2020年,“新冠”疫情爆发,各行各业均遭受了不少冲击,但网络攻击却并未随着“新冠”疫情的发展而消逝,而是愈发激烈。
360安全大脑整合360安全卫士拦截、查杀打单、挖矿、驱动木马等盛行威胁趋势,汇总无文件攻击、横向渗透、钓鱼邮件等盛行攻击手腕,盘点今年发生的重大数据泄露事宜及最新表露的多个攻击面,对2020整年盛行威胁进行总结申报请示。
由于报告篇幅较长,我们将报告内容划分为以下三个部分,如果你对个中某个部分的观点已有理解,则可以依据文章目录选择你感兴趣的内容进行阅读。
第一部分
打单、挖矿、驱动木马并驾齐驱,依然是个人和企业用户面临的头号威胁
钓鱼邮件随“新冠疫情”等热点***一度数量激增,提升员工安全意识迫不及待
第二部分
企业内网防护依然薄弱,弱口令、NDAY依然泛滥
无文件攻击、横向渗透等技能愈发成熟,在病毒利用方面有明显提示
数据泄露事宜频发,配置管理不当是罪魁罪魁
第三部分
新的攻击面被挖掘,隔离网络、UEFI/BIOS、邮件做事器等将成为下一个沙场
团队先容:
360白泽实验室专注于BOOTKIT/ROOTKIT木马剖析溯源查杀,率先创造环球首例BIOS木马BMW、 UEFI木马谍影,勾引区木马隐魂、双枪,以及多个大型暗刷类僵尸网络黑雾、祸乱等。在原有业务根本上,阅读APT检测与研究,海内首家创造并表露针对委内瑞拉军方的APT组织APT-C-43。
实验室在为360安全卫士,360急救箱等产品供应核心安全数据及执拗木马查杀方案的同时,为360安全大脑供应技能支撑。
致谢:
在撰写本报告时,感谢360政企安全集团安全运营中央为本篇报告供应的部分数据支持。
一、 盛行木马趋势
1. 打单病毒
打单病毒依然是广大用户面临的头号威胁,在利益趋势下,更多打单病毒将矛头转向企业用户,越来越多的主要机构遭受到打单病毒攻击,先后有富士康,Software AG, BancoEstado等国际有名企业被打单病毒攻击。被攻击的行业涉及做事业、制造业、零售、互联网、政府能源等多个行业。
打单病毒以其大略粗暴的毁坏力,对企业和个人造成了严重的经济丢失。360安全大脑统计了2020整年打单病毒TOP10占比如下:
随着打单病毒的发展,以Ryuk、CL0P、DoppelPaymer、LockBit等打单病毒为代表的双重打单模式逐渐成为打单主流, 攻击者在加密数据文件前会先盗取未加密的文件,以泄露敏感数据来逼迫受害者缴纳赎金。下图是DoppelPaymer打单病毒攻击富士康后泄露的部分敏感数据:
安全建议:
1, 通过及时修补系统补丁,加强口令管理,严格访问掌握,安装杀毒软件等方法,加强企业安全防护体系。
2, 对主要数据进行备份,并将备份文件进行隔离保存,备份数据可以在遭受到打单病毒攻击后最大程度缓解企业丢失。
3, 在已经遭受攻击并无数据备份情形下,应该及时联系专业的反打单病毒团队进行处理。可通过lesuobingdu.360.cn理解更多关于打单病毒解密干系的资讯。
2. 挖矿木马
挖矿木马在近一年的涨幅并不明显,但其累计传染量依然超过600万,通过挖矿木马的涨幅可以看出,挖矿木马的生动度在一定程度上受到虚拟货币价格的影响:
挖矿木马在技能手段上更倾向于采取无文件攻击的办法,末了通过开源挖矿程序进行挖矿。个中各病毒家族占比如下:
通过360安全大脑显示,无文件攻击的分布情形如下,在环球范围内,中国、美国、俄罗斯依然是网络攻击的重灾区
3. 挟制刷量
360安全大脑在2020年累计查杀驱动木马五百二十多万,个中系统装机盘,PE系统,系统激活工具等携带的恶意驱动变种繁多,占比最大。盈利办法以浏览器主页挟制类木马为主,通过修改用户的浏览器主页,达成导流的目的,从而牟取利益。
