您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
暗網(wǎng)經(jīng)濟(jì)引擎:最流行的十大自動化攻擊
正如安全自動化可以幫助企業(yè)更有效地檢測、響應(yīng)和緩解網(wǎng)絡(luò)威脅一樣,自動化工具也能讓網(wǎng)絡(luò)犯罪分子“如虎添翼”。
網(wǎng)絡(luò)安全公司Recorded Future最近分析了來自威脅情報(bào)平臺、開放源情報(bào)源和公共報(bào)告的數(shù)據(jù),統(tǒng)計(jì)出了網(wǎng)絡(luò)犯罪分子最常用的十類自動化攻擊工具和服務(wù)。
Recorded Future指出,網(wǎng)絡(luò)犯罪分子已經(jīng)創(chuàng)建了一個(gè)欣欣向榮的工具和資源生態(tài)系統(tǒng),地下黑市銷售的各種工具能夠讓攻擊鏈(KillChain)幾乎每個(gè)環(huán)節(jié)都實(shí)現(xiàn)自動化,從最初的偵察、網(wǎng)絡(luò)侵入到有效負(fù)載投遞、逃避檢測、泄露數(shù)據(jù)以及被盜數(shù)據(jù)的貨幣化。
Recorded Future發(fā)現(xiàn),“產(chǎn)品化”甚至“商品化”的惡意軟件使過去需要攻擊者花費(fèi)數(shù)月時(shí)間才能開發(fā)、測試和部署的攻擊,現(xiàn)在已經(jīng)可以“開箱即用”,這使菜鳥攻擊者也可以毫不費(fèi)力地參與網(wǎng)絡(luò)非法活動。例如,快速驗(yàn)證或訪問數(shù)千個(gè)帳戶密碼,繞過反惡意軟件產(chǎn)品投遞有效載荷和工具,從受感染系統(tǒng)中竊取憑據(jù)和其他敏感數(shù)據(jù),以及從電子商務(wù)站點(diǎn)和地下市場竊取支付卡數(shù)據(jù)的嗅探器,不法分子甚至可以全自動方式出售被盜的憑據(jù)和其他數(shù)據(jù)。
以下是Recorded Future報(bào)告中給出的十大自動化攻擊工具類別,以及企業(yè)如何用威脅情報(bào)、自動檢測防御、SOAR等安全自動化技術(shù)來緩解此類威脅:
一、數(shù)據(jù)庫泄露與銷售工具
針對企業(yè)數(shù)據(jù)庫的自動化攻擊工具可以讓攻擊者獲得對網(wǎng)絡(luò)的未授權(quán)訪問,竊取數(shù)據(jù)或賬戶信息,然后在網(wǎng)絡(luò)地下黑市中銷售。常見的數(shù)據(jù)泄露自動化攻擊工具包括賬戶提權(quán)、企業(yè)電子郵件泄露、勒索軟件等類型。
緩解措施:
確保所有軟件和應(yīng)用程序保持最新
過濾電子郵件中的垃圾郵件并仔細(xì)檢查鏈接和附件
定期備份系統(tǒng)并離線存儲
區(qū)分公司敏感數(shù)據(jù)
建立基于角色的訪問
應(yīng)用數(shù)據(jù)加密標(biāo)準(zhǔn)
二、檢查器與暴力破解工具
攻擊者通過數(shù)據(jù)泄露攻擊獲得賬戶后,可利用檢查器和暴力破解器來發(fā)起大規(guī)模的自動登錄請求,以檢驗(yàn)受害者賬戶的有效性,或通過對數(shù)千個(gè)帳戶的憑據(jù)填充攻擊來獲得未經(jīng)授權(quán)的訪問。
緩解措施:
除密碼管理器外,還應(yīng)為帳戶設(shè)置唯一的密碼
啟用登錄驗(yàn)證(例如CAPTCHA)或多因素身份驗(yàn)證(MFA)
部署定制的Web應(yīng)用程序防火墻
限制登錄流量和頻次
刪除未使用的面向公眾的登錄名
為流量和網(wǎng)絡(luò)請求建立基準(zhǔn),以監(jiān)視意外流量
三、加載程序和加密程序
攻擊者經(jīng)常使用加載程序和加密程序來避免被端點(diǎn)安全產(chǎn)品(例如防病毒軟件)檢測到,然后下載并執(zhí)行一個(gè)或多個(gè)惡意有效載荷(例如惡意軟件)。
緩解措施:
定期更新防病毒軟件
部署除防病毒之外的其他響應(yīng)和檢測控制措施,以檢測惡意負(fù)載
