得注意的是,地下网络犯罪市场成功把握住了这种价值。
为大规模网络钓鱼活动建立基础设施已经变得更便宜、更容易,甚至对技术技能有限的个人同样有效。像FraudGPT和WormGPT这样的工具在网络犯罪网络中已经十分突出。如今流行的暗网论坛经常作为协同开发网络钓鱼电子邮件、假冒网页以及创建恶意软件和漏洞的平台,这些恶意软件和漏洞旨在逃避成千上万用户的检测。这些LLM应用程序可以帮助缓解网络犯罪分子所面临的巨大挑战,我们预计这些工具的开发和恶意使用将在2024年加速。
2.脚本小子复兴
最开始,免费和开源软件的可用性导致了“脚本小子”(Script Kiddies)群体的兴起,这些人几乎没有技术专长,主要依靠预先存在的自动化工具或脚本发动网络攻击。尽管他们有时被视为技能不熟练的业余爱好者或黑帽的追随者,但先进的生成式人工智能工具的日益普及,以及它们被恶意软件滥用的可能性,意味着脚本小子将对市场构成重大且日益增长的威胁。
现在,互联网上充斥着各种人工智能驱动的工具,用于创建演示文稿、生成语音笔记、撰写议论文等等。许多最著名的工具(如ChatGPT、Bard或Perplexity AI)都带有安全机制,以防止其被用于编写恶意代码。然而,并非市场上所有可用的人工智能工具都存在安全机制,尤其是那些在暗网上开发的工具。
网络犯罪分子获得不受限制的生成式人工智能只是时间问题,这种人工智能可以编写恶意代码、创建deepfakes视频、协助社会工程计划等等。这将使技能有限的攻击者比以往任何时候都更容易大规模地执行复杂的攻击。此外,广泛利用这些工具来滥用漏洞将使攻击溯源分析变得更具挑战性。我们认为这是2024年需要仔细监测的领域。
3.用于社会工程的AI生成语音诈骗
AI生成语音诈骗的增加也是一个令人担忧的现象,并预计会在未来一年出现继续增长趋势,给个人和组织带来重大风险。这些骗局通常涉及社会工程策略,骗子使用心理操纵技术欺骗个人采取特定行动,例如披露个人信息或执行金融交易。AI生成的语音在这方面发挥着至关重要的作用,因为它们可以向受害者灌输信任和紧迫感,使他们更容易受到操纵。
AI的最新进展极大地提高了AI生成语音的质量。它们现在可以非常逼真地模仿人类的语言模式和细微差别,这使得区分真实和虚假的声音变得越来越困难。此外,AI语音生成工具的可访问性和可负担性也进一步扩大其采用率。即使是没有技术专长的人也可以很容易地利用这些工具来制造令人信服的人造声音,从而使骗子有机可施。
可扩展性是另一个关键因素。骗子可以利用AI生成的声音来自动化和放大他们的欺诈活动。他们可以通过个性化的语音信息或电话同时瞄准众多潜在的受害者,增加他们的影响力和有效性。实时检测AI生成的声音是一项重大挑战,特别是对于不熟悉这项技术的人来说。AI生成语音的真实性越来越高,使得受害者很难区分真实和虚假的通信。此外,这些骗局不受语言障碍的限制,允许骗子针对不同地理区域和语言背景的受害者。
网络钓鱼和语音钓鱼攻击都在上升。随着AI语音技术的进步,威胁行为者将利用这些应用程序与受害者进行实时电话通话,冒充合法实体,以此提高其骗局的有效性。
威胁行为者行为的变化趋势
4.针对托管文件传输解决方案的供应链攻击
托管文件传输(MFT)解决方案的设计初衷是在实体之间安全地交换敏感数据,但它本身就包含了大量机密信息,涉及知识产权、客户数据、财务记录等等。MFT解决方案在现代业务运营中发挥着关键作用,组织严重依赖它们来促进内部和外部的无缝数据共享。这些系统的任何中断或破坏都可能导致重大的操作停机、声誉受损和经济损失。鉴于此,它们成为勒索软件攻击者的关键目标。
此外,MFT系统的复杂性及其与内部业务网络的集成通常会产生安全弱点和漏洞,这些弱点和漏洞可能被网络罪犯利用。就在上个月,我们看到Cl0P组织利用Go-anywhere MFT解决方案和MOVEit漏洞,将一个成功的漏洞变成了一个重大的全球软件供应链漏洞。在接下来的一年里,我们预计这些类型的攻击只会增加,有更多威胁行为者将参与其中。因此,强烈建议组织彻底审查其托管文件传输解决方案,实施数据丢失防护(DLP)解决方案并加密敏感数据以保护自己。
5.恶意软件威胁正变得多语言化
