Jirairya

2019安全攻击趋势

2018-12-10

信息安全事件频发,安全钟声回荡在各个安全公司。在年末,预测未来一年安全态势也已经成为很多国外安全公司的传统。

2018已过93%,转眼2019就要来了。

不同安全公司或安全媒体发布的预测报告都大不一样,有的可能就是几页报告,有的可能有整本书一样厚,且都是外文,阅读起来很费时间。为了方便大家观看,笔者在看了一些国外安全公司的安全预测报告之后,将它们的预测整理了一下,供大家阅读。文章内容基于阅读预测报告后的增、删、改,更像是读后感,而不是直接将照原文翻译出来的,若要读原报告内容,可根据参考链接去阅读。

本文中有很多技术性的思路,也有很多未来安全技术发展的趋势,都值得读一读。

0x01 回望2018

过去的一年里,出了很多安全大事。英特尔处理器曝“Meltdown”和“Spectre”漏洞、AMD因处理器Spectre漏洞遭遇多起集体诉讼、 黑莓手机官网感染 Coinhive 虚拟货币挖矿脚本、GitHub 遭遇大规模 Memcached DDoS 攻击、苹果 iOS iBoot源码泄露、韩国平昌冬季奥运会遭遇黑客攻击、加密货币采矿软件攻击致欧洲废水处理设施瘫痪、GDPR 正式生效、Facebook用户数据泄露、中国某军工企业被美、俄两国黑客攻击、安德玛运动品牌1.5亿用户数据泄露、黑客利用思科高危漏洞攻击国内多家机构、纳斯达克数据中心被声音“攻击”、EOS爆远程执行任意代码漏洞、美国征信巨头 Equifax 曝出数据泄漏、华住旗下多个连锁酒店开房信息泄露、上海市医保系统故障瘫痪近四小时、 朝鲜被指控窃取价值2万5千美元的加密货币、一加承认多达4万名客户受到信用卡安全漏洞的影响 、 甲骨文应用服务器被入侵挖掘门罗币、日本加密货币交易所Coincheck遭遇黑客入侵、Electron 框架现严重 RCE 漏洞影响、美国必康美德医疗设备曝多个安全漏洞、医疗软件公司MedEvolve因服务器漏洞致20多万患者信息泄露、广受欢迎的暗网主机服务商遭到黑客攻击、儿童智能手表遭监视、AWS数据泄露、Instagram账户密码泄露、WordPress肉鸡攻击、谷歌窃取用户位置隐私、NPM库供应链攻击、    喜达屋的5亿用户信息被盗、Quora遭黑客攻击、 戴尔遭受黑客攻击、黑客实名勒索…

大的安全事件远不于此,小的安全事件更是层出不穷。有的是有意为之,有的是无意造成,但2018的大大小小安全事件都时刻给我们敲着警钟。

0x02 预测2019

根据2018的网络安全问题和技术革新,许多公司都做出了一些安全威胁预测,总体来说对2019的预测就是以下内容。

一般性的网络安全问题

地下网络犯罪

匿名的黑客论坛、暗网的交易市场,会给不法分子带来“犯罪天堂”。他们互相交易恶意软件、漏洞利用工具、僵尸网络、数据库、信用卡…参差不齐的犯罪人员都可以借助他们的匿名交易建立合作关系,推动更多更大的网络犯罪,且作案趋于全球化。McAfee预测,僵尸网络、银行欺诈、勒索软件、绕过双因素认证的移动恶意程序将是不法分子持续增长的犯罪需求。

APT

很多APT攻击都需要政府支撑,一次或多次的攻击都需要靠很长时间的运营。新的技术、复杂的攻击手段都需要大量的资源储备,且被发现、分析的APT攻击技术有可能已经用了很多年。所以,2019年的APT威胁情报,有没有新高度的操作,也不得而知。

