本文來(lái)自微信公眾號(hào)“安全牛”。
惡意軟件已經(jīng)存在了很多年,并逐漸演變成一個(gè)復(fù)雜多變的網(wǎng)絡(luò)犯罪生態(tài)體系。為了獲取更大的攻擊收益,非法攻擊者正在不斷尋找新的傳播路徑和感染手段,并不斷嘗試任何可行的策略,來(lái)增強(qiáng)惡意軟件的攻擊能力。為了更好地識(shí)別和預(yù)防新一代惡意軟件的攻擊威脅,安全研究人員通過(guò)對(duì)近期出現(xiàn)的新型感染方式和傳播路徑進(jìn)行總結(jié)分析,梳理出以下5個(gè)惡意軟件演進(jìn)發(fā)展的重要趨勢(shì)。
趨勢(shì)1
基于AI的安全檢測(cè)規(guī)避
很多惡意軟件在設(shè)計(jì)時(shí)都帶有了能夠規(guī)避傳統(tǒng)安全檢測(cè)(比如第一代沙箱和基于特征的網(wǎng)關(guān))的逃逸能力,這并不是什么新鮮事。然而,由于人工智能技術(shù)的不斷發(fā)展和應(yīng)用,新型惡意軟件變得更加復(fù)雜、更具攻擊性,并有更強(qiáng)的規(guī)避檢測(cè)能力,這種基于AI的規(guī)避手段將使得傳統(tǒng)靜態(tài)惡意軟件分析效果更加不盡如人意。
在此背景下,企業(yè)開(kāi)展惡意軟件攻擊檢測(cè)將變得更加具有挑戰(zhàn)性,因?yàn)榛谝阎裟J降臋z測(cè)方法將不再有效,而基于配置文件的異常行為檢測(cè)又會(huì)產(chǎn)生很多誤報(bào)。雖然機(jī)器學(xué)習(xí)可用于自動(dòng)生成檢測(cè)模型,但隨著時(shí)間的推移,潛在的“概念漂移”也會(huì)使檢測(cè)模型的效率和準(zhǔn)確率大大降低。
趨勢(shì)2
從針對(duì)性攻擊轉(zhuǎn)向規(guī)?;穆┒蠢?/strong>
針對(duì)性攻擊需要攻擊者執(zhí)行大量的手動(dòng)工作,先有效識(shí)別出受害者的系統(tǒng)安全狀況,然后才能設(shè)計(jì)出有效的攻擊方法,并且創(chuàng)建定制的攻擊流程。研究人員發(fā)現(xiàn),今天的攻擊者已經(jīng)嘗試用自動(dòng)化方式來(lái)處理這些任務(wù),并且不再只針對(duì)特定的攻擊目標(biāo)。開(kāi)展自動(dòng)化偵察和攻擊的一個(gè)重要特點(diǎn)是,攻擊活動(dòng)一旦開(kāi)始,其攻擊步驟和行為就無(wú)法被改變。因此,對(duì)于企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)來(lái)說(shuō),最好的防御方法是盡早識(shí)別惡意軟件的攻擊模式,并竭力減小組織資產(chǎn)被暴露的風(fēng)險(xiǎn)。
趨勢(shì)3
針對(duì)云計(jì)算的惡意軟件
隨著現(xiàn)代企業(yè)越來(lái)越依賴(lài)云服務(wù),對(duì)于惡意軟件制作者而言,也同樣開(kāi)始覬覦企業(yè)在云上的數(shù)據(jù)信息和業(yè)務(wù)資產(chǎn)。此外,由于很多企業(yè)的云安全管理并不成熟,缺乏靈活性和便利性,也讓針對(duì)云應(yīng)用的惡意軟件有了更多可乘之機(jī)。研究人員發(fā)現(xiàn),針對(duì)云的新型惡意軟件主要有兩類(lèi):第一類(lèi)是使用云進(jìn)行交付和通信(命令和控制)的惡意軟件;另一類(lèi)是針對(duì)云上資產(chǎn)和應(yīng)用的惡意軟件。新型云惡意軟件會(huì)對(duì)企業(yè)的云計(jì)算應(yīng)用構(gòu)成很多安全風(fēng)險(xiǎn),包括違反合規(guī)性、終端用戶(hù)控制、共享安全漏洞、知識(shí)產(chǎn)權(quán)的竊取、客戶(hù)隱私泄露以及商譽(yù)損失等。
趨勢(shì)4
MFA系統(tǒng)漏洞利用
多因素身份驗(yàn)證(MFA)系統(tǒng)已經(jīng)在企業(yè)的數(shù)字化環(huán)境中得到了廣泛采用,很多人甚至把這種技術(shù)看成是解決網(wǎng)絡(luò)安全攻擊的靈丹妙藥,但事實(shí)證明,MFA系統(tǒng)并不是百分百安全,其中同樣會(huì)存在可被攻擊者利用的安全漏洞。例如,如果某用戶(hù)的身份憑據(jù)被泄露,攻擊者就可以使用一種名為“提示轟炸”的技術(shù)造成MFA驗(yàn)證疲勞,最終實(shí)現(xiàn)非法的攻擊目標(biāo)。許多針對(duì)MFA的攻擊會(huì)首先掃描企業(yè)中易受攻擊的登錄過(guò)程,并尋找機(jī)會(huì)將惡意軟件代碼注入網(wǎng)站中。盡管MFA漏洞不被認(rèn)為是傳統(tǒng)意義上的惡意軟件,但它們一旦被惡意軟件所利用,同樣會(huì)造成敏感信息泄露的危害。
趨勢(shì)5
物聯(lián)網(wǎng)惡意軟件快速增長(zhǎng)
隨著大量物聯(lián)網(wǎng)設(shè)備(比如家用電器、汽車(chē)或智能終端)連接到企業(yè)的辦公網(wǎng)絡(luò)環(huán)境中,它們可能會(huì)成為企業(yè)惡意軟件防護(hù)體系中最薄弱的環(huán)節(jié)。據(jù)網(wǎng)絡(luò)安全廠商SonicWall在2022年底發(fā)布的一項(xiàng)研究報(bào)告顯示,針對(duì)物聯(lián)網(wǎng)應(yīng)用的惡意軟件數(shù)量已快速增長(zhǎng)了77%,其中金融行業(yè)增長(zhǎng)151%、醫(yī)療行業(yè)增長(zhǎng)123%、零售行業(yè)增長(zhǎng)123%。不幸的是,目前針對(duì)筆記本電腦和手機(jī)設(shè)備的安全防護(hù)方案在保護(hù)物聯(lián)網(wǎng)設(shè)備時(shí)的效果甚微,也難以快速識(shí)別出物聯(lián)網(wǎng)設(shè)備(例如Zigbee)通信協(xié)議中的安全漏洞。因此,企業(yè)安全團(tuán)隊(duì)需要更深入地研究物聯(lián)網(wǎng)設(shè)備的應(yīng)用特性,更快速地發(fā)現(xiàn)后門(mén)植入、惡意啟動(dòng)項(xiàng)以及對(duì)不同固件的惡意修改。