→產品訊息

新聞中心

 

McAfee Labs 2019威脅預測報告

NOV 29, 2018

這些預測由Eoin Carroll,Taylor Dunton,John Fokker,德國Lancioni,Lee Munson,Yukihiro Okutomi,Thomas Roccia,Raj Samani,Sekhar Sarukkai,Dan Sommer和Carl Woodward撰寫。

隨著2018年即將結束,我們或許應該感謝這一年沒有完全由勒索軟體主導,儘管GandCrab和SamSam變種的崛起表明威脅仍然活躍。我們對2019年的預測不再僅僅是對特定威脅的上升或下降進行評估,而是關注我們在網路犯罪地下看到的當前隆隆聲,我們預計這些隆隆聲將成長為趨勢,隨後是野外威脅。

我們目睹了利用地下市場的網路犯罪分子之間的更大合作,這使他們能夠提高產品的效率。網路犯罪分子多年來一直以這種方式合作; 在2019年,這個市場經濟只會擴大。安全行業與勒索軟體開發商合作的貓捉老鼠遊戲將升級,行業需要比以往更快,更有效地做出響應。

十多年來,社交媒體一直是我們生活的一部分。最近,民族國家臭名昭著地利用社交媒體平台傳播錯誤信息。在2019年,我們期望犯罪分子開始利用這些策略為自己謀利。同樣,家庭物聯網的持續增長將激勵犯罪分子以這些設備為目標,以獲取金錢收益。

有一點是肯定的:我們對技術的依賴已經無處不在。考慮違反身份平台的情況,報告有5000萬用戶受到影響。違規行為不再局限於該平台。一切都是連通的,你只有你最薄弱的環節一樣強大。將來,我們將面臨哪些最薄弱的環節會受到損害的問題。

-Raj Samani,高級威脅研究首席科學家兼McAfee研究員

Twitter @Raj_Samani

 

預測

Cyber​​criminal Underground將鞏固,建立更多夥伴關係以增強威脅

人工智能是逃避技術的未來

協同威脅將增加,需要綜合響應

錯誤信息,勒索試圖挑戰組織的品牌

數據洩露攻擊以瞄準雲

語音控制數字助理是攻擊物聯網設備的下一個載體

網路犯罪分子將在Siege下增加對身份平台和邊緣設備的攻擊

Cyber​​criminal Underground將鞏固,建立更多夥伴關係以增強威脅

隱藏的駭客論壇和聊天組成為網路犯罪分子的市場,他們可以購買惡意軟體,漏洞利用程序,殭屍網路和其他可疑服務。借助這些現成的產品,不同經驗和複雜程度的犯罪分子可以輕鬆發動攻擊。在2019年,我們預測地下將鞏固,創建更少但更強大的惡意軟體即服務家庭,這些家庭將積極合作。這些日益強大的品牌將推動更複雜的加密貨幣挖掘,快速利用新漏洞,以及增加移動惡意軟體和被盜信用卡和憑證。

由於易於操作以及與其他重要頂級服務(包括漏洞利用工具包,加密服務,比特幣混合器和反惡意軟件服務)的戰略聯盟,我們預計會有更多的分支機構加入最大的家庭。兩年前,我們看到許多最大的勒索軟體家族,例如,僱用聯盟結構。我們仍然看到許多類型的勒索軟體彈出,但只有少數能夠存活,因為大多數人無法吸引足夠的業務來與強大的品牌競爭,這些品牌提供更高的感染率以及運營和財務安全性。目前,最大的家庭積極宣傳他們的商品; 業務蓬勃發展,因為它們是強大的品牌(參見GandCrab)與其他頂級服務結合,例如洗錢或使惡意軟體無法察覺。

地下企業成功運作,因為它們是基於信任的系統的一部分。這可能不是“盜賊之間的榮譽”,但犯罪分子似乎感到安全,相信他們無法觸及他們論壇的核心圈子。過去我們已經看到了這種信任,例如本世紀頭十年流行的信用卡商店,這是網路犯罪的主要來源,直到警察的主要行為打破了信任模式。