病毒通过优化搜索引擎SEO排名推举给用户,病毒网站还会有勾引用户退出安全软件的各种提示,以避免被杀软拦截。***后的病毒压缩包中也有勾引用户退出杀软的提示。下图是麻辣喷鼻香锅病毒勾引用户退出杀毒软件的提示:
360安全大脑提醒广大用户,切勿轻信退出安全软件等勾引提示,安全软件可以及时拦截和查杀恶意软件,保护系统安全,不会影响用户利用正常的软件。如果对安全软件的弹窗有任何疑问,应该第一韶光联系干系的运营职员进行处理,在确认没有风险的情形下利用这类软件。
虽与往年比较,驱动木马在盈利办法上无太大变革。但是为保护木马驱动,在与杀毒软件对抗方面却做了很多改进:
1. 病毒更新周期缩短,更新频率由一个月缩短至一周。
2. 由限定杀软模块加载(文件过滤)的黑名单机制转变成只许可系统模块加载的白名单机制,造成杀毒软件,ARK工具等安全软件都无法正常利用。
3. 通过加载模块的韶光戳,署名等特色限定杀软驱动加载。
随着安全软件能力的提升和各种安全检测技能的涌现,传统病毒运行碰着很大的阻扰,而随之内存加载技能被熟知,越来越多的恶意软件采取这种技能手段加载恶意载荷。360安全大脑显示,内存加载类木马中云控后门,广告木马,流量暗刷和私服携带的挟制类木马占比最多:
此类恶意软件一样平常会在用户电脑上潜伏一段韶光,当检测到受害者坏境比较安全时,通过向云端要求shellcode的办法动态加载恶意载荷,而shellcode一样平常会经由多层加密处理,以MemoryDLL为例,其恶意载荷解密流程如下:
在数据运营过程中我们创造,不少此类木马是由内核驱动动态加载,比较范例的是BtinDrgn,内核驱动将恶意动态库通过APC注入到系统进程中,动态库向C&C做事器进行交互,并通过DeviceIOControl掌握驱动。
除了运用层的内存加载之外,在内核也有木马通过IoCreateDriver加载内核模块,下图是BtinDrgn后门驱动内存加载内核模块的代码逻辑:
安全建议:
1, 切勿轻信病毒关于退出安全软件的提示。
2, 安装主流杀毒软件,360安全大脑结合海量安全大数据,能实时精准拦截各种敲诈,钓鱼和携带木马的网站。当访问网站时若碰着杀软有危险提示,应停滞对此网页的访问,以防被病毒传染。
3, 涌现浏览器主页被修改等病毒征象,利用360安全卫士或360急救箱进行查杀。
4. 钓鱼邮件
2020年年初,伴随着新型冠状病毒疫情的爆发,以“新冠”疫情为标题的钓鱼邮件攻击数量激增。而根据360安全大数据显示,每伴随节假日,大的热点事宜发生,与热点数据干系的钓鱼邮件便会随之增加,由此也可以看出,攻击者长于利用人们急迫看到热点***内容而忽略安全问题的弱点,通过社会工程学这种看似大略,却行之有效的办法进行攻击。下图是360安全大脑通过统计整年钓鱼邮件标题制作的热词云:
钓鱼邮件附件中会携带恶意的文档,LNK文件,压缩包,虚假文档(FakeFile)等等,各种类型的恶意附件占比如下:
为了让受害者激活携带的恶意载荷,攻击者汇合营极具勾引性的笔墨内容,欺骗受害者打开恶意附件:
钓鱼邮件携带的恶意文档中,恶意载荷的类型以宏病毒,远程模板注入及OFFICE漏洞为主,个中远程模板注入较上年有明显增加,更多的黑客组织在利用这种技能。
通过钓鱼邮件传播的恶意软件类型紧张往后门和窃密类木马为主。由此形成下图中经典的钓鱼邮件攻击模式。
针对钓鱼邮件攻击,360安全团队给出以下安全建议:
1, 收到来源不明的电子邮件时,先应经由安全软件检测或交由安全部门进行检测,在确定邮件安全性的条件下查阅邮件内容。
2, 默认禁用office软件宏,当创造有提示“启用宏”之类的勾引提示时,切勿轻信,交由安全部门进行检测后进行查阅。
