攻擊熱點指南針?千里目淺談安全趨勢
概述
最近,MIT新媒體實驗室伊藤穰一主任的新書《爆裂》令我們腦洞大開。他對未來社會三大特徵:不對稱性、複雜性、不確定性的解讀讓從事網路安全的筆者有種醍醐灌頂之感。攻防世界尤其如此,防禦者在明,敵手在暗,攻擊者往往利用木桶效應,單點突破,獲得攻擊效益最大化,攻防投入產出的不對稱性是顯而易見的。孫子曾說:知己知彼方能百戰不殆;然而面對複雜不確定的攻擊者,如果對其意圖和布陣策略都一無所知,防禦自然是無從談起。基於伊藤主任的思想,本文不妄圖繪製安全攻防趨勢地圖,而是基於對攻擊事件熱點詞的匯總,嘗試為讀者展示一個攻擊熱點指南針。
本文攻擊熱點事件粗略分為如下幾類:
(1)區塊鏈相關的安全話題
(2)基於IoT的殭屍網路及DDoS
(3)供應鏈安全
(4)與AI有關的安全話題
(5)惡意軟體
(6)釣魚
(7)勒索、Raas
註:多種類別交叉的攻擊形態也往往可行,請讀者自行腦補。
熱點攻擊場景類別
區塊鏈安全相關的攻擊場景
(1)伺服器惡意挖礦
挖礦的本質是暴力計算符合條件的哈希值並獲得全網認可,特徵是消耗所在設備的CPU電力和時間,有自行挖礦(Solo)和礦池挖礦(StakePool)兩類。由於全網算力的快速上升導致自行挖礦獲取區塊獎勵概率已經極低。接入礦池接受分工並與礦池分成已經成為一種藉助不高的算力獲取穩定挖礦收益的主要模式。挖礦病毒往往具有蠕蟲特徵,可在內網利用伺服器漏洞進行傳播,典型的如RubyMiner、JbossMiner等。
(2) 客戶端挖礦
目前典型如利用以CoinHive為代表的JS挖礦腳本進行的瀏覽器挖礦(Cryptojacking)、以及如CoinKrypt的移動終端挖礦。隨著近年電子貨幣價格不斷提升的趨勢以及移動終端算力、續航的持續提升,此類惡意移動惡意軟體也在呈現逐步增加的趨勢。
(3)數字貨幣盜取(憑證盜竊)
伺服器或客戶端的數字貨幣憑證被黑客盜取。各種盜取方式也是各顯神通,有黑客通過釣魚盜取數字受害者數字貨幣交易平台賬號方式,有通過惡意軟體替換受害者轉賬目標錢包地址的方式,有通過惡意軟體或者漏洞直接盜取受害者數字貨幣錢包私鑰方式,還有通過替換礦機上錢包地址等方式進行盜竊等等。
針對區塊鏈相關的攻擊,進入2018年以來,勒索有所漸少,挖礦增多。主要原因是勒索目標多數並不知道如何通過比特幣繳納贖金,且多數用戶的數據價值沒有這麼大,勒索的投入產出比比較低。另外由於執法者的打擊,部分Raas網站已經關閉。
惡意挖礦蠕蟲常利用的漏洞有Apache struts(S2-005到S2-053)、Apache RCE(Apache遠程代碼執行漏洞曾導致Equifax的重大信息泄露事故)、dotnetnuke、舊windows、linux系統漏洞如17010等;有些可能結合pdf、word棧溢出、堆溢出漏洞等進行惡意代碼載入執行,且攻擊呈現高度自動化。
圖 CoinHive網站首頁宣示的其商業主張:利用用戶的CPU為網站挖取Monero幣
名詞解釋:
JBossMiner:利用JBoss、Struts2、EternalBlue等著名漏洞,且集成了MySQL、Redis、Tomcat/Axis攻擊模塊,進一步通過下載的powershell腳本執行挖礦,並下載執行內網傳播及後門代碼的惡意軟體。由於利用了一系列熱門漏洞及攻擊工具包,具有明顯的黑產特徵,上述漏洞利用技巧在後文中被稱為「黑產漏洞利用大禮包」。
Cryptojacking:該創新的挖礦手法通過在網頁中嵌入挖礦JS腳本通過瀏覽器調用訪問者的計算機資源進行挖礦,初始的目的是在遊戲及媒體網站中植入該代碼利用訪客的閑置計算資源,並減少網站對廣告收入的依賴,然而這種技術目前明顯被廣泛的濫用了。
CoinHive:一個網頁挖礦解決方案供應商,提供可被開發者在線嵌入的腳本,便於在開發者利用網站訪客的計算機資源為自己挖礦。
基於IoT的殭屍網路及DDoS攻擊場景
以Mirai及一系列變種或改進如Satori、IoTReaper等為代表,通過對包括22、23、2323等埠的暴力破解登陸設備,或利用如CWMP埠設備的RCE漏洞傳播,並控制被控設備從遠程C&C伺服器載入獲取與控制端通信並開展DDoS攻擊的惡意代碼。此類殭屍網路面向數量規模巨大的路由器、DVR設備、攝像頭等IoT設備進行感染,支持多種協議的DDoS攻擊,通信的C&C伺服器開始使用DGA演算法變更域名。
不像PC或移動設備操作系統有固定幾個廠商,IoT設備供應商數量眾多,且往往對安全疏於監管,全球多國大量分布,以及版本碎片化等問題導致相應的安全隱患的解決尚需時日。
名詞解釋:
DGA:Domain Generation Algorithm 域名生成演算法,已在多個惡意軟體中被採用,用於定期產生可被用於C&C伺服器的大數量的域名。受感染的主機每天都會嘗試聯繫不同的域名以接受或更新命令,因此此類殭屍網路將難以被執法人員有效關閉。