隨著端點檢測變得越來越強大,易受攻擊的遠程桌面協議(RDP)為網路犯罪分子提供了另一條路徑。在2019年,我們預測惡意軟體,特別是勒索軟體,將越來越多地使用RDP作為感染的切入點。目前,大多數地下商店為勒索軟體以外的目的宣傳RDP訪問,通常使用它作為獲取亞馬遜帳戶的墊腳石或作為竊取信用卡的代理。有針對性的勒索軟體組和勒索軟體即服務(RaaS)模型將利用RDP,我們已經看到非常成功的雷達方案使用這種策略。攻擊者發現一個RDP較弱的系統,用勒索軟體攻擊它,並通過生活在陸地或使用蠕蟲功能的網路傳播(EternalBlue)。有證據表明GandCrab的作者已經在研究RDP選項。

我們還期望與加密貨幣挖掘相關的惡意軟體將變得更加複雜,根據處理硬體(WebCobra)和特定時間內特定貨幣的價值選擇在受害者機器上挖掘哪種貨幣。

明年,我們預測從檢測到武器化的脆弱性生命的長度將變得更短。我們注意到網路犯罪分子在其開發過程中變得更加敏捷的趨勢。他們從在線論壇和常見漏洞與披露數據庫中收集有關漏洞的數據,以添加到他們的惡意軟體中。我們預測,犯罪分子有時需要一天或幾小時來實施針對軟體和硬體最新弱點的攻擊。

我們預計,有關殭屍網路,銀行欺詐,勒索軟體以及繞過雙因素身份驗證安全性的移動惡意軟體(主要集中在Android)的地下討論會有所增加。利用移動平台的價值目前被低估了,因為手機為網路犯罪分子提供了很多,因為他們對銀行賬戶等敏感信息的訪問量很大。

信用卡欺詐和對被盜信用卡信息的需求將繼續存在,並且越來越關注針對大型電子商務網站上的第三方支付平台的在線瀏覽操作。從這些網站,犯罪分子可以一次無聲地竊取數以千計的新信用卡詳細信息。此外,社交媒體被用來招募不知情的用戶,他們可能不知道他們在為貨物轉運或提供金融服務時為犯罪分子工作。

我們預測,由於最近的大量數據洩露和用戶的密碼習慣不良,推動了被盜憑證市場的增長。例如,這些漏洞導致了選民記錄和電子郵件帳戶駭客的銷售。這些攻擊每天都會發生

人工智能是逃避技術的未來

為了增加成功的機會,攻擊者長期以來一直採用規避技術來繞過安全措施並避免檢測和分析。包裝工,加密工具和其他工具是攻擊者武器庫的常見組成部分。事實上,整個地下經濟已經出現,提供產品和專門的服務來幫助犯罪活動。我們預測,在2019年,由於犯罪分子現在可以輕鬆外包其攻擊的關鍵組成部分,因為人工智能的應用,逃避技術將變得更加靈活。認為反AV產業現在普遍存在?這僅僅是個開始。

2018年,我們看到了新的工藝注入技術,例如SynAck勒索軟體的 processdoppelgänging”,以及RigExploit Kit 提供PROPagate注塑。通過增加人工智能等技術,逃避技術將能夠進一步規避保護措施。

針對不同惡意軟體的不同規避

在2018年,我們觀察到了諸如加密貨幣礦工等新威脅的出現,這些威脅劫持了受感染機器的資源。隨著每種威脅都有創造性的逃避技術:

