信息化觀察網(wǎng)

試圖預測未來幾乎是一件不太可能的事情。不過，盡管我們沒有能夠預測未來的水晶球，但我們可以嘗試利用過去12個月中觀察到的趨勢做出一些合理的猜測，從而確定攻擊者在近期內可能會尋求和利用的領域。

讓我們先回顧一下我們曾對2020年作出的預測。

· 虛旗攻擊的下一個階段

今年，我們還沒有看到類似Olympic Destroyer一樣，將一個惡意模塊打造得看起來像另一個威脅者的作品，這實在是太戲劇性了。但是，使用虛旗無疑已成為APT小組轉移別人關注的一種既定方法。今年值得注意的事件還包括MontysThree和DeathStalker。有趣的是，在DeathStalker的案例中，威脅者將臭名昭著的Sofacy證書元數(shù)據(jù)合并到其基礎結構中進行了秘密交易，以獲取他們的操作被錯誤歸因的機會。

· 從勒索軟件到目標勒索軟件

去年，我們重點介紹了向目標勒索軟件的轉變，并預測攻擊者將使用更具攻擊性的方法從受害者那里勒索金錢。今年，幾乎每周都發(fā)生了有人試圖從大型組織勒索資金的消息，包括最近對美國多家醫(yī)院的襲擊。我們還看到了“經(jīng)紀人”的出現(xiàn)，他們提出與攻擊者進行談判，以試圖降低贖金的費用。一些攻擊者似乎對受害者施加了更大的壓力，即在加密數(shù)據(jù)之前竊取數(shù)據(jù)，并威脅要發(fā)布數(shù)據(jù)；并在最近的一次事件中，由于攻擊者發(fā)布了患者的敏感數(shù)據(jù)，這甚至影對許多病人的心理治療產(chǎn)生了嚴重的影響。

· 新的網(wǎng)上銀行和支付攻擊載體

今年我們還沒有看到對支付系統(tǒng)的比較引人注目的攻擊。盡管如此，金融機構仍然是FIN7、CobaltGroup、Silent和Magecart等專業(yè)網(wǎng)絡犯罪組織以及Lazarus等APT威脅者的攻擊目標。

· 更多的基礎架構攻擊和針對非PC目標的攻擊

從Lazarus的MATA框架擴展、Turla的Penquin_x64后門開發(fā)以及5月針對歐洲超級計算中心的案例可見，APT威脅行動者并未將其活動限制在Windows上。我們還看到了在TunnelSnake的操作中使用了多平臺、多體系結構的工具，例如Termite和Earthworm，這些工具能夠在目標機器上創(chuàng)建隧道、傳輸數(shù)據(jù)并生成遠程Shell，從而支持x86，x64，MIPS（ES），SH-4，PowerPC，SPARC和M68k。最重要的是，我們還發(fā)現(xiàn)了被稱為MosaicRegressor的框架，其中包括一個受感染的UEFI固件映像，該映像旨在將惡意軟件投放到受感染的計算機上。

· 沿亞歐之間貿易路線沿線地區(qū)的攻擊日益增加

2020年，我們觀察到一些APT威脅參與者針對的目標是以前不太受到關注的國家。我們看到攻擊者使用各種惡意軟件攻擊科威特、埃塞俄比亞、阿爾及利亞、緬甸和中東的政府機構。此外，我們還觀察到StrongPity正在部署其最新版本的主植入物，這一版本被稱為StrongPity4。2020年，我們發(fā)現(xiàn)了位于土耳其以外中東地區(qū)的感染了StrongPity4的受害者。

· 攻擊方法越來越復雜

除了上面提到的UEFI惡意軟件外，我們還看到合法的云服務（YouTube，Google Docs，Dropbox，F(xiàn)irebase）已作為攻擊基礎架構的一部分被使用（地理圍欄攻擊或托管惡意軟件，用于C2通信）。

· 進一步關注移動攻擊

從我們今年發(fā)布的報告中可以明顯看出這一點。近年來，我們已經(jīng)看到越來越多的APT參與者開發(fā)出了針對移動設備的工具。今年的威脅工具包括TwoSail Junk背后的威脅行為者OceanLotus，以及Transparent Tribe，OrigamiElephant等。

· 個人信息的濫用：從偽造到DNA泄漏

在近距離攻擊和人身攻擊中使用到了更多被泄漏或是被盜的個人信息。威脅者比以往任何時候都更敢于與受害者進行積極的通信，這是他們魚叉式網(wǎng)絡釣魚行動的一部分，他們致力于破壞目標系統(tǒng)。例如，Lazarus的ThreatNeedle活動以及DeathStalker的行為都反映了這一點，他們都在努力迫使受害者啟用宏。犯罪分子使用AI軟件一名高管的聲音，誘使經(jīng)理將超過24萬元的英鎊轉入詐騙者控制的銀行帳戶。