3, 企业该当定期对员工进行相应的安全培训,提高员工的安全意识。
4, 安装杀毒软件,并打开邮件防护等功能。360安全卫士已默认开启邮件安全防护功能,用户也可在安全防护中央->邮件安全防护进行相应的安全设置。
二、 内网安全困境
1. 弱口令
在很多内网坏境中,不少管理员对付口令强度的意识不足深入,会涌现利用弱口令(一样平常指易于被暴力列举或猜解的密码)管理机器或利用相同密码管理多台机器等情形。常见的弱口令组合如下:
l 系统默认密码(admin,root等)
l 纯数组或字母组合(12345678,AAAAAAAA等)
l 键盘连续字母+数字组合(qwerty123)
l 某些常用单词组合(iloveyou)
l 公司名+@+数字组合(公司名@2020,公司名@123等)
当攻击者通过系统漏洞或者一些其他手段(如钓鱼邮件)进入到企业内网后,攻击者会进一步向内网中的主要资产渗透(如渗透某些存储主要数据资料的做事器,以盗取机密的商业情报),或者进一步掌握更多机器来进行后续攻击(如掌握更多机器进行挖矿或者发起DDOS攻击)。
此时,攻击者所能想到最大略的攻击手腕便是暴力破解。攻击者会通过在信息网络阶段积累的关于系统管理员的一些信息(如出生日期,喜好,姓名等)与当前企业的一些信息制作弱口令字典,并利用该字典对内网中其他机器进行暴力破解。而随着弱口令字典的不断丰富,破解成功的概率也就不断增加。
除了通过组合信息天生弱口令字典之外,更多攻击者会通过转储已受控机器内存中存储的账户密码,将其丰富到弱口令字典当中。此中利用最多的是一款叫Mimikatz的凭据转储工具,它可以从内存中提取明文密码,散列,PIN码和Kerberos票证,而这些凭据则会大大提高弱口令字典的爆破概率。
假设有管理员在很多台机器上利用了相同的密码,且密码强度符合密码繁芜度哀求。该管理员认为万无一失,但如果个中一台机器被攻击者利用漏洞或其他手段攻破,通过转储内存中的明文密码,攻击者则可以轻易的掌握内网中利用相同密码的其他机器。这一手腕也在很多僵尸网络中被利用。
下图是SantaDos/Lucifer僵尸网络转储内存凭据制作弱口令字典的代码逻辑:
2. 横向渗透
当攻击者得到大量有效凭据之后,会通过横向渗透的攻击技巧批量下发恶意软件,这些技巧包括创建远程做事,创建远程操持任务等多种手腕,通过360安全大脑,可以看到各种攻击技巧的占频年夜致如下所示:
个中占比最多的几类木马分别如下:
针对这一类恶意攻击,360安全卫士于2020年5月推出“横向渗透防护”功能,补足企业内网中对付横向渗透防护的缺失落:
3. 系统漏洞
在内网坏境中,由于资产较多,管理混乱,导致有部分机器处于长期不打系统补丁的状态,这就导致NDAY漏洞成为了企业内网中另一严重的安全隐患。
以2017年的永恒之蓝漏洞为例,时隔三年之久,对付该漏洞的利用却依然生动。根据360安全大脑统计,在2020年整年,利用永恒之蓝漏洞发起的有效攻击仍旧高达20万次。
360安全卫士团队版也接到很多内网用户反馈,有挖矿木马查杀后反复涌现等问题,经由360安全专家远程处理时创造,生动于企业内网的挖矿木马均是通过永恒之蓝漏洞进行传播的,个中以DTLMiner,WannaMine和LemonDuck为首,而重复涌现的缘故原由便是内网中不少机器至今未更新系统补丁,使得此类木马有机可乘。下图是DTLMiner利用漏洞的代码逻辑:
除了永恒之蓝漏洞外,我们还罗列了2020年影响最广的五大漏洞:
安全建议:
1, 及时更新系统补丁,阻断NDAY漏洞的利用。
2, 对付已停服的Windows 7系统,建议安装360安全卫士并开启WIN7盾甲。
4. 数据泄露