供應鏈安全相關攻擊場景
供應鏈攻擊通常利用用戶對供應商的固有信任,將官方軟體淪為感染源(比如利用安全軟體當後門),是APT組織常用手段,曾經著名的Stuxnet事件藉由USB感染並破壞了伊朗的核設施;目前已經有黑產利用供應鏈污染等手段開展攻擊。近年來的著名供應鏈攻擊事件有:
Xshell的Shadowpad攻擊、CCleaner的後門攻擊事件、XcodeGhost第三方惡意代碼注入蘋果App事件等;
近日百度披露的竹節蟲攻擊也是一種典型的黑產藉由供應鏈進行攻擊的事件,通過免費的小工具誘導用戶下載使用,內部卻嵌入了遠控後門及盜刷廣告流量的惡意代碼。
另外,目前開源開發框架普遍支持第三方組件的上傳,卻在組件審核方面缺乏監管。需要高度警惕黑產通過上傳惡意代碼到組件倉庫的方式,攻擊用戶並竊取隱私數據。
圖 Stuxnet事件破壞的目標:伊朗核設施之一的Bushehr Nuclear Power Plant的模型[5]
與AI有關的安全話題
(1)AI系統的安全風險:深度學習框架漏洞,攻擊平面有訓練數據污染(data poisoning attack)、畸形攻擊樣本輸入(Adversarial Examples)等;
(2)逃避AI檢測的技術:以CERBER為代表的勒索軟體具備了一定的對抗基於AI的靜態檢測能力。
(3)利用AI的自動化攻擊:如釣魚郵件的自動編輯,定向BEC商業欺詐植入勒索等;
(4)利用AI在社交網路創建謠言,誤導輿論等;雖然自動編輯機器人寫的文章語法可能會有各種問題,然而社交網路環境下充斥著各種存在語病的口語化文本,這也降低了人們對有語病的文本的警覺性,從而提高了自動編輯的文本附帶的惡意鏈接被點擊的概率。
圖 一種畸形樣本輸入的針對AI的攻擊手段,廟宇被AI識別為鴕鳥[8]
名詞解釋:
深度學習框架漏洞:如Caffe, TensorFlow, and Torch等流行的深度學習框架的漏洞。由於如圖像處理、科學計算等第三方組件的廣泛應用及實現的複雜性,引入了大量的漏洞。詳見參考文獻[6]。
釣魚郵件的自動編輯:一種假想場景:基於對郵件編寫者寫作習慣的自動學習,編輯發送帶有勒索payload的釣魚郵件。詳情參考文獻[7]。針對特定行業專門訓練的釣魚郵件編寫機器人也許已經出現。
惡意軟體熱門話題
(1)無文件或輕文件的惡意代碼:
利用微軟word的漏洞如cve-2017-0199結合 powershell執行惡意代碼下載payload進行攻擊,或進一步試用WMI實現平行移動,由於攻擊代碼運行於內存,且使用的是合法的powershell及WMI機制,檢測難度較大;著名例子有2016年的PowerSniff、PowerWare、August以及2017年的POSHSPY;2017年中東肆虐的雨刷蠕蟲(shamoon)等也利用了類似技術;
(2)各種挖礦惡意程序及蠕蟲,屬於交叉領域,詳見區塊鏈相關攻擊場景;
(3)移動惡意軟體:
(a)大量利用DirtyCowLinux漏洞獲得root許可權的Android平台惡意軟體;
(b)利用Toast(CVE-2017-0752)覆蓋濫用許可權接管設備的攻擊;
(c)利用Janus(CVE-2017-13156)簽名繞過漏洞的攻擊;
(d)Android平台勒索如Slocker;
(e)間諜軟體相關,典型案例是NSO Group Technologies開發的間諜軟體,iOS平台名為pegasus,安卓版名為Chrysaor;
(f)Turla/Sofacy/NewsBeef等APT組織活動;
各類釣魚
(1)商業郵件仿冒(BEC)結合釣魚網站:
如針對CEO等高管或高凈值人士的釣魚,攜帶惡意文檔的郵件將後門或惡意程序植入受害者電腦;或利用如Punycode和Unicode攻擊方式通過偽造的釣魚站點騙取受害者郵件或移動支付賬號。然後仿冒CEO或高管身份通過郵件或電話欺詐員工,套取敏感信息、數據或騙取錢財。
(2)簡訊息釣魚:
圖 FBI對BEC攻擊典型流程的解釋[9]
名詞解釋:
Punycode:是一種表示Unicode碼和ASCII碼的有限的字符集,目的是在於國際化域名標籤(IDNA)的框架中,使這些(多語言)的域名可以編碼為ASCII。
Punycode攻擊:攻擊者向受害者發送一封包含惡意網站鏈接的電子郵件,其中看上去可信的鏈接誘導用戶點擊並騙取用戶的敏感信息。鏈接的特徵在於欺騙瀏覽器以為域名是以Punycode編碼的,顯示的域名信息和用戶認為的高度相似(肉眼幾乎無法分別真偽),從而達到有效的釣魚欺騙目的。詳情見參考文獻[10]。
勒索、Raas(勒索即服務)等