如果說要對未來做出一些預見，我們認為以上就是基于目前所觀察到的情況，在未來一年集我們需要重點關注的問題。

APT威脅者將從網(wǎng)絡罪犯那里購買初始網(wǎng)絡訪問權限

去年，我們觀察到許多使用通用惡意軟件（例如Trickbot）的具有針對性的勒索軟件攻擊，在目標網(wǎng)絡中站穩(wěn)了腳跟。我們還觀察到，這些有針對性的勒索軟件攻擊與類似Genesis這樣的成熟的地下網(wǎng)絡之間建立了聯(lián)系，這些網(wǎng)絡經(jīng)常相互交換盜取的憑證。我們認為，APT參與者將開始使用相同的方法來破壞其目標。各類組織應更加關注通用惡意軟件，并在每臺受感染的計算機上運行基本事件響應活動，以確保通用惡意軟件未被用于部署復雜的威脅。

越來越多的國家將法律訴訟納入其網(wǎng)絡戰(zhàn)略的一部分

幾年前，我們預測政府將采取“點名批評”的方式，以引起人們對敵對APT組織活動的關注。在過去的12個月中，我們已經(jīng)看到了幾起案例。我們認為，美國網(wǎng)絡司令部的“持久參與”戰(zhàn)略將在來年開始見效，并引起其他國家的效仿。持續(xù)參與戰(zhàn)略包括公開發(fā)布關于威脅者的工具和活動的報告。美國網(wǎng)絡司令部認為，網(wǎng)絡空間的戰(zhàn)爭在本質上是不同的，需要與對手進行全職接觸，以干擾他們的行動。他們這樣做的原因之一是，威脅情報機構可以利用這些來促進新調查，在某種意義上，這是一種通過情報解密來定向私人研究的方法。

以這種方式被公開的工具，對攻擊者而言使用起來將會非常困難，并且可能會暴露過去不為人知的活動。面對這種新的威脅，威脅者必須在其風險/收益計算中考慮額外的成本（如丟失工具，或暴露這些工具的可能性大大增加）。

APT組的工具庫被暴露并不是什么新鮮事：Shadow Brokers的連續(xù)泄漏就是一個鮮活的例子。但是，這是第一次由國家機構以官方身份進行的操作。雖然無法量化威懾的影響，尤其是在沒有外交渠道討論這些問題的情況下，但我們相信，更多國家將在2021年將會遵循這一戰(zhàn)略。首先，向來與美國結盟的一些國家可能會開始模仿這個操作，隨后會開始模仿所披露的目標。

更多硅谷公司將對0day的經(jīng)紀人采取行動

近年來，0day經(jīng)紀人都在利用一些漏洞交易知名的商業(yè)產(chǎn)品。微軟，谷歌，F(xiàn)acebook等大公司似乎很少關注此類交易。但是在過去一年左右的時間里，發(fā)生了一些引人注目的案件，據(jù)稱這些案件是使用WhatsApp漏洞，包括Jeff Bezos和Jamal Khashoggi等入侵帳戶的。在2019年10月，WhatsApp提起訴訟，指控位于以色列的NSO Group利用了其軟件中的漏洞，NSO出售的技術被用來針對20個不同國家和地區(qū)的1,400多名客戶，其中包括人權活動人士、記者和其他人。一名美國法官隨后裁定，該訴訟可以繼續(xù)進行。該案的結果可能會產(chǎn)生深遠的影響，其中最重要的一點是，這可能導致其他公司對利用0day漏洞進行交易的公司提起法律訴訟。我們認為，不斷增加的公眾壓力以及聲譽受損的風險，可能會使其他公司效仿WhatsApp的做法，對0day經(jīng)紀人采取行動，以向其客戶證明他們正在想辦法保護客戶的安全。

對網(wǎng)絡應用平臺的關注增加

隨著組織安全性的全面提高，我們認為威脅者將更加傾向于利用VPN網(wǎng)關等網(wǎng)絡設備中的漏洞。實際上，這種情況已經(jīng)發(fā)生了，詳情請點擊Forget Your Perimeter:

· RCE in Pulse Connect Secure (CVE-2020-8218)(https://www.gosecure.net/blog/2020/08/26/forget-your-perimeter-rce-in-pulse-connect-secure/)

· SonicWall VPN Portal Critical Flaw (CVE-2020-5135)(https://www.zdnet.com/article/hacker-groups-chain-vpn-and-windows-bugs-to-attack-us-government-networks/)