2020年数据泄露事宜频发,托管于云上的做事器和数据库在所有数据泄露事宜中占比最高,因安全策略配置缺点而暴露在公网上的数据库更是成为了网络黑客唾手可得的宝藏。360安全大脑通过梳理数百起数据泄露事宜,归纳出导致数据泄露的以下缘故原由:
1.无密码保护的数据库
一家许可美国人获取出生/去世亡证明的在线公司被曝信息泄露事宜,其AWS存储库中创造了超过75.2万美国人的出生证明副本,此外还有90400个去世亡证明申请。该存储库没有进行密码保护,任何人都可以通过非常随意马虎预测的URL网站来访问这些数据。
2.缺点的安全配置
微软表示,由于一次支配的配置缺点的Azure安全规则,导致5台ElasticSearch数据库被暴露在公网,个中包含2.5亿条用户数据。
3.托管平台
一名医院职工在GitHub上传了一份包含用户名,密码和敏感政府系统访问密钥的电子表格,令超过1600万巴西COVID-19患者的个人和康健信息在网上泄露。
4.黑客攻击
2020年12月10日,FireEye证明该公司遭到一次高度繁芜的国家级别的网络攻击,导致该公司用于测试客户方与能力的红队工具被盗。
5.内部员工非授权访问
一名前思科工程师承认造孽访问思科网络,打消了四百多台虚拟机,造成超过16000个Webex Teams账户受影响而停用,造成240万美元的经济丢失。
2019年也曾发生过海内某招聘网站员工参与倒卖个人信息,16万个人简历被***等内部员工泄露用户数据的案例。
总体来说,随着数字化转型的不断加深,倒卖用户信息成为了黑客牟利的主要手段,而对付每个企业来说,保护好用户数据,则变成了一个刻不容缓的问题。
安全建议:
1, 对主要的用户数据进行隔离保存,严格对用户数据的访问权限。
2, 定期审核对内部资产的安全访问权限,检测到配置不当,缺点配置时应及时修正。
3, 提高员工安全意识,严禁将事情代码、配置文件、用户数据等上传到托管平台或公共网盘。
4, 定期检测已离职员工拥有的网络访问权限,并及时进行撤销。
5, 加强内部网络防护体系,阻断黑客攻击。
三、 攻击面
1. 打破隔离网络
随着网络对抗的发展,新的攻击思路也在不断的呈现,以上半年创造的一款Ramsay病毒为例,该病毒通过最大略的传输介质(U盘),在繁芜的内网坏境中开辟了一条通向隔离网络的通道。
① 黑客发送带毒的钓鱼邮件给企业员工,完成投递。邮件附件携带含有漏洞的附件,触发漏洞之后会传染员工电脑。
② 被传染的机器上线,黑客下发定制版的可以传染隔离网络的木马,通过传染U盘,PDF/DOC/EXE文件等办法在企业内网中扩散。
③ 管理员与员工存在事情交际,包括但不限于利用共享文件,U盘等,木马通过这些路子传染至管理员机器且成功传染其U盘和其他文件。
④ 管理员具备访问隔离网络的权限,将传染的U盘插入隔离网络电脑上并将其传染。
⑤ 木马在隔离网段运行,进一步传染隔离网内的其他设备,当得到目标主要资产的访问权限时,盗取个中机密数据并将其写入U盘或带指令的文档。
⑥存储机密数据的U盘或文档被管理员带出隔离网络并插入被黑客掌握的机器上。
⑦驻留程序检测到U盘或文档携带的机密数据,将其提取并发送给黑客。
这是一种全新的攻击思路,黑客组织在考虑到隔离网络这一分外的场景时,利用USB设备,doc文档等常见的媒介实现从外网渗透进隔离网络并在盗取数据之后传回给黑客。只管该病毒还在研发阶段,尚不足成熟,但是这种攻击场景对企业造成的威胁却值得我们寻思。
2. UEFI
2020年12月,由国外安全机构创造,臭名昭著的恶意软件TrickBot增加了检测目标系统UEFI/BIOS固件信息的功能。它利用商业软件RWEveryThing工具的RwDrv.sys驱动来检测UEFI/BIOS固件的SPI闪存芯片,以判断目标系统的固件是否可以被修正。
