前言
2020年,“新冠”疫情爆发,各行各业均遭受了不少冲击,但网络攻击却并未随着“新冠”疫情的发展而消失,而是愈发激烈。
360安全大脑整合360安全卫士拦截、查杀勒索、挖矿、驱动木马等流行威胁趋势,汇总无文件攻击、横向渗透、钓鱼邮件等流行攻击手法,盘点今年发生的重大数据泄漏事件及最新披露的多个攻击面,对2020全年流行威胁进行总结汇报。
由于报告篇幅较长,我们将报告内容划分为以下三个部分,如果你对其中某个部分的概念已有了解,则可以依据文章目录选择你感兴趣的内容进行阅读。
第一部分
勒索、挖矿、驱动木马并驾齐驱,依然是个人和企业用户面临的头号威胁
钓鱼邮件随“新冠疫情”等热点新闻一度数量激增,提升员工安全意识迫在眉睫
第二部分
企业内网防护依然薄弱,弱口令、NDAY依然泛滥
无文件攻击、横向渗透等技术愈发成熟,在病毒利用方面有明显提示
数据泄漏事件频发,配置管理不当是罪魁祸首
第三部分
新的攻击面被挖掘,隔离网络、UEFI/BIOS、邮件服务器等将成为下一个战场
团队介绍:
360白泽实验室专注于BOOTKIT/ROOTKIT木马分析溯源查杀,率先发现全球首例BIOS木马BMW、 UEFI木马谍影,引导区木马隐魂、双枪,以及多个大型暗刷类僵尸网络黑雾、祸乱等。在原有业务基础上,涉猎APT检测与研究,国内首家发现并披露针对委内瑞拉军方的APT组织APT-C-43。
实验室在为360安全卫士,360急救箱等产品提供核心安全数据及顽固木马查杀方案的同时,为360安全大脑提供技术支撑。
致谢:
在撰写本报告时,感谢360政企安全集团安全运营中心为本篇报告提供的部分数据支持。
一、 流行木马趋势
1. 勒索病毒
勒索病毒依然是广大用户面临的头号威胁,在利益趋势下,更多勒索病毒将矛头转向企业用户,越来越多的重要机构遭受到勒索病毒攻击,先后有富士康,Software AG, BancoEstado等国际知名企业被勒索病毒攻击。被攻击的行业涉及服务业、制造业、零售、互联网、政府能源等多个行业。
勒索病毒以其简单粗暴的破坏力,对企业和个人造成了严重的经济损失。360安全大脑统计了2020全年勒索病毒TOP10占比如下:
随着勒索病毒的发展,以Ryuk、CL0P、DoppelPaymer、LockBit等勒索病毒为代表的双重勒索模式逐渐成为勒索主流, 攻击者在加密数据文件前会先窃取未加密的文件,以泄漏敏感数据来逼迫受害者缴纳赎金。下图是DoppelPaymer勒索病毒攻击富士康后泄漏的部分敏感数据:
安全建议:
1, 通过及时修补系统补丁,加强口令管理,严格访问控制,安装杀毒软件等措施,加强企业安全防护体系。
2, 对重要数据进行备份,并将备份文件进行隔离保存,备份数据可以在遭受到勒索病毒攻击后最大程度缓解企业损失。
3, 在已经遭受攻击并无数据备份情况下,应当及时联系专业的反勒索病毒团队进行处理。可通过lesuobingdu.360.cn了解更多关于勒索病毒解密相关的资讯。
2. 挖矿木马
挖矿木马在近一年的涨幅并不明显,但其累计感染量依然超过600万,通过挖矿木马的涨幅可以看出,挖矿木马的活跃度在一定程度上受到虚拟货币价格的影响:
挖矿木马在技术手段上更偏向于采用无文件攻击的方式,最后通过开源挖矿程序进行挖矿。其中各病毒家族占比如下:
通过360安全大脑显示,无文件攻击的分布情况如下,在全球范围内,中国、美国、俄罗斯依然是网络攻击的重灾区
3. 劫持刷量
360安全大脑在2020年累计查杀驱动木马五百二十多万,其中系统装机盘,PE系统,系统激活工具等携带的恶意驱动变种繁多,占比最大。盈利方式以浏览器主页劫持类木马为主,通过篡改用户的浏览器主页,达成导流的目的,从而牟取利益。
病毒通过优化搜索引擎SEO排名推荐给用户,病毒网站还会有诱导用户退出安全软件的各种提示,以避免被杀软拦截。下载后的病毒压缩包中也有诱导用户退出杀软的提示。下图是麻辣香锅病毒诱导用户退出杀毒软件的提示:
360安全大脑提醒广大用户,切勿轻信退出安全软件等诱导提示,安全软件可以及时拦截和查杀恶意软件,保护系统安全,不会影响用户使用正常的软件。如果对安全软件的弹窗有任何疑问,应当第一时间联系相关的运营人员进行处理,在确认没有风险的情况下使用这类软件。