  • 加密貨幣挖掘:礦工實施了許多規避技術。Minerva Labs 發現了WaterMiner,它只是在受害者運行任務管理器或反惡意軟體掃描時停止其挖掘過程。
  • 漏洞利用工具包:流行的逃避技術包括流程注入或操作內存空間以及添加任意代碼。記憶內註射是一種流行的感染載體,用於避免在分娩過程中檢測。
  • 殭屍網路:大型殭屍網路經常使用代碼混淆或反分解技術來感染數千名受害者。在2018年5月,AdvisorsBot被發現使用垃圾代碼,假條件指令,XOR加密,甚至API散列。由於機器人傾向於廣泛傳播,作者實施了許多逃避技術來減緩逆向工程。他們還使用混淆機制進行機器人和控制服務器之間的通信。犯罪分子使用殭屍網絡進行DDOS等活動,用於租用,代理,垃圾郵件或其他惡意軟體交付。使用規避技術對於犯罪分子避免或延遲殭屍網路刪除至關重要。
  • 高級持續威脅:在地下網路犯罪分子上購買的被盜證書通常用於有針對性的攻擊,以繞過反惡意軟體檢測。攻擊者還使用低級惡意軟體,例如rootkit或基於固件的威脅。例如,在2018年,ESET發現了第一個UEFI rootkit,LoJax。安全研究人員還看到了用作反法證技術的破壞性功能:OlympicDestroyer惡意軟件針對奧運會組織並刪除事件日誌和備份以避免調查。

人工智能是下一個武器

近年來,我們已經看到使用規避技術的惡意軟體繞過機器學習引擎。例如,在2017年,Cerber勒索軟體刪除了系統上的合法文件,以欺騙分類文件的引擎。在2018年,PyLocky勒索軟體使用InnoSetup打包惡意軟件並避免機器學習檢測。

顯然,繞過人工智能引擎已經列入刑事待辦事項清單; 然而,犯罪分子還可以在其惡意軟體中實施人工智能。我們期望逃避技術開始利用人工智能來自動選擇目標,或在部署後期階段並避免檢測之前檢查受感染的環境。

這種實施是威脅環境中的遊戲變化。我們預計它很快就會在野外發現。

協同威脅將增加,需要綜合響應

今年,我們看到網路威脅比以往更快地適應和轉移。我們已經看到勒索軟體演變為更有效或作為煙幕運行。我們已經看到加密劫持,因為它提供了比勒索軟體更好,更安全的投資回報。我們仍然可以看到網路釣魚變得強大並且發現新的漏洞可以利用。我們也注意到無文件和“生活在陸地”的威脅比以往任何時候都更加滑溜和迴避,我們甚至在平昌奧運會中看到了隱寫惡意軟體的孵化。在2019年,我們預測攻擊者將更頻繁地結合這些策略來創建多方面或協同威脅。

還有什麼可能更糟?

攻擊通常集中在使用一種威脅。不良行為者集中精力一次迭代和發展一個威脅,以實現有效性和規避。當攻擊成功時,它被歸類為勒索軟體,加密攻擊,數據洩露等,並且防禦措施已經到位。此時,攻擊的成功率顯著降低。然而,如果復雜的攻擊只涉及協同工作的五個頂級威脅,那麼防禦全景可能變得非常模糊。當嘗試識別和減輕攻擊時,就會出現挑戰。因為最終的攻擊目標是未知的,所以每個威脅的細節都可能會丟失,因為它在鏈中發揮作用。

協同威脅正在成為現實的原因之一是,不良行為者通過開發基礎,工具包和可重用的威脅組件來提高他們的技能。隨著攻擊者將他們的努力組織到一個黑市商業模式中,他們可以專注於為以前的構建模塊增加價值。這種策略允許他們協調多個威脅,而不僅僅是一個威脅來實現他們的目標。

一個例子勝過千言萬語

想像一下以網路釣魚威脅開始的攻擊 - 不是使用Word文檔的典型活動,而是一種新技術。此網上誘騙電子郵件包含視頻附件。當您打開視頻時,您的視頻播放器無法播放並提示您更新編解碼器。運行更新後,系統上會部署隱寫式多語言文件(簡單GIF)。因為它是一個多語言(一個文件同時符合多種格式),所以GIF文件會調度一個任務,該任務獲取託管在受感染系統上的無文件腳本。在內存中運行的腳本會評估您的系統並決定運行勒索軟體或加密貨幣挖掘器。這是一個危險的協同威脅。