對網(wǎng)絡(luò)釣魚和相關(guān)風(fēng)險(xiǎn)進(jìn)行培訓(xùn)和教育
四、竊密程序和鍵盤記錄器
竊密器和鍵盤記錄器用于從受害者那里竊取敏感信息,包括賬戶、隱私信息和支付卡信息,而且還能將有效負(fù)載安裝到受害者的系統(tǒng)上。
緩解措施:
投資提供補(bǔ)丁狀態(tài)報(bào)告的解決方案
配置網(wǎng)絡(luò)防御機(jī)制以警告設(shè)備上的惡意活動
監(jiān)視文件驅(qū)動器和注冊表的可疑更改
五、金融惡意代碼注入
攻擊者無需自己編寫腳本即可自動執(zhí)行攻擊,攻擊者如今可以輕松獲得流行且功能強(qiáng)大的金融欺詐工具。這些工具或模塊可以與銀行木馬一起使用,在用戶被重定向到合法網(wǎng)站之前,通過注入HTML或JavaScript代碼收集敏感信息。
緩解措施:
使軟件和應(yīng)用程序保持最新
在所有設(shè)備上安裝防病毒解決方案,安排更新并監(jiān)視防病毒狀態(tài)
通過SMS身份驗(yàn)證器應(yīng)用程序啟用MFA多因素認(rèn)證
僅使用HTTPS連接web服務(wù)
教育員工并進(jìn)行安全意識培訓(xùn)
部署垃圾郵件和Web過濾器
加密所有公司敏感信息
禁用HTML或?qū)TML電子郵件轉(zhuǎn)換為純文本電子郵件
六、漏洞利用工具
漏洞利用工具包用于自動利用Web瀏覽器漏洞,以最大程度地傳播感染,并提供諸如木馬、裝載程序、勒索軟件和其他惡意軟件之類的惡意負(fù)載。
緩解措施:
優(yōu)先修補(bǔ)技術(shù)產(chǎn)品中微軟產(chǎn)品和較舊漏洞的補(bǔ)丁
確保在瀏覽器設(shè)置中自動禁用Adobe Flash Player
開展并長期堅(jiān)持網(wǎng)絡(luò)釣魚安全意識培訓(xùn)
七、釣魚與垃圾郵件
攻擊者利用垃圾郵件和網(wǎng)絡(luò)釣魚服務(wù)來開展電子郵件攻擊活動,訪問成千上萬的受害者,以部署惡意軟件或進(jìn)一步訪問網(wǎng)絡(luò)。
緩解措施:
不要在線發(fā)布您的電子郵件地址或回復(fù)垃圾郵件
下載安裝額外的垃圾郵件過濾工具和防病毒軟件
在線注冊時(shí)避免使用個(gè)人或公司電子郵件地址
制定密碼安全策略
要求所有員工落實(shí)加密措施
開展專項(xiàng)員工安全培訓(xùn)
八、“防彈”托管服務(wù)(BPHS)
為了爭取更多的犯罪時(shí)間,攻擊者會利用代理和防彈托管服務(wù)(BPHS)來掩蓋其活動。BPHS依靠一種模型保證向惡意內(nèi)容和活動提供匿名安全托管,并承諾不會因司法請求而中斷犯罪活動或?qū)е鹿粽弑徊丁?/p>
緩解措施:
利用威脅情報(bào)平臺來協(xié)助監(jiān)視惡意服務(wù)提供商
將與惡意BPHS關(guān)聯(lián)的服務(wù)器列入黑名單
九、嗅探器
在暗網(wǎng)經(jīng)濟(jì)中,嗅探器(Sniffer)指的是一種用JavaScript編寫的惡意軟件,能從電子商務(wù)網(wǎng)站的支付頁面滲透并竊取無卡交易(CNP)數(shù)據(jù)。
緩解措施:
對網(wǎng)站進(jìn)行定期審核,以識別可疑腳本或網(wǎng)絡(luò)行為
防止不必要的外部腳本加載到支付頁面上
評估電子商務(wù)網(wǎng)站上的第三方插件并監(jiān)視其代碼或行為的更改
十、自動化網(wǎng)絡(luò)黑市
為了將攻擊獲得的內(nèi)容貨幣化,攻擊者會通過在線信用卡商店、帳戶商店和暗網(wǎng)市場中出售被盜數(shù)據(jù)。通過買賣銀行帳戶、手機(jī)帳戶、在線商店賬戶、約會帳戶乃至受感染系統(tǒng)的數(shù)字指紋憑證來賺錢,這些交易將推動進(jìn)一步的攻擊和破壞。
緩解措施:
監(jiān)視商店和市場中與您企業(yè)相關(guān)的帳戶
對“黑店”中失竊帳戶數(shù)量激增做出及時(shí)反應(yīng)
留意非公開域的賬戶泄露
通過SMS身份驗(yàn)證器應(yīng)用程序啟用MFA
(來源:安全牛)