虽与往年相比,驱动木马在盈利方式上无太大变化。但是为保护木马驱动,在与杀毒软件对抗方面却做了很多改进:
1. 病毒更新周期缩短,更新频率由一个月缩短至一周。
2. 由限制杀软模块加载(文件过滤)的黑名单机制转变成只允许系统模块加载的白名单机制,造成杀毒软件,ARK工具等安全软件都无法正常使用。
3. 通过加载模块的时间戳,签名等特征限制杀软驱动加载。
随着安全软件能力的提升和各种安全检测技术的出现,传统病毒运行遇到很大的阻扰,而随之内存加载技术被熟知,越来越多的恶意软件采用这种技术手段加载恶意载荷。360安全大脑显示,内存加载类木马中云控后门,广告木马,流量暗刷和私服携带的劫持类木马占比最多:
此类恶意软件一般会在用户电脑上潜伏一段时间,当检测到受害者坏境比较安全时,通过向云端请求shellcode的方式动态加载恶意载荷,而shellcode一般会经过多层加密处理,以MemoryDLL为例,其恶意载荷解密流程如下:
在数据运营过程中我们发现,不少此类木马是由内核驱动动态加载,比较典型的是BtinDrgn,内核驱动将恶意动态库通过APC注入到系统进程中,动态库向C&C服务器进行交互,并通过DeviceIOControl控制驱动。
除了应用层的内存加载之外,在内核也有木马通过IoCreateDriver加载内核模块,下图是BtinDrgn后门驱动内存加载内核模块的代码逻辑:
安全建议:
1, 切勿轻信病毒关于退出安全软件的提示。
2, 安装主流杀毒软件,360安全大脑结合海量安全大数据,能实时精准拦截各类欺诈,钓鱼和携带木马的网站。当访问网站时若遇到杀软有危险提示,应停止对此网页的访问,以防被病毒感染。
3, 出现浏览器主页被篡改等病毒现象,使用360安全卫士或360急救箱进行查杀。
4. 钓鱼邮件
2020年年初,伴随着新型冠状病毒疫情的爆发,以“新冠”疫情为标题的钓鱼邮件攻击数量激增。而根据360安全大数据显示,每伴随节假日,大的热点事件发生,与热点数据相关的钓鱼邮件便会随之增加,由此也可以看出,攻击者善于利用人们迫切看到热点新闻内容而忽视安全问题的弱点,通过社会工程学这种看似简单,却行之有效的方式进行攻击。下图是360安全大脑通过统计整年钓鱼邮件标题制作的热词云:
钓鱼邮件附件中会携带恶意的文档,LNK文件,压缩包,虚假文档(FakeFile)等等,各种类型的恶意附件占比如下:
为了让受害者激活携带的恶意载荷,攻击者会配合极具诱导性的文字内容,欺骗受害者打开恶意附件:
钓鱼邮件携带的恶意文档中,恶意载荷的类型以宏病毒,远程模板注入及OFFICE漏洞为主,其中远程模板注入较上年有明显增加,更多的黑客组织在使用这种技术。
通过钓鱼邮件传播的恶意软件类型主要以后门和窃密类木马为主。由此形成下图中经典的钓鱼邮件攻击模式。
针对钓鱼邮件攻击,360安全团队给出以下安全建议:
1, 收到来源不明的电子邮件时,先应经过安全软件检测或交由安全部门进行检测,在确定邮件安全性的前提下查阅邮件内容。
2, 默认禁用office软件宏,当发现有提示“启用宏”之类的诱导提示时,切勿轻信,交由安全部门进行检测后进行查阅。
3, 企业应该定期对员工进行相应的安全培训,提高员工的安全意识。
4, 安装杀毒软件,并打开邮件防护等功能。360安全卫士已默认开启邮件安全防护功能,用户也可在安全防护中心->邮件安全防护进行相应的安全设置。
二、 内网安全困境
1. 弱口令
在很多内网坏境中,不少管理员对于口令强度的意识不够深入,会出现使用弱口令(一般指易于被暴力枚举或猜解的密码)管理机器或使用相同密码管理多台机器等情况。常见的弱口令组合如下:
l 系统默认密码(admin,root等)
l 纯数组或字母组合(12345678,AAAAAAAA等)
l 键盘连续字母+数字组合(qwerty123)
l 某些常用单词组合(iloveyou)
l 公司名+@+数字组合(公司名@2020,公司名@123等)
当攻击者通过系统漏洞或者一些其他手段(如钓鱼邮件)进入到企业内网后,攻击者会进一步向内网中的重要资产渗透(如渗透某些存储重要数据资料的服务器,以窃取机密的商业情报),或者进一步控制更多机器来进行后续攻击(如控制更多机器进行挖矿或者发起DDOS攻击)。