這次襲擊引發了許多問題:你在做什麼?它是網絡釣魚2.0嗎?它是stegware嗎?它是無文件的並且“在陸地上生活”嗎?Cryptojacking?勒索?這是一切都在同一時間。

這個複雜但可行的例子表明,專注於一個威脅可能不足以檢測或修復攻擊。當你的目標是將攻擊分類為一個類別時,你可能會失去大局,從而減少它的有效性。即使您在鏈中間停止攻擊,發現初始階段和最後階段對於防止未來的嘗試同樣重要。

要好奇,要有創造力,把你的防禦聯繫起來

應對基於協同威脅的複雜攻擊需要質疑每一種威脅。如果這個勒索軟體遭遇更大的一部分怎麼辦?如果此網路釣魚電子郵件轉向員工未接受培訓的技術,該怎麼辦?如果我們錯過了攻擊的真正目標怎麼辦?

牢記這些問題不僅有助於捕捉全局,還可以獲得最多的安全解決方案。我們預測不良演員會為他們的攻擊增加協同作用,但網絡防御也可以協同工作。

網路犯罪分子利用社交媒體錯誤信息,敲詐行動來挑戰組織的品牌

選舉受到影響,假新聞盛行,我們的社交媒體粉絲都是外國政府控制的機器人。至少這是世界有時感受到的。說最近幾年一直困擾社交媒體公司將是輕描淡寫。在此期間,一場貓捉老鼠遊戲隨之而來,隨著自動帳戶被取消,對手戰術不斷發展,殭屍網絡帳戶看起來比以往任何時候都更合理。在2019年,我們預測通過社交媒體增加錯誤信息和勒索活動,社交媒體將專注於品牌,而不是來自民族國家參與者,而是來自犯罪集團。

民族國家利用機器人營傳遞信息或操縱意見,其效力驚人。機器人經常會把故事的兩個方面都用來激發辯論,這種策略也有效。通過使用放大節點的系統,以及測試消息傳遞(包括主題標籤)來確定成功率,殭屍網路運營商展示瞭如何在關鍵問題上塑造流行觀點的真正理解。

在一個示例中,僅有兩周大的帳戶,其中有279個粉絲,其中大多數是其他機器人,開始針對組織的騷擾活動。通過擴大,該帳戶僅在四周內就通過簡單地發送關於其目標的惡意內容而產生了額外的1,500名粉絲。

操縱公眾輿論的活動已經有了很好的記錄,並且非常精通操縱對話來推動議程的準備就緒。明年,我們預計網路犯罪分子將通過威脅破壞其品牌來重新利用這些活動來勒索公司。組織面臨嚴重危險。

數據洩露攻擊以瞄準雲

在過去兩年中,企業廣泛採用了軟體即服務模型,如Office 365,以及基礎架構和平台即服務雲模型,如AWS和Azure。通過這一舉措,現在有更多的企業數據存在於雲中。在2019年,我們預計將數據跟踪到雲端的攻擊會顯著增加。

隨著Office 365的採用越來越多,我們注意到對服務的攻擊激增 - 特別是試圖破壞電子郵件。McAfee雲團隊發現的一個威脅是殭屍網絡KnockKnock,它針對通常沒有多因素身份驗證的系統帳戶。我們還看到了開放授權標準中信任模型的漏洞的出現。其中一個由俄羅斯網路間諜組織Fancy Bear發起,用一個虛假的谷歌安全應用程序釣魚用戶獲取用戶數據。

同樣,在過去幾年中,我們看到許多高調的數據洩露歸因於錯誤配置的Amazon S3存儲桶。這顯然不是AWS的錯。基於共享責任模型,客戶可以正確配置IaaS / PaaS基礎架構並正確保護其企業數據和用戶訪問。使問題複雜化的是,許多這些配置錯誤的存儲桶由供應鏈中的供應商擁有,而不是由目標企業擁有。通過訪問數以千計的開放式存儲桶和憑據,不良演員越來越多地選擇這些簡單的選擇。

