没有什么比做预测更难的了,相关研究人员根据过去12个月所发生的事情、安全领域专家的知识和对APT攻击的观察研究,对未来做出如下预测。
假标志攻击
使用假标志已经成为几个APT中的一个重要元素,通常试图转移安全人员对攻击者的注意力——例如,在Lazarus恶意软件中使用俄语词汇,或WildNeutron使用罗马尼亚语词汇等。研究人员认为,假标志攻击将进一步发展,攻击者不仅希望规避追踪溯源,而且积极地将责任推给其他人。
其中也可能包括其他不相关的APT使用已建立的后门、盗窃和重复使用代码,或者故意泄露源代码让其他组织使用,进一步搅浑局面。除此之外,还应考虑攻击者在攻击和横向移动过程中使用从其他渠道购买的恶意软件、脚本、公开可用的安全工具或管理员软件,使溯源工作变得越来越困难。
从勒索软件到目标勒索软件
在过去的两年里,通用勒索软件攻击的数量有所下降,网络犯罪分子使用勒索恶意软件变得更具针对性,这些勒索软件攻击的重点是那些可能支付大笔款项以恢复数据的组织,研究人员称这种技术为“目标勒索软件”。
在这一年中,研究人员记录了几起攻击者使用目标勒索软件的案件,他们认为未来可能会有更激进的勒索企图。未来可能出现的趋势是,攻击者放弃使文件无法恢复的勒索形式,会以威胁发布数据的方式代替。
除了有针对性的勒索软件之外,网络罪犯也试图将攻击多样化,包括除了PC或服务器之外的其他类型的设备。例如,消费品中的勒索软件,如智能电视、智能手表、智能汽车/房屋/城市,勒索软件是从受害者身上获取经济利益的最有效工具。
新的网上银行和支付攻击
新的网络攻击可能会随着新的银行业法规出现,这些法规最近在整个欧盟全面生效。
PSD2(支付服务指令)规定了对提供支付服务公司的监管要求,由于银行将被要求向第三方开放其基础设施和数据,攻击者很可能会试图利用新的手段滥用这些新机制。
基础设施攻击和针对非PC目标攻击
一段时间以来,已确定攻击者一直在将其工具集扩展到Windows以外,甚至PC系统之外:例如,VPNFilter和Slingshot,目标网络硬件。攻击者一旦控制设备,可以极大提升攻击者的灵活性。他们可以选择大规模僵尸网络攻击方案,并将该网络用于不同的目标,或者可以利用僵尸网络接近选定的目标进行更多的秘密攻击。
有消息称,黑客已经渗透到全球至少10家手机电信公司的网络中,并已隐藏多年。他们能够在电信基础设施上部署自己的VPN服务。物联网设备的大量使用使得现实世界和网络世界融合,为攻击者提供了越来越多的机会。今年有报道称,不明身份的攻击者使用树莓派从美国宇航局喷气推进实验室窃取了500兆数据。去年12月,英国盖特威克机场(Gatwick airport)在其中一条跑道上方发现无人机后,因担心发生碰撞而停飞。由于使用了无人机,该国的部分关键基础设施陷于停顿。毫无疑问,此类攻击的数量将会增加。
攻击方法越来越复杂
很难知道顶级攻击者到底有多先进,他们手里有什么资源。例如,几年前研究人员观察到一个无休止的零日漏洞供给,攻击者随时准备为他们买单。今年,研究人员观察到谷歌在8月份公布过去两年中至少发现的14个iOS漏洞。
攻击者还可能使用非常规方法(如使用信令数据或Wi-Fi/4G)来过滤数据,特别是在使用物理植入物时。同样,相信未来会有更多的攻击者使用DoH(DNS over HTTPS)来隐藏活动。最后,有可能在未来几个月内,将开始发现更多的UEFI恶意软件。
移动攻击焦点转移
在过去的十年里,数字生活主要存储设备已经从个人电脑转移到了手机。攻击者很快就注意到了这一点,并开始专注于开发手机攻击工具。虽然研究人员一直在预测针对手机的攻击数量会大幅增加,但从观察到的情况并不能完全反映出这一推断。
上文连接中说到攻击者如何利用iOS中至少14个零日漏洞来攻击亚洲的某些少数群体,最近也看到了Facebook如何起诉以色列NSO公司,指控其滥用服务器(部署恶意软件拦截用户数据),还看到了Android 0day现在比iPhone更昂贵(根据Zerodium的价格表),所有这些都告诉我们攻击者在开发这些技术方面投入了大量资金。
个人信息滥用:从深度造假到DNA泄露
之前讨论过数据泄漏如何帮助攻击者制造更具说服力的社会工程攻击。并非每一个攻击者都有完整的潜在受害者的资料,这使得越来越多的泄露数据非常有价值,勒索软件攻击也是如此。
在一个记录数据不断增长的世界里,可以看到特别敏感的泄漏危险,例如在生物特征数据方面等,所有这些听起来都十分超前,但它与通过社交媒体驱动选举广告的技巧非常相似,而这项技术已经在使用中了,一些攻击者利用它只是时间问题。
未来有太多的可能性,我们的预测中可能会有许多预测不到的东西,而攻击环境的复杂性提供了更多可能性。此外,没有一个研究能够完全了解APT攻击者的行动,研究人员会继续观察分析和预测APT的活动,了解他们使用的方法,并继续出台相关报告。