感染媒介

社交媒体上的鱼叉式钓鱼,在未来会频频出现,特别是很多大型社交媒体都泄露了用户的信息。攻击者将窃取到的信息作为样本,通过机器学习,模拟出针对性很强的鱼叉式钓鱼攻击。这也可能是一种新的感染媒介。

区块链

2017年的WannaCry勒索病毒爆发,促使加密货币的暴涨,促进了区块链的发展。

2018年,加密货币也成为许多人生活中不可或缺的一部分,安全事件也围绕着加密货币打转,如Globelmposter勒索、攻击日本加密货币交易所、EOS爆远程执行任意代码漏洞、去中心化漏洞平台的出现。虽然发生矿难,加密货币价格下跌,但在2019年,加密货币的相关安全事件还会不断出现,不管是勒索、攻击服务器进行挖矿,还是区块链安全研究。

复合型攻击

攻击链也不在单一实现,逐渐走向更复合型的攻击。攻击者根据攻击场景做好对应的开发准备,不在乎攻击成本,只要能用上的工具包、恶意组件都会成为攻击链的一环。

千言万语抵不过一个例子。你能想象网络钓鱼不是从Word文档开始,而是从一种新技术。攻击者通过电子邮件发送视频附件,引诱受害者点开,当受害者打开视频时,会提示“无法播放,需要更新视频解码器”。运行更新之后,受害者的系统会下载隐写文件,比如隐写了其他恶意内容的GIF。GIF文件会使启用调度任务,从托管服务器上下载无文件脚本,并根据系统信息在内存中运行勒索软件还是挖矿程序。

这是一个复合型攻击的简单案例,网络钓鱼2.0+隐写的恶意文件+无文件感染+勒索软件+挖矿,这一串攻击都是攻击者设计好的,在同一个时间段就相继发生的攻击。如果只是专注于复合型攻击其中的一个攻击环,可能难以检测,也难以抵挡住攻击。

利用社交媒体的假新闻操控犯罪

大家眼中的网络犯罪可能还停留在网络技术攻击上,网络舆情犯罪同样很严重。很多灰黑产业的网络罪犯会利用社交媒体水军或机器人操纵舆论,甚至攻击社交媒体或政务网站,或散布洋葱新闻,或将事件影响最大化,推动他们利益最大化。

人工智能是规避技术趋势

大量安全产品出现,为了增加攻击成功的概率,规避安全检测、分析、防护是攻击者必须的一项技术。”奇淫绝技“比比皆是,新的注入手段也屡屡更新:

当然也能看到新的规避技术——绕过机器学习。在2017年,Cerber勒索软件删除了系统上的合法文件来欺骗文件分类引擎达到Bypass;在2018年,PyLocky勒索软件使用InnoSetup打包恶意软件并规避机器学习检测。人工智能已经成为新的恶意软件的规避目标,当然,攻击者也可能让未来的恶意软件用上人工智能,做出更多不可以思议的攻击。

云数据安全

近年来,很多企业采用了云服务,无论是基于云架构的Office365,还是AWS、Azure云服务托管都离不开云服务,云安全都显得至关重要。 随着Office365用户增长,针对其的攻击手段也越来越多,如“KnockKnock”针对无多因素认证的账户攻击 (https://www.skyhighnetworks.com/cloud-security-blog/skyhigh-discovers-ingenious-new-attack-scheme-on-office-365/)。多个AWS S3大量数据泄露事件中(可看T00ls新闻为防止S3数据意外泄露,AWS推出了新的安全功能),所有出错也不能归于AWS,客户错误配置也是造成云数据泄露的重要原因。 根据迈克菲云采用和风险报告(https://www.skyhighnetworks.com/cloud-report/),21%的云数据都是敏感的, 例如知识产权,客户、个人信息数据,