邁克菲已經發現,根據邁克菲雲採用和風險報告,雲中21%的數據是敏感的 - 例如知識產權,客戶和個人數據在過去一年中,這些數據的用戶合作增加了33%,網絡犯罪分子知道如何尋求更多目標:

  • 針對弱API或無法使用的API端點的雲原生攻擊,以獲取對SaaS以及PaaS和無服務器工作負載中的數據的訪問權限
  • 擴展雲數據庫(PaaS或IaaS中部署的自定義應用程序)中數據的偵察和滲透,將S3滲透矢量擴展到數據庫或數據湖泊中的結構化數據
  • 利用云作為雲端本地中間人攻擊的跳板(例如GhostWriter,它利用因客戶配置錯誤而引入的可公開寫入的S3存儲桶),將密碼攻擊或勒索軟件攻擊發送到其他MITM攻擊變種中。

語音控制數字助理是攻擊物聯網設備的下一個載體

隨著科技愛好者繼續用智能設備填充家園,從插頭到電視,從咖啡機到冰箱,從運動傳感器到照明,進入家庭網路的手段正在迅速增長,特別是考慮到許多物聯網設備的安全性仍然很差。

但明年網路門的真正關鍵將是語音控制數字助理,這是一種部分創建的設備,用於管理家庭中的所有物聯網設備。隨著銷售額的增加 - 以及假日季節的採用率可能上升 - 網絡犯罪分子利用助手跳轉到網路上真正有趣的設備的吸引力只會繼續增長。

目前,語音助理市場仍在形成,許多品牌仍然希望以多種方式主導市場,目前尚不清楚一種設備是否會無處不在。如果一個人確實帶頭,它的安全功能將完全正確地落在媒體的顯微鏡下,儘管也許在它的隱私問題已經在散文中得到充分考察之前。

(去年我們強調隱私是家庭物聯網設備的主要關注點。隱私將繼續成為一個問題,但網路犯罪分子將投入更多精力建立殭屍網絡,要求贖金,並威脅家庭和企業財產的破壞)。

控製家庭或辦公室設備的機會不會被網路犯罪分子忽視,網路犯罪分子將以市場贏家的形式進行完全不同類型的寫作,其形式是惡意代碼,不僅可以攻擊物聯網設備,還可以攻擊數字獲得許多與他們交談的助手。

智能手機已成為威脅的大門。在2019年,他們很可能成為打開更大門的撬鎖。我們已經看到兩個威脅,它們證明了網路犯罪分子可以使用未受保護的設備,2016年首次出現的Mirai殭屍網絡和2017年的物聯網收割機。這些物聯網惡意軟體出現在許多變種中以攻擊連接設備,如路由器,網路視頻錄像機和IP攝像機。他們通過密碼破解擴展了他們的範圍,並利用已知的漏洞來構建全球機器人網絡。

明年我們預計會有兩個主要攻擊家庭物聯網設備的載體:路由器和智能手機/平板電腦。Mirai殭屍網路證明了路由器缺乏安全性。已經可以監控和控製家庭設備的受感染智能手機將成為網路犯罪分子的首要目標之一,他們將採用當前和新技術來控制。

惡意軟體作者將利用手機和平板電腦(那些已經受信任的控制器)試圖通過密碼破解和利用漏洞來接管物聯網設備。這些攻擊不會顯得可疑,因為網路流量來自可信設備。攻擊的成功率會增加,攻擊路線也難以識別。受感染的智能手機可能會導致下一個劫持路由器DNS設置的示例。移動和雲應用程序中的漏洞也已成熟,智能手機是犯罪分子戰略的核心。

受感染的物聯網設備將提供殭屍網路,可以發動DDoS攻擊,以及竊取個人數據。更複雜的物聯網惡意軟體將利用語音控制數字助理隱藏其用戶和家庭網路安全軟體中的可疑活動。可以通過用戶語音命令(“播放音樂”和“今天的天氣是什麼?”)觸發諸如打開門和連接到控制服務器之類的惡意活動。很快我們就會聽到受感染的物聯網設備本身的驚呼:“助理!打開後門!“