2017年由於方程式組織泄露的多個0Day漏洞利用代碼的公開,以及如比特幣等電子貨幣幣值的快速增值。包括WannaCry、Petya等蠕蟲式勒索病毒全球肆虐。相關詳情請參閱網路上的多個報道。
曾經活躍的RaaS服務實例:PhiladelphiaStampadoFrozr LockerSatan
仍然活躍的RaaS服務:RaasBerry
對RaaS服務Philadelphia的詳細案例分析請見參考文獻[11]
圖 RaasBerry的暗網首頁
名詞解釋:
RaaS:勒索即服務,一種幫助別人進行技術犯罪的服務,大大降低了勒索犯罪的門檻,服務提供商為犯罪分子提供了一個軟體包,可以幫助犯罪分子方便的搭建C&C伺服器,創建勒索軟體樣本,並管理攻擊成果。
攻擊環節和攻擊場景
本節對各個自動化攻擊環節中熱點攻擊技術進行拆解,並對不同的攻擊者角色和動機、及對應攻擊場景進行了簡要梳理。
自動化攻擊環節分解
基於洛克希德.馬丁公司針對APT攻擊研究設計的CyberKillChain模型,一個典型的攻擊鏈[12]由如下7個環節構成:
①Reconnaissance
->②Weaponization
->③Delivery
->④Exploitation
->⑤Installation
->⑥Command and control
->⑦Actions on Objectives
針對面向企業的安全威脅,著名的非盈利機構MITRE對上述攻擊鏈進行了改進,後三個環節被調整為ControlExecuteMaintain,如下圖:
圖 著名非盈利組織METRE發布的面向企業的ATT&CK模型[13]
梳理2017年Q1至2018年Q1自動化攻擊事件熱點,基於METRE的ATT&CK模型進行展開,對各個環節自動攻擊熱點技術整理如下:
表 CyberKillChain中各階段對應的熱門攻擊策略
敵手特徵和攻擊場景
對黑客進行分類,並分別梳理其動機、目標、及攻擊場景。將以黑帽SEO為目的,勒索為目的、數據盜竊為目以及挖礦為目的的的攻擊者分別梳理如下:
註:SEO:搜索引擎優化,在此特製黑帽SEO,上表中的SEOer則指以黑帽SEO為目的的攻擊者,其他類推。
總結
針對伺服器場景,對於大部分黑客:經濟利益是最終目的。
三個關鍵要素:
(1) 網頁篡改只是表象;
(2) 殭屍網路持久控制是黑客攻擊的技術目標;
(3) 漏洞是基礎;
對於網路安全從業者,未來面對的挑戰有:
(1) 惡意挖礦廣泛化
(2) 殭屍網路IoT化
(3) 惡意軟體無文件化
(4) 軟體組件難以信任
(5) 黑產攻擊APT化
(6) 數據泄露常態化
(7) 釣魚攻擊智能化
(8) 黑客攻擊門檻卻在日益減低
參考文獻:
[1]https://www.bleepingcomputer.com/news/security/linux-and-windows-servers-targeted-with-rubyminer-malware/
[2]https://yq.aliyun.com/articles/558034
[3]https://kumarde.com/papers/understanding_mirai.pdf
[4]https://en.wikipedia.org/wiki/Domain_generation_algorithm
[5]https://en.wikipedia.org/wiki/Supply_chain_attack
[6] https://arxiv.org/pdf/1711.11008.pdf
[7] https://www.darktrace.com/blog/ai-will-supercharge-spear-phishing/
[8] https://hackernoon.com/the-implications-of-adversarial-examples-deep-learning-bits-3-4086108287c7
[9] https://www.fbi.gov/news/stories/business-e-mail-compromise-on-the-rise
[10] http://www.cs.technion.ac.il/~gabr/papers/homograph_full.pdf
[11] https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/RaaS-Philadelphia.pdf
[12]https://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf
[13] https://attack.mitre.org/wiki/Introduction_and_Overview#cite_note-2
TAG:千里目安全實驗室 |