防御盲点

攻击者的攻击面很广、很复杂,从网络的内部和外部都需要考虑防护,并且攻击者还在利用着很多安全团队不知道的攻击资源。

攻击者可以通过供应链投毒,将需要的第三方库或者代码进行修改,植入恶意代码,或者将流量重定向到事先准备好的恶意站点。在广为人知的英国航空(British Airways)遭黑客攻击事件中,攻击者修改了一小段javascript代码,窃取了多达38万名客户的信用卡信息(可见https://www.riskiq.com/blog/labs/magecart-british-airways-breach/)。

供应链

在过去两年,通过供应链攻击成功的案例很多。这个攻击手法在外来依然也会让很多人担忧。这种攻击手段的危害范围广,防不胜防,对很多行业甚至是国家级的攻击是个好的攻击矢量。不过这种攻击针对性较小,且容易被发现。针对性也会受到一些外在因素的限制。

攻击者大多都是针对软件进行供应链。攻击者将恶意代码植入到其他合法软件包中,并被开发者分发出去。此类攻击可能发生在软件供应商或第三方供应商的生产过程中。典型的攻击情形就是攻击者用恶意版本替换合法软件更新,将其快速、秘密地分发到预期目标。任何接收软件更新的用户都会自动感染计算机,使攻击者在其环境中立足。

这些类型的攻击在数量和复杂性方面都在增加,在未来,攻击者可能会感染硬件供应链。例如,在将这些组件运送到数百万台计算机之前,攻击者可能会破坏或改变芯片或将源代码添加到UEFI/BIOS的固件中。此类威胁很难删除,即使在重新启动计算机或重新格式化硬盘后,也可能会持续存在。

这种攻击还会持续到2019年,而且会变得更加复杂。

硬件和智能设备的安全

网络硬件和物联网

从某种意义上说,每个攻击者都应该针对网络硬件部署对应的攻击功能、工具,这似乎才是合逻辑。但像VPNFilter这样的恶意程序就是一个完美的反面例子。攻击者部署恶意软件来创建一个多用途的“僵尸网络”。在这种情况下,攻击面很广,针对攻击活动的检测也需要花费很多时间成本。

对于拥有雄厚资源支撑的攻击者来说,为什么不直接针对更基本的基础设施攻击,而只关注目标组织呢?从过去的Regin攻击案例(https://securelist.com/regin-nation-state-ownage-of-gsm-networks/67741/)可知,这种攻击带来的收益特别令人满足。

网络硬件中漏洞各异,也扩展了攻击者的攻击思路。攻击者可能采用批量攻击,也可能进行秘密针对性攻击。当出现秘密针对性攻击时,就要考虑“无恶意”攻击——通过VPN隧道进行镜像或重定向流量。

生物识别

随着生物识别登录变得越来越普遍,PC、智能设备的支付、验证越来越趋于生物识别。生物识别给生活带来了很多便捷,如不用记住密码、节省支付时间,但生物识别也只是一种身份验证方式,若不增加多因素认证,攻击者绕过或破解生物识别技术,将会带来很大的损失。

  • 2002年,研究员使用小熊软糖骗过指纹识别器
  • 2011年,安全人员使用静态照片绕过安卓人脸识别
  • 2012年,研究员使用复制的虹膜图像骗过虹膜识别器
  • 2017年,安全人员使用面具绕过FaceID的人脸识别
  • 2018年,研究员在GeekPwn上使用一张纸破解屏下指纹识别

所以单因素身份验证的生物识别攻击也将在2019年不断出现。

智能设备安全

随着科技进步,从插头到电视,从咖啡机到冰箱,从运动传感器到照明,智能设备进入家庭普及率急速升高,大量的智能设备都采用了语音助手来控制。每个厂家都有自己的语音助手,如苹果Siri、谷歌assistant、微软小冰&cortana(小娜)、百度度秘。而许多物联网设备安全性仍然很差,更不要说物联网设备加语音助手。

物联网已是安全隐患重地。2016年首次出现的Mirai僵尸网络和2017年的物联网收割机,这些物联网恶意软件在随后出现许多变种,攻击连接设备(如路由器,网络视频录像机和摄像头),通过密码破解扩展攻击范围,并利用已知的漏洞构建全球化的僵尸网络。