網絡犯罪分子將在Siege下增加對身份平台和邊緣設備的攻擊

大規模數據洩露的身份平台 -​​ 在IT環境中提供集中的安全身份驗證和用戶,設備和服務的授權 - 已在2018年得到充分記錄。同時,捕獲的數據正在被重用,為受害者帶來進一步的痛苦。在2019年,我們預計大型社交媒體平台將實施額外措施來保護客戶信息。然而,隨著平台數量的增長,我們預測犯罪分子將進一步將資源集中在這些具有吸引力的數據豐富的環境中。犯罪分子與大型平台之間的鬥爭將成為下一個重要戰場。

攻擊工業控制系統(ICS)的惡意軟件Triton已經展示了攻擊者通過相鄰IT環境遠程瞄準製造環境的能力。身份平台和“邊緣設備”漏洞將為攻擊者提供啟動未來遠程ICS攻擊的關鍵,因為跨環境和受限邊緣設備使用靜態密碼,由於設計限製而缺乏安全的系統要求。(邊緣設備是物聯網產品中任何支持網絡的系統硬體或協議。)我們預計多因素身份驗證和身份智能將成為在這場不斷升級的戰鬥中提供安全性的最佳方法。我們還預測身份智能將補充多因素身份驗證,以增強身份平台的功能。

身份是保護物聯網的基本要素。在這些生態系統中,設備和服務必須安全地識別可信設備,以便他們可以忽略其餘的設備。身份模型已從傳統IT系統的以用戶為中心轉變為以物聯網系統為中心的機器。遺憾的是,由於操作技術和不安全的“邊緣設備”設計的集成,物聯網信任模型建立在假設信任和基於邊界的安全性的薄弱基礎之上。

在Black Hat USA和DEF CON 2018上,30次會談討論了物聯網邊緣設備的開發。這與2017年關於該主題的19次談判相比有很大的增長。興趣的增加主要與ICS,消費者,醫療和“智慧城市”垂直市場有關。(參見圖1)智能邊緣設備與高速連接相結合,可以實現物聯網生態系統,但它們的發展速度正在危及這些系統的安全性。

圖1:有關物聯網設備安全性的會議數量增加,與不受保護的設備日益增長的威脅相匹配。

大多數物聯網邊緣設備不提供自我防禦(隔離關鍵功能,內存保護,固件保護,最小權限或默認安全性),因此一個成功的漏洞擁有該設備。由於在許多設備類型和垂直方向上使用的不安全組件,物聯網邊緣設備還遭受“一次性中斷,無處不在”的攻擊。(參見有關WingOS逆向工程的文章。)

邁克菲高級威脅研究團隊的工程師已經演示瞭如何利用醫療設備協議來危害人類生命,並且由於假定的信任而損害患者的隱私。這些示例僅說明了許多可能導致我們相信對手會選擇物聯網邊緣設備作為實現其目標的阻力最小的路徑。在過去十年中,服務器已經變硬,但物聯網硬體遠遠落後。通過了解對手的動機和機會(攻擊面和訪問能力),我們可以定義一組獨立於特定攻擊向量的安全要求。

圖2給出了物聯網邊緣設備中漏洞類型的細分,通過在邊緣硬件中構建身份和完整性功能來突出顯示要解決的弱點,以確保這些設備能夠抵禦攻擊。

圖2:不安全協議是物聯網邊緣設備的主要攻擊面。

物聯網安全必須以零信任模型開始,並提供硬件信任根作為核心構建塊,以防止駭客攻擊和小屋攻擊以及其他威脅。McAfee預測,由於智能城市的採用和ICS活動的增加,2019年身份平台和物聯網邊緣設備的折衷將會增加。

資料來源:https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/mcafee-labs-2019-threats-predictions/?ei