近年来,使用诸如Golang、Nim和Rust等编程语言开发恶意软件的情况明显增加。虽然与C或c++等其他语言相比,它的数量仍然很低,但我们预计这种情况在未来将有所改变。
Go的简单性和并发能力使其成为制作轻量级和快速恶意软件的最爱。Nim对性能和表现力的关注使得它对于创建复杂的恶意软件非常有用。同时,Rust的内存管理功能对勒索软件组织和其他关注恶意软件样本加密效率的威胁参与者极具吸引力。
缺乏针对这些语言的综合分析工具,使得这个新兴领域变得更加复杂。Nim和Rust相对较新,这意味着与C或Python等语言相比,现有的安全工具较少。分析工具的稀缺性给网络安全专家带来了重大挑战,使他们难以剖析和抵御用这些语言编写的恶意软件。
最近几个月,我们已经观察到基于Golang的恶意软件呈增加趋势,因此,预测2024基于这些语言开发的恶意软件将显著激增。
6.更多重的勒索软件敲诈
由于勒索软件组织主要是受经济驱动的,所以看到他们找到新的方法向受害者勒索更多的钱并迫使他们支付赎金也就不足为奇了。我们开始看到勒索软件组织联系受害者的客户,作为一种新的方式来施加压力,回击最新的勒索软件缓解措施。这使得他们不仅可以向其攻击的直接受害者勒索被盗数据,还可以向可能受到被盗数据影响的受害者的任何客户进行勒索。
勒索软件组织想办法利用媒体和公众的压力来对付他们的受害者并不是什么新鲜事。早在2022年,澳大利亚最大的健康保险公司之一就遭遇了数据泄露。在向保险公司支付赎金的同时,威胁行为者还公布了大量医疗数据——导致公众和官员向勒索软件受害者施加压力,要求他们支付赎金以删除医疗信息。
此外,由于发布的数据具有极大的私密性,许多客户甚至走进保险公司的店面,提出要付费删除自己的详细信息。
随着这种勒索形式越来越流行,它为这些攻击者提供了新的途径来勒索受影响的人。我们预计勒索软件组织将更多地瞄准那些不仅处理敏感个人信息,还处理可用于勒索客户的私密细节的实体。2024年,医疗保健、社交媒体、教育和软件即服务(SaaS)行业将更容易受到这些勒索团伙的攻击。
7.选举安全必须从保护“圈内人”开始
针对选举安全的关键威胁仍然是基本的,通常从电子邮件或短信开始,“坏人”通过创造性的网络钓鱼计划积极针对选举官员,以试图获取凭据。回顾过去三年,“网络钓鱼”一词被明显地用于关注四个战场州的关键官员。除非从城市和乡村选举官员到志愿者等各级参与的个人都得到保护,否则即将到来的选举周期也不会有什么不同。
网络攻击(如鱼叉式网络钓鱼和复杂的冒充)继续使用电子邮件作为主要切入点,因为它可以高度定制,并专注于提高成功利用的水平。随着我们离2024年大选周期越来越近,参与选举的每个人都必须继续仔细检查电子邮件,不要相信无法识别的超链接。他们应该特别警惕高度针对性和复杂的冒充、商业电子邮件妥协(BEC)攻击和鱼叉式网络钓鱼活动,并考虑利用解决方案来检测和阻止高级恶意文件和URL。
在选举中发挥作用赋予所有个人权力,但这些作用也伴随着一项重要的责任。每一个参与者都必须了解那些试图通过非法手段影响选举进程的人,并为他们做好准备。
新出现的威胁和攻击方法
8.内部威胁持续激增
近年来,内部威胁带来了多方面的风险,影响着全球的公共和私人组织。内部威胁指的是任何人,无论是员工、承包商、合作伙伴,还是具有恶意访问权限的人,他们曾经或现在有权访问组织的关键资产,包括设施、信息、网络和系统。根据最近的行业分析,在过去两年中,内部威胁增加了47%,为遏制这些事件而造成的总损失为1538万美元。
这种威胁破坏了组织的机密性和完整性,同时帮助对手收集情报,实施破坏行动,并使用诡计来实现他们的邪恶目标。随着互联设备的不断增加,以及混合和远程工作人员的持续存在,内部威胁只会继续增长。快速增长的内部威胁对人员、流程和技术提出了巨大的挑战。在当今的威胁环境中,组织必须识别、评估、检测和管理这些内部威胁,以保持利益相关者的信心。
9.QR码之战愈演愈烈
基于二维码的网络钓鱼活动的兴起是另一个令人担忧的趋势。随着我们的日常生活越来越依赖于数字交互,攻击者也在调整他们的策略来利用新的漏洞。二维码最初是为了方便和高效而设计的,但现在已经成为网络犯罪分子用于实施攻击的诱人工具。
