Formjacking已超越勒索軟體和挖礦攻擊,成為2018年的頂級威脅
最近兩年,供應鏈攻擊已經成為最大網路威脅 。供應鏈攻擊形式多樣。可以是對合作夥伴公司的僱員進行網路釣魚獲取本公司登錄憑證,比如近幾年影響最重大的兩起數據泄露:美國零售商塔吉特百貨和美國人事管理局(OPM)數據泄露事件,就是經由合作公司失竊的登錄憑證。也可以是往合法軟體中植入惡意軟體,比如著名的NotPetya勒索軟體,就是烏克蘭流行會計軟體M.E.Doc被感染而引起的。英國國家網路安全中心(NCSC) 對供應鏈攻擊的總結如下:
如果做得好的話,供應鏈攻擊是很難被檢測出來的,有時候甚至是完全不可能被發現的。網路監視能檢測出異常或可疑行為,但依然難以確定安全漏洞是有意引入的(可能是作為後門),還是來自開發人員或製造商的無意疏忽,或者其實是為了證明有潛在的訪問憑證被利用了。
不過賽門鐵克(Symantec)公司最近發布了一份2018年頂級威脅研究報告,供應鏈攻擊無疑還是最大威脅,不過其中威力最大的還是Formjacking攻擊。這種攻擊思路非常簡單:黑客並不使用可能被標記為惡意軟體的自定義工具,而是使用已存在於設備上的合法工具,接管合法的系統進程,並在其內存空間運行惡意代碼,這種方法也被稱為「離地(living off the land)」攻擊,這也就是為什麼PowerShell腳本的使用比往年增加了十倍多的原因。
這份報告還顯示,挖礦攻擊次數也增加了4倍,不過隨著加密貨幣的價格暴跌,對它們的攻擊次數呈螺旋式下降,這促使攻擊者轉向其他攻擊目標。另外,供應鏈攻擊增加了78%,惡意powershell腳本增加100%,其中幾乎一半的惡意電子郵件附件都是Office文件。
2018年最大威脅
在2018年期間,攻擊者每月能夠入侵4800多個網站,使用注入的JavaScript代碼竊取電子商務網站用戶的借記卡和信用卡等付款信息。
其中最引人注目的Formjacking攻擊是針對英國航空公司(British Airways)和Ticketmaster的,但賽門鐵克表示,使用這種技術的網路犯罪分子也從許多較小的在線零售商那裡獲得了大量非法收入,這些零售商正是通過門戶網站接受用戶的付款,這也正是供應鏈攻擊的典型特徵。
Formjacking是網路攻擊者竊取信用卡信息和個人信息最高效的手段之一。簡單來說,攻擊者將惡意JavaScript代碼植入電子商務網站,當消費者在購物表格中輸入銀行信息並選擇支付時,惡意軟體將會收集消費者的所有信息,包含 信用卡信息、用戶姓名和郵寄地址等。最令人擔心 的是,攻擊者可能會使用偷盜的個人信息進行其他網路購買支付,還有可能將泄露的信息拋售給暗網上的其他網路罪犯。
哪些企業最容易成為受害者?賽門鐵克調研了9月18日至20日這三天內攔截的1000例Formjacking攻擊。數據顯示全球57個網站受到入侵威脅。這些網站大局部屬於在線零售網站,從小型的細分產品服務網站到大型零售電商,受到入侵威脅的範圍十分寬泛,包含澳大利亞時裝零售商、法國戶外用品供應商、義大利健身機構、汽車零部件供應商、廚具電商和禮品定製網店等。
在Ticketmaster受到Formjacking攻擊的案例中,Magecart網路犯罪組織使用供應鏈攻擊入侵受害企業網站並更改支付頁面上的代碼。在供應鏈攻擊中,攻擊者利用大型企業的小型供應商企業的系統漏洞來入侵大型企業,讓人防不勝防。
賽門鐵克在2018年阻止了370多萬次Formjacking攻擊,其中100多萬次發生在去年的10月到12月,因為每年從10月底開始,無論是中國的「雙11」、「雙12」,還是歐美,的「黑色星期五」或者Boxing Day,全球消費者都沉浸在購物的血拚中。統計每個月的情況,可以發現,5月份活動異常激增(僅當月就有55.6萬次),下半年活動總體呈上升趨勢。
從另外一方面講2018年的Formjacking攻擊數量的增長也可以解釋為加密貨幣價值的不斷下降,這使得之前專註於網路挖掘的黑客轉而竊取信用卡。根據統計, 2018年黑客通過竊取信用卡,總共獲得數千萬美元的收入。考慮到每一個竊取的信用卡都可以在地下黑市獲得45美元的收入。如果黑客能夠在每個目標網站竊取大約10張信用卡,他們能每月收入大約220萬美元。
供應鏈和離地攻擊也在整體增加
在2018年,供應鏈攻擊的數量整體也在增加,增長了大約78%。此外,離地攻擊是黑客進行攻擊的主要手段,使他們在進行複雜攻擊時不被察覺。
例如,惡意PowerShell腳本的使用增加了1000%,而這只是保守統計的結果。因為不法分子使用離地技術後,大量攻擊是無法被檢測到的。
一個非常常見的攻擊場景是,攻擊者使用Microsoft Office文檔,其中包含專門設計的宏,它們專門用於運行PowerShell腳本,這些腳本將在受害者的計算機上下載並啟動惡意載荷。
在惡意軟體活動中,Office文件越來越多,惡意電子郵件通過URL將惡意軟體發送到包含宏下載程序的Office文件。更確切地說,惡意Office文檔佔了惡意電子郵件附件的48%,相比2017年上升了5%。
賽門鐵克每月會攔截11.5萬個惡意PowerShell腳本,但這個數字連PowerShell總用量的1%都不到。這進一步說明為什麼離地技術已經成為許多攻擊者首選策略,因為這種攻擊的隱蔽性太好了。
挖礦攻擊和利用勒索軟體的攻擊呈螺旋式下降趨勢
2018年下半年,所有加密貨幣的價格在同一時期暴跌,挖礦攻擊行為迅速減少。賽門鐵克去年攔截了6900萬次挖礦攻擊,是2017年攔截數量的4倍。然而,就整體上升趨勢而言,從2018年1月到12月,挖礦攻擊卻活動下降了52%。
利用勒索軟體的攻擊數量也有所下降,同比下降約20%。不過企業受到的這方面攻擊卻沒有減少,與2017年相比,企業受到的勒索軟體攻擊增加了12%。此外,根據賽門鐵克的報告,2018勒索軟體家族的更新次數和種類也越來越少了,這是一個明確的跡象,表明未來攻擊者將大大減少對勒索軟體的依賴,轉向利用其它技術。
不過,儘管移動惡意軟體感染的整體數量有所下降,移動勒索軟體卻在蓬勃發展,與2017年相比,感染數量增加了約30%。
※HTTP安全標頭及其工作原理(下)
※利用機器學習突破基於文本的CAPTCHA驗證碼程序
TAG:嘶吼RoarTalk |