FireEye最新报告:经济利益与民族国家支持已成为主要恶意活动驱动主体
发布日期:
2017-03-15
来源:
easyaq
转载地址:
https://www.easyaq.com/news/1937312318.shtml

根据本周二由FireEye公司旗下Mandiant事业部发布的2017 M-Trends报告显示,目前经济利益型动机类恶意活动在复杂程度上已经与民族国家支持型攻击基本持平。

该公司的这份报告是基于真实事件整理分析的调查数据,结果显示过去几年当中利益驱动型网络犯罪活动的复杂程度正不断攀升。
        截至2013年,专家将大部分由网络犯罪分子发起的攻击称为“破坏与掠夺”式攻击,这类攻击持续长期入侵系统,并不在意隐藏自己的行动。之后,经济利益型攻击者与民族国家支持型恶意方在攻击活动复杂度层面的界线变得越来越模糊,研究人员已确定这一界线已彻底消失。
        经济利益动机型黑客以往利用Web shell及Perl2Exe编译型二进制代码配合一定命令与控制(简称C&C)基础设施,现在则转变方式,采用定制化后门配合合法网站作为C&C通信端以针对特定目标系统。

        Mandiant在2016年年内还观察到一种有趣的现象,即利用包含恶意宏的文档实施入侵活动。尽管在多数情况下,攻击者会试图通过电子邮件或者内部文档提供的说明引导目标用户启用宏,但在去年,研究人员们观察到黑客已开始向受害者拨打电话以说服其启用此类恶意宏。
        零售商已经成为一类有利可图的显著目标,大多数零售企业无法确保对其网络进行分段隔离,攻击者能在某一位置入侵PoS系统后继而突破整个PCI环境。这样的攻击能够带来直接收益,网络犯罪分子自然积极投入大量精力。
在FireEye开展的一项调查当中,一组攻击者甚至利用Windows的0day漏洞在受影响系统内实现权限提升,并借此入侵100余家企业。
        网络犯罪分子亦尝试利用复杂的技术手段以逃避检测从而保障长期入侵。其常用的有效方法之一,是在操作系统引导之前修改其分卷启动记录(简称VBR)以实现后门加载。
        FireEye公司还对指向目标银行的攻击活动进行分析。在与亚洲某银行相关的案例当中,调查人员发现共有96台服务器及工作站遭遇入侵。攻击者首先以其下辖子公司的网络为跳板,直至成功黑进银行的中央基础设施。

        在一起针对EMEA(即欧洲、非洲与中东)地区的银行攻击活动当中,恶意人士利用PowerShell与Metasploit在45台服务器与工作站之间进行横向移动。攻击者利用被劫持的帐户发起数额达数百万美元的转帐操作,而后清除了事件日志并对系统分卷进行重新格式化,计划利用以此造成的业务中断防止银行在流程完成之前就发现相关欺诈交易。
        根据FireEye公司的介绍,目前企业自身对于安全违规行为的发现能力已有所提升,全球范围内,安全违规发生到发现之间的周期已经由2015年的平均146天下降至2016年的平均80天,北美地区的平均时长则仅为35天。亚洲多个国家的安全违规发现能力仍然较差,这可能与“缺少安全相关投入”有关。
        网络攻击活动的严重性与复杂性呈现出显著增长趋势,相比之下企业方的防御能力则发展缓慢。报告中提到,受害组织机构尽管努力推动防御体系改进工作,但大多数企业仍然缺乏必要的基本安全控制与能力,因此暂无防范安全违规行为的能力以及降低不可避免之事件所带来的危害与后果。
        随着民族国家与经济利益型威胁主体逐步向愈发高调的业务中断、敲诈与公开披露攻击转变,专家在这份报告中建议称,各IT与安全团队仍应继续将基础性保护(例如数据与关键性应用程序隔离、网络分段以及关键性系统的持续可见性与监控机制)作为核心工作重点。”