由于UEFI/BIOS初始化过程优先于操作系统,一旦在此类固件中植入恶意载荷,纵然重装系统也无法彻底打消。这对付攻击者来说具有独特的计策意义,由于这将是最暗藏,功能最强大的Rootkit。
TrickBot利用的恶意组件与APT28利用的LoJax恶意软件有很多相似之处,都是利用RwDrv.sys对UEFI/BIOS进行探测,相应的I/O掌握码如下:
只管TrickBot携带的恶意功能暂时只有侦察网络,但是其背后的黑客组织想将该功能拓展到植入恶意载荷也并非很难,届时,此类攻击将会带来更严重的后果。
缓解方法:
为了缓解此类方法,我们建议将固件更新到最新状态,并启用BIOS写入保护,并验证固件完全性,以防被恶意修改。
3. kerberoasting
在内网域环境下,暴力破解一个端口很随意马虎被一些安全产品检测到,以是很多攻击者会选择一种更为暗藏的称之为kerberoasting的攻击办法, 其攻击流程大致如下:
缓解方法:
1, 通过检测windows事宜日志中是否存在非常的票证付与做事(TGS)要求,日志ID 4769和4770。
2, 禁用Kerberos中利用不屈安的协议,可以将单个账号设置为不许可RC4协议。
3, 对做事账户采纳严格的密码安全策略,它们的密码应随机天生,长度至少30位。
4, 审核SPN对敏感用户账号的分配,严格权限访问掌握。
5, 若已经检测到恶意攻击,该当隔离以是涉及到的打算机,关照事宜相应团队进行取证与打消恶意载荷,并重置哀求利用TGS票证的做事账户密码。
4. 供应链攻击
2020年12月,据外媒宣布美国多个主要政府机构遭受了国家级APT组织的攻击入侵,攻击疑似是由于根本网络管理软件供应商SolarWinds的产品毛病导致。
这是一次非常繁芜的网络攻击事宜,最早从2019年便开始预备,在超过两年的攻击活动中,攻击者可能已经获取了SolarWinds内网最高权限,通过多个有限账号令牌绕过安全防护,在目标产品中植入恶意代码,并通过SolarWinds与客户之间的相互信赖关系,将恶意代码扩散至更大范围。下图是360高等威胁研究院绘制的这次攻击的流程图:
软件供应链在其开拓,交付,利用阶段均存在被恶意修改的风险,包括投毒软硬件开拓坏境,开拓工具,第三方库亦或对目标用户的源代码进行修改。由于软件供应商与用户之间的信赖关系,使得在开拓,交付阶段进行修改的恶意载荷极难被创造。而近几年被表露的供应链攻击事宜, 如ShadowPad,ShadowHammar,CCleaner等,其攻击目标一样平常都拥有广泛的用户群体,因此影响范围极广,造成丢失也非常严重。
缓解方法:
1, 建立纵深防御和持续监控运营机制,对重点资产,做事器,主机履行主机行为管控方法,对非常网络要求,主机行为做闭环运行处理。
2, 安装杀毒软件
5. 邮件做事器
电子邮件做事器的安全性非常主要,由于电子邮件是最盛行的通信和开展业务办法之一,尤其在企业内网中,电子邮件每每携带大量的机密信息,邮件做事器被攻破每每可能会造成巨大的财务丢失。
在SolarWinds供应链攻击事宜中,攻击者通过监控目标网络中的电子邮件,盗取大量的敏感数据,Exchange邮件做事器成为了攻击的紧张目标,以下是攻击者的一些操作:
l 在履行攻击时通过Get-ManagementRoleAssignment列出各种组织的配置设置
l 利用Get-WebServicesVirtualDirectory检索有关已配置的虚拟目录的信息
l 利用New-MailboxExportRequest 命令和Get-MailboxExport-Request命令从目标帐户中盗取了电子邮件数据
