为何越来越多的黑客偏爱电子邮件网络钓鱼攻击
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全4月28日讯 安全公司赛门铁克的新研究表明,黑客如今尤其喜欢通过目标的电子邮件账号作为进入组织机构的切入点,而漏洞利用工具的使用率也随之大幅下降。
研究结果强调攻击者最近在感染系统中使用的技俩发生了重大变化,过去12个月,这种变化趋势愈加明显。
恶意电子邮件攻击不断增加
赛门铁克发布的《2017年互联网安全威胁报告》指出,2016年,黑客通过漏洞利用工具展开的恶意活动降低了60%。
研究结果表明,攻击者目前习惯用电子邮件作为主要的感染媒介。2016年,电子邮件中存在恶意软件的比率大幅上升,原来220封电子邮件中存在1个恶意软件(1/220),现在上升到131封电子邮件中就存在1个恶意软件(1/131)。
这种变化导致黑客依赖“靠山吃山靠水吃水”的战术。也就是说,黑客转向操作系统的功能,重用管理工具和云服务来感染网络,而不是通过包含恶意软件和0day漏洞的传统工具包进行感染。
攻击者为何偏爱恶意电子邮件攻击方式?
专家指出,去年发生的几起大规模网络攻击事件中,黑客使用鱼叉式网络钓鱼电子邮件,或设下陷阱的Microsoft Word或Excel文件,以此诱骗用户下载可提供远程访问的PowerShell脚本。黑客通常在垃圾邮件攻击中使用JavaScript和Office宏下载器,是由于这些媒介易于使用,且比漏洞利用工具更难以被检测到。
漏洞利用工具通常会利用热门Web浏览软件产品(例如Adobe Flash、Microsoft Silverlight、Java)中的安全漏洞,将有效载荷下载到受害者的电脑上。换句话讲,漏洞利用工具专门针对基于Web的应用程序,企图识别客户端设备中的漏洞,从而上传并执行恶意代码。
专家称,从经济学的角度来看,若不需要这些漏洞利用,那么就不值得浪费时间。而要使用最新的漏洞利用会耗费大量精力、资源和时间。
由于漏洞利用工具通常需要对后端基础设施进行维护,与网络钓鱼活动相比较,漏洞利用工具的可靠性相抵较低,且利用工作较为繁重。网络钓鱼活动通常是发送包含恶意软件附件的电子邮件,对于懒人黑客来说,“恶意种子遍地洒,总有一颗要发芽”的方式,无疑相对轻松许多。
0day漏洞利用的成本越来越高,更多黑客转向钓鱼攻击
供不应求,价格上涨,漏洞价格同样遵循这样的经济原理。安全公司赛门铁克在一份研究中指出,过去三年,0day漏洞利用数量连续下降,从而推高了零日漏洞利用的价格,攻击者不得不选择可替代攻击的策略。被利用的0day漏洞(这里指的是未向厂商披露和修复的软件漏洞)总量从2014年的4985降低到2016年的3986。
尽管如此0day漏洞的需求仍呈上升趋势。各方都在购买安全研究人员发现的0day零洞,包括军方、情报机构、执法机构、软件厂商、网络犯罪分子和军事承包商。这些买家的目的各异:一些意在修复并防御软件,而另一些则希望通过漏洞实施网络攻击行动。
NSA前计算机网络利用分析师布莱克-达奇表示,由于大型厂商(包括微软、苹果等公司)已经在高度重视修复平台内的漏洞,0day漏洞数量因此减少,这一举措牵连到“圈内”当前可供利用的0day漏洞价格上涨。
漏洞悬赏平台HackerOne首席技术兼联合创始人亚力克斯-赖斯表示,常用软件产品,例如Microsoft
Windows、Adobe Flash
player和Chrome浏览器的安全性通常更佳,能被大肆利用的可能性较小。这并不意味着这些软件产品存在的漏洞少,而只是专家的水平在提高,而漏洞利用的成本也在上涨。
除了Google、Microsoft、Apple等大型软件厂商取得的安全成果以外,漏洞悬赏计划也开辟了新的合法途径,从而将利益驱使动机转化为负责任的披露。越来越多的研究人员通过寻找漏洞获取报酬。因此,寻找可利用的漏洞变得比以往更加困难。
例如,过去一年在HackerOne上有约2万个0day漏洞被发现,且大多是私下披露并解决的。赛门铁克统计的0day漏洞不包含这些漏洞,因此数量相对较少。
赖斯表示,要在2017年将漏洞利用“武器化”,比两到三年前难得多。
漏洞悬赏平台BugCrowd的信任与安全负责人杰森-哈迪克斯表示,漏洞价格每年都在稳步上涨。价格因漏洞而异。如果是对服务器进行远程代码执行的0day漏洞,或是一个未知的低信息层漏洞,那么价格梯度相对较高。有些0day漏洞的价格高达344,880元。这只是一家漏洞悬赏平台上的价格,其它市场的价格更高。国外知名漏洞收购平台Zerodium一个0day漏洞最高报价大约为1035万。该公司首席执行官2015年在接受采访时表示,公司每月要向未公开披露漏洞的提交者支付约414万。他当时预测,到2015年年底,公司每月约要支出690万。
网络武器交易市场与漏洞悬赏等防御市场价格悬殊较大,其原因在于:由于要满足军事和政府客户的需求,0day漏洞销售商具有特定需求。
未来黑客利用社会工程发起攻击或呈增长趋势
考虑到找到0day漏洞的难度加大,攻击者越来越多地转向社会工程等不同的策略攻击目标。
哈利指出,这种趋势迫使恶意黑客另寻他法,这就是他们选择使用电子邮件网络钓鱼季活动或社会工程攻击目标的原因。如果操作系统被硬化,如果黑客无法愚弄操作系统,那么通常会退求其次,愚弄用户。
赖斯称,攻击组织机构最简单的方式就利用Flash或Windows的漏洞。
对于许多对手而言,攻击组织机构最简单的方法通常是从员工和自制软件下手,因为这些软件的成熟水平不及知名大公司,例如Google、Microsoft或Adobe。
哈迪克斯表示,0day漏洞价格上涨是好事。他预测,随着越来越多的企业启动漏洞悬赏计划,采用大型厂商采用的安全策略提高防御水平,这种趋势未来仍将继续。
黑客的攻击方式在转变,并不意味着安全形势好转
赛门铁克管理对手和威胁情报小组一名资深网络情报分析师表示,必须考虑维护漏洞利用工具的管理费用。这类工具由网络犯罪服务公司运行,而通常这些犯罪服务是网络安全研究界追踪打击的对象。漏洞利用工具要取得成功,黑客必须做足工作保证流量和感染率相对较高。
然而,漏洞利用工具的使用率下降并不代表互联网上的安全措施得到改善。
2015年至2016年,以网站为中心的攻击同比下降近30%,赛门铁克扫描的所有网站中,约76%仍包含可利用的漏洞,这与2014年一致,仅比2015年下降2%。
赛门铁克公司表示,虽然漏洞利用工具案例大幅减少,但这并不意味着威胁攻击形势有好转,相反,黑客正采用不同的方法扩散威胁。
E安全要闻简讯
官网:
2017年4月