据Mcafee预计,“会有两个主要攻击家庭物联网设备的载体:路由器和智能手机/平板电脑。Mirai僵尸网络证明了路由器缺乏安全性。已经可以监控和控制家庭设备的受感染智能手机将成为网络犯罪分子的首要目标之一,他们将采用当前和新技术来控制。”

利用微软语音助理Cortana绕过Win10锁屏(CVE-2018-8140)安全漏洞的出现也将警示着语音助手安全性。

控制家庭或办公室设备的机会是不会被网络犯罪分子忽视的,网络犯罪分子将利用恶意代码对物联网市场的安全进行新的书写,不仅可以攻击物联网设备,还可以攻击相关的语音助手。

移动和云应用程序中的漏洞也已成熟,智能手机是犯罪分子战略的核心。攻击者很可能将利用手机和平板电脑(那些已经受信任的控制器)进行密码破解或利用漏洞来接管物联网设备。这些攻击不会显得可疑,网络流量来自可信设备。攻击的成功率会增加,攻击路线也难以识别。很有可能出现,利用受感染的智能手机劫持路由器DNS。(https://thehackernews.com/2018/04/android-dns-hijack-malware.html)

智能设备可以提供僵尸网络,发动DDOS攻击,窃取个人数据。但针对智能设备更加复杂的攻击,应该是将恶意攻击利用语音控制藏在设备中。

身份平台和边缘设备的攻击

身份平台的大规模数据泄漏,会给罪犯提供跨IT环境的用户信息、设备信息和服务的集中安全身份验证和授权——这些在2018都得到验证。与此同时,被盗取的数据会被重新利用,给受害者带来更多痛苦。2019年,大型社交媒体平台将实施更多措施保护客户信息。然而,随着平台数量的增长,犯罪分子将进一步把他们的资源集中在这些有吸引力、数据丰富的环境上。罪犯与大型平台之间的斗争将是下一个大战场。

Triton是一种攻击工业控制系统(ICS)的恶意软件,它展示了攻击者通过相邻的IT环境远程攻击制造环境的能力。由于跨环境攻击会受到限制,身份平台和“边缘设备”漏洞将为对手提供攻击思路。很多边缘设备缺乏安全设计,它们的硬件或者协议都有安全隐患。结合大平台泄露的信息,可对物联网设备进行边缘化攻击。

身份是确保物联网安全的一个基本组件。在这些生态系统中,设备和服务必须安全地标识受信任的设备。身份模型已经从传统的以用户为中心的IT系统转向以机器为中心的物联网系统。不幸的是,由于操作技术的集成和不安全的“边缘设备”设计,物联网信任模型都是建立在假定信任和基于期限的薄弱基础上。

大多数物联网边缘设备也不提供自我防御(隔离关键功能、内存保护、固件保护、最小权限或默认安全性),使用了不安全的组件,一个漏洞成功攻击,就可拥有该系列所有设备的权限。

negative rings

Meltdown/Spectre/AMDFlaws漏洞、SplitSpectreCPU攻击、可绕过ECC内存保护的Rowhammer攻击都是新层面上的漏洞攻击,应该重新思考攻击威胁的存在地。

新技术带来的安全

针对5G的攻击

今年开展了多项5G网络基础设施部署,2019年将成为5G通信增长年。虽然5G网络和具有5G功能的手机和其他设备需要5G正式运营之后才能广泛使用,一旦正式运营,使用率将迅速增长。

为广泛部署5G蜂窝网络,一些运营商将推出为家庭版的5G移动热点和配备5G的路由器。5G网络的峰值数据速率为10 Gbps,而4G的只有1 Gbps,且技术大不相同,5G将催生新的运营模式、新的通信架构,因此随之也会带来新的安全漏洞。