l 利用Set-CASMailbox将自己的设备作为许可的ID进行主动同步,以便对多个邮箱进行同步
l 在成功导出他们希望盗取的邮件之后,攻击者将利用Remove-MailboxExportRequest删除导出要求的证据
值得一提的是SolarWinds的用户群体中不乏白宫,国防部门,英美情报机构等主要敏感组织,上述攻击办法可能造成的影响就远高于传统攻击办法(垃圾邮件,DDOS等)。
缓解方法:
1, 加固邮件做事器,包括及时安装系统补丁,关闭无用端口,对做事器进行网络隔离,严格实施访问掌握等等。
2, 上述部分powershell命令(如New-MailboxExportRequest)默认未分配给任何账户,定期对这些权限做检测,对一些非常账户做禁用途理。
3, 安装端点检测设备,对邮件做事器的非常行为告警做及时处理。
360政企终端安全产品体系
随着环球数字化转型数字技能的发展,网络攻击已经变得更有针对性、暗藏性和持久性。在“大安全”时期背景下,“聚体系之力,护航大终端安全——360终端安全产品体系发布会”在2020年10月强势亮剑ISC平台。360政企安全集团重磅推出由360终端安全防护系统、360终端安全防护系统(信创版)、360安全卫士团队版、360企业安全浏览器等全方位集结的终端安全产品体系,剑指终端安全新威胁,论道终端防护硬实力。
360 终端安全管理系统是在360安全大脑极智赋能下,以大数据、云打算、人工智能等新技能为支撑,以可靠做事为保障,集防病毒与终端安全管控于一体的企业级安全产品。供应病毒查杀、漏洞修复、资产管理、运维管控、移动存储管理、安全审计、Win7盾甲、主动防御等诸多功能,帮助企业快速掌控全网终端安全状态,有效保障全网终端安全。
360安全卫士团队版是专注于企业级用户的在线安全办理方案,以360安全大脑赋能,依托全网安全数据平台为支撑、借助势逼情报云、知识库AI云、安全专家云,能够为用户精准检测已知病毒木马、未知风险程序,并供应终端资产管理、漏洞补丁管理、安全运维管控,终端安全统计等诸多防护功能,有效防御恶意攻击。360安全卫士团队版大略高效的后台掌握中央与安全功能管理,知足企业对安全统一管理的需求,让网络更安全,管理更轻松。
更多关于360政企终端安全产品系统请访问:https://www.360.net/product-center/Endpoint-Security/management-system
附录
https://www.360.cn/n/11696.html
https://www.freebuf.com/articles/network/243938.html
https://techcommunity.microsoft.com/t5/microsoft-security-and/detecting-ldap-based-kerberoasting-with-azure-atp/ba-p/462448
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/
https://attack.stealthbits.com/cracking-kerberos-tgs-tickets-using-kerberoasting
https://www.advanced-intel.com/post/persist-brick-profit-trickbot-offers-new-trickboot-uefi-focused-functionality
https://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/