QR码网络钓鱼(Quishing)活动预计会增加的主要原因之一是它们固有的可信度。在新冠病毒大流行期间,从非接触式支付到餐厅菜单,二维码在日常生活的各个方面都变得至关重要。因此,人们已经习惯了不假思索地扫描二维码,认为它们是安全的。这种信任感正在被网络罪犯利用,他们在其中嵌入恶意链接或将受害者重定向到虚假网站。我们预计QR码也将被用于传播恶意软件家族。
QR码的创建和分发的便利性降低了进入网络钓鱼和恶意软件分发世界的门槛。任何人都可以生成二维码,并在其中嵌入恶意链接,这使其成为网络犯罪分子瞄准受害者的一种既经济又容易的方法。此外,QR码为黑客提供了一种隐蔽的方式来传递他们的有效载荷。用户甚至可能没有意识到自己已经沦为网络钓鱼攻击的受害者,直到为时已晚,这使得检测和预防更具挑战性。
传统的电子邮件产品往往无法检测到这些攻击,这使得它们成为当今网络罪犯的诱人选择。随着攻击者不断完善他们的战术和制作令人信服的网络钓鱼诱饵,这些活动成功的概率将会上升。为了应对日益增长的QR码网络钓鱼威胁,用户在扫描二维码时必须格外小心,尤其是来自未知或可疑来源的二维码。
10.对边缘设备的隐形攻击
威胁形势正在悄然发生变化,主要集中在经常被忽视的边缘设备领域。这些不起眼的组件(包括防火墙、路由器、VPN、交换机、多路复用器和网关)正成为高级持续威胁(APT)组织的新阵地。这次的不同之处在于威胁的微妙性;它并非关乎容易预见的物联网漏洞,而是边缘设备本身带来的不太明显的挑战。
边缘设备有其独特的复杂性。然而,问题在于它们固有的检测入侵的能力。与传统的网络组件不同,它不像连接另一个IDS或IPS那么简单。从设计上讲,通往数字世界的门户是第一道也是最后一道防线。这使得它们既是目标也是盲点。APT组织不断发展的策略,加上边缘设备架构的多样性,构成了一个巨大的挑战。在强大的入侵检测方面,MIPS或ARM等平台的解决方案仍处于起步阶段。在这场持续不断的“猫鼠大战”中,这显然是一个“老鼠”得心应手,而“猫”仍捉摸不透的领域。
11.Python在Excel中创建一个潜在的新攻击向量
随着微软在Excel中实施默认防御措施来阻止互联网宏,威胁行为者对宏的使用出现了预期的下降。作为回应,他们正在探索最新的替代攻击媒介,包括鲜为人知或未充分利用的OneNote文档。然而,随着最近Python在Excel中的创建和发布,我们预计这将成为网络犯罪分子的潜在新载体。
随着攻击者和防御者继续探索Python在Excel中的功能,可以肯定的是,恶意行为者将开始利用这项新技术作为网络攻击的一部分。当Python代码在Azure的容器中执行时,它可以在Power Query的帮助下访问本地文件。现在,微软在Excel中创建和发布Python时确实考虑到了安全问题,并声称Python代码和Visual Basic for Applications(VBA)宏之间没有可能的联系。此外,它只使用Python的Anaconda发行版的一个子集,提供对本地机器和互联网的非常有限的访问。
然而,如果被威胁参与者发现,这仍然有可能通过漏洞或错误配置被滥用。微软的限制缩小了游戏范围,但并没有改变这样一个事实,即这个新功能为威胁行为者创造了一个新的领域。
12.LOL驱动程序正在改变游戏规则
最近的许多安全事件表明,易受攻击的驱动程序构成了重大威胁。签名的脆弱驱动程序正在大出风头,因为它们可以用于隐形持久性,并在攻击的早期阶段禁用安全解决方案。在这种攻击中,恶意行为者会加载使用有效证书签名的合法驱动程序,并且能够在受害者的设备上以内核特权运行。成功的利用允许攻击者实现内核级特权升级,从而授予他们对目标系统资源的最高级别访问和控制。
ZeroMemoryEx Blackout项目、Spyboy开发的终结者(The Terminator)工具和AuKill工具都是绕过安全控制并执行恶意代码的脆弱驱动程序技术的例子。有一些功能和举措可以防止这种攻击,例如微软的脆弱驱动程序黑名单(Vulnerable Driver Blocklist)和LOL Drivers项目,旨在通过提供易受攻击驱动程序和相关检测机制的全面列表来弥补这一缺口。
然而,这并不能改变这样一个事实,即这些攻击很容易执行,成功感染的可能性增加,易受攻击的驱动程序更容易被访问。由于这些原因,我们预计会看到更多这样的基于驱动程序的漏洞利用,这将在2024年产生广泛的影响。