· Hacker groups chain VPN and Windows bugs to attack US government networks(https://www.tripwire.com/state-of-security/vert/sonicwall-vpn-portal-critical-flaw-cve-2020-5135/)。

這與疫情期間居家遠程工作的趨勢密切相關，因為這使得更多的公司在其業(yè)務中依賴VPN設置。對遠程工作的日益關注以及對VPN的依賴，開辟了另一種潛在的攻擊媒介：通過現(xiàn)實世界中的社會工程方法（例如“VIGHY”）收集用戶憑據(jù)以獲得對企業(yè)VPN的訪問。在某些情況下，這可能使攻擊者甚至無需在受害者的環(huán)境中部署惡意軟就可以完成間諜活動目標。

5G漏洞的出現(xiàn)

5G今年吸引了很多關注，美國對其友好國家施加了很大的壓力，以阻止它們購買華為產(chǎn)品。在許多國家和地區(qū)也有類似的關于可能存在健康風險的恐嚇性報導。這種對5G安全的關注意味著無論是公共還是私人機構的研究人員肯定都在關注華為和其他同類公司的產(chǎn)品，以發(fā)現(xiàn)實施問題、加密漏洞甚至后門的跡象。任何此類漏洞肯定會引起媒體的廣泛關注。隨著5G使用量的增加，以及越來越多的設備依賴于5G，攻擊者將更加積極地尋找可以利用的漏洞。

威脅：索要贖金

多年來，勒索軟件團伙使用的策略發(fā)生了一些變化和完善。最值得注意的是，攻擊已從隨機的、投機性的攻擊演變?yōu)榫哂嗅槍π缘墓?，并且每一次攻擊都使得受害者付出了相當大的代價。攻擊者根據(jù)受害者的支付能力、對加密數(shù)據(jù)的依賴以及攻擊的影響，精心選擇受害者。盡管勒索團伙承諾不以醫(yī)院為攻擊目標，但也沒有任何部門被認為是不可供給的禁區(qū)，正如這一年我們都在見證勒索團伙對醫(yī)療中心和醫(yī)院的攻擊。

我們還看到，如果一家公司沒能支付攻擊者所要求贖金，勒索軟件團伙就會威脅說要發(fā)布所竊取的數(shù)據(jù)。隨著勒索軟件團伙在尋求投資回報的最大化，這一趨勢可能會進一步發(fā)展。

勒索軟件問題已變得十分普遍，以至外國資產(chǎn)管理辦公室（OFAC）向受害者發(fā)布了聲明，告知受害者支付勒索款項可能構成違反國際制裁的行為。我們將此聲明解讀為美國當局對網(wǎng)絡犯罪世界進行更廣泛打擊的開始。

今年，Maze和Sodinokibi兩大團伙都率先提出了一種“附屬”模式，涉及團伙之間的合作。盡管如此，勒索軟件生態(tài)系統(tǒng)仍然非常多樣化。在不久的將來，我們可能會看到一些主要的威脅者將變得更加活躍并獲得類似APT的功能。但是，規(guī)模較小的團伙將繼續(xù)采用依靠僵尸網(wǎng)絡和第三方勒索軟件等固有的方法。

更具破壞性的攻擊

我們生活中越來越多的地方都在變得越來越依賴技術和互聯(lián)網(wǎng)，我們將遭受更廣泛的攻擊。因此，將來我們可能會看到更多破壞性的攻擊。一方面，這種破壞可能是一些定向的、有組織的攻擊造成的。另一方面，這些損害可能是附帶的結果，是大規(guī)模勒索軟件針對我們日常生活中常見組織（例如教育機構，超級市場，郵政和公共交通等）進行攻擊所產(chǎn)生的副作用。

攻擊者將繼續(xù)利用COVID-19疫情

今年，COVID-19使得我們周圍的世界發(fā)生了翻天覆地的變化，幾乎影響了我們生活的每個方面。各種各樣的攻擊者，包括APT威脅行為者，迅速抓住機會，充分利用了人們對這一話題的興趣。但正如我們之前所指出的，這并不意味著TTPs發(fā)生了變化，而只是一個可以被他們用作社會工程誘餌的話題。在未來一段時間內，大流行病將持續(xù)影響我們的生活，威脅者也將繼續(xù)利用這一點在目標系統(tǒng)中立足。在過去的六個月中，有報告稱APT群體將目標對準了COVID-19研究中心。英國國家網(wǎng)絡安全中心(NCSC)表示，APT29(又名Dukes and Cozy Bear)瞄準了COVID-19疫苗的開發(fā)。只要疫情還在持續(xù)，這就仍然會是是他們攻擊的目標。