随着时间的推移,更多5G IoT设备将不通过WiFi路由器,也可以直接5G网络。这种趋势将使这些设备更容易受到直接攻击。对于家庭用户来说,监控所有物联网设备变得更加困难,因为它们的连接将绕过中央路由器。更通俗地说,将大量数据备份或传输到基于云的存储的技术将会成为攻击者的攻击新思路。

WPA3

Wi-Fi联盟推出的WPA3,将在2019年实现大规模的部署。WPA3是WiFi加密协议的最新升级版本,与WPA2有很多改进,但仍然无法抵御一些攻击。恶意AP,恶意客户端,evil twin APs,neighbor APs,ad-hoc网络和配置错误的AP。

例如, evil twin APs很可能用于增强型开放式Wi-Fi网络,即使WiFi加密更新,流量仍然可以在受害客户端和攻击者的Evil Twin AP之间进行交换。 evil twin APs使用与附近合法AP相同的BSSID,并进行广播。虽然无线加密可以保证会话免受窃听,但受害者的Wi-Fi流量还是会流经Evil Twin AP,攻击者可以通过中间人攻击拦截凭证,植入恶意软件和远程后门。

浏览器

在2018年12月宣布,放弃了Edge,将基于Chromium内核开发一个新的默认浏览器——Anaheim。届时,浏览器漏洞的挖掘者或者新的浏览器安全漏洞大多将围绕Anaheim出现。

与政治相关的安全

安全法律法规

自2017年6月1日起施行《中华人民共和国网络安全法》,推动了2018年各组织部门对网络犯罪的严厉打击;在2018年中期,欧盟开始施行GDPR(通用数据保护条例);相继欧盟之后,加拿大、巴西、印度都将推出对应的立法规范。

2019年,也将是安全法律法规推出、施行的一个元年,不管是联合国还是各国,将都对网络犯罪、隐私泄露做出严惩。

政治性的网络攻击

外交和地缘政治方面最大的问题之一就是如何应该积极的网络攻击。网络攻击的目的错综复杂,有的可能会伴随政治因素,比如DNC遭受的攻击、俄罗斯干预美国大选。

多年来,间谍活动都是心知肚明的,随着东欧和亚洲局势的变化,国家层面的博弈或逐渐加剧,相对应的国家网络攻击活动也会随之涌动。

新起方向

APT世界分为资源充足的先进技术攻击者和想要体验攻击快感的精力充沛新人。大量的安全工具开源,各种攻击框架的泄露,都给新人提供了很多优势。

当然,一些地区网络安全能力比较薄弱,随着网络的传播度和攻击的曝光度,这些地区会出现很多的新兴的技术人员和技术公司,政府也会加大信息安全的建设。

0x03 总结

未知攻,焉知防?

回望2018年的网络安全事件,给所有人都敲响了信息安全警钟——“没有网络安全就没有国家安全”,也给安全员带来更多的技术思考。预测2019的安全事件,将让更多的安全员做好预警,提早规划好新的一年的技术研究方向。

信息安全警钟在长鸣,攻防较量还在继续。

所有为信息安全做贡献的安全人员辛苦了,祝大家天天都是0day!

0x04 参考

  • https://www.zdnet.com/pictures/cybercrime-and-malware-2019-predictions/
  • https://www.easyaq.com/news/587105997.shtml
  • https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/mcafee-labs-2019-threats-predictions/
  • https://www.riskiq.com/blog/external-threat-management/2019-cybersecurity-predictions/
  • https://www.watchguard.com/uk/wgrd-resource-center/2019-security-predictions
  • https://www.ec-mea.com/symantec-cyber-security-predictions-2019-and-beyond/
  • https://blogs.windows.com/windowsexperience/2018/12/06/microsoft-edge-making-the-web-better-through-more-open-source-collaboration/
  • https://en.wikipedia.org/wiki/Evil_twin_(wireless_networks)

Similar Posts

Comments