此时,攻击者所能想到最简单的攻击手法就是暴力破解。攻击者会通过在信息收集阶段积累的关于系统管理员的一些信息(如出生日期,喜好,姓名等)与当前企业的一些信息制作弱口令字典,并利用该字典对内网中其他机器进行暴力破解。而随着弱口令字典的不断丰富,破解成功的概率也就不断增加。
除了通过组合信息生成弱口令字典之外,更多攻击者会通过转储已受控机器内存中存储的账户密码,将其丰富到弱口令字典当中。此中使用最多的是一款叫Mimikatz的凭据转储工具,它可以从内存中提取明文密码,散列,PIN码和Kerberos票证,而这些凭据则会大大提高弱口令字典的爆破概率。
假设有管理员在很多台机器上使用了相同的密码,且密码强度符合密码复杂度要求。该管理员认为万无一失,但如果其中一台机器被攻击者利用漏洞或其他手段攻破,通过转储内存中的明文密码,攻击者则可以轻易的控制内网中使用相同密码的其他机器。这一手法也在很多僵尸网络中被利用。
下图是SantaDos/Lucifer僵尸网络转储内存凭据制作弱口令字典的代码逻辑:
2. 横向渗透
当攻击者获得大量有效凭据之后,会通过横向渗透的攻击技巧批量下发恶意软件,这些技巧包括创建远程服务,创建远程计划任务等多种手法,通过360安全大脑,可以看到各种攻击技巧的占比大致如下所示:
其中占比最多的几类木马分别如下:
针对这一类恶意攻击,360安全卫士于2020年5月推出“横向渗透防护”功能,补足企业内网中对于横向渗透防护的缺失:
3. 系统漏洞
在内网坏境中,由于资产较多,管理混乱,导致有部分机器处于长期不打系统补丁的状态,这就导致NDAY漏洞成为了企业内网中另一严重的安全隐患。
以2017年的永恒之蓝漏洞为例,时隔三年之久,对于该漏洞的利用却依然活跃。根据360安全大脑统计,在2020年整年,利用永恒之蓝漏洞发起的有效攻击仍然高达20万次。
360安全卫士团队版也接到很多内网用户反馈,有挖矿木马查杀后反复出现等问题,经过360安全专家远程处理时发现,活跃于企业内网的挖矿木马均是通过永恒之蓝漏洞进行传播的,其中以DTLMiner,WannaMine和LemonDuck为首,而重复出现的原因就是内网中不少机器至今未更新系统补丁,使得此类木马有机可乘。下图是DTLMiner利用漏洞的代码逻辑:
除了永恒之蓝漏洞外,我们还罗列了2020年影响最广的五大漏洞:
安全建议:
1, 及时更新系统补丁,阻断NDAY漏洞的利用。
2, 对于已停服的Windows 7系统,建议安装360安全卫士并开启WIN7盾甲。
4. 数据泄漏
2020年数据泄漏事件频发,托管于云上的服务器和数据库在所有数据泄漏事件中占比最高,因安全策略配置错误而暴露在公网上的数据库更是成为了网络黑客唾手可得的宝藏。360安全大脑通过梳理数百起数据泄漏事件,归纳出导致数据泄漏的以下原因:
1.无密码保护的数据库
一家允许美国人获取出生/死亡证明的在线公司被曝信息泄漏事件,其AWS存储库中发现了超过75.2万美国人的出生证明副本,此外还有90400个死亡证明申请。该电脑存储库没有进行密码保护,任何人都可以通过非常容易猜测的URL网站来访问这些数据。
2.错误的安全配置
微软表示,因为一次部署的配置错误的Azure安全规则,导致5台ElasticSearch数据库被暴露在公网,其中包含2.5亿条用户数据。
3.托管平台
一名医院职工在GitHub上传了一份包含用户名,密码和敏感政府系统访问密钥的电子表格,令超过1600万巴西COVID-19患者的个人和健康信息在网上泄漏。
4.黑客攻击
2020年12月10日,FireEye证实该公司遭到一次高度复杂的国家级别的网络攻击,导致该公司用于测试客户方与能力的红队工具被盗。
5.内部员工非授权访问
一名前思科工程师承认非法访问思科网络,清除了四百多台虚拟机,造成超过16000个Webex Teams账户受影响而停用,造成240万美元的经济损失。
2019年也曾发生过国内某招聘网站员工参与倒卖个人信息,16万个电脑人简历被出售等内部员工泄漏用户数据的案例。
总体来说,随着数字化转型的不断加深,倒卖用户信息成为了黑客牟利的重要手段,而对于每个企业来说,保护好用户数据,则变成了一个刻不容缓的问题。
安全建议:
1, 对重要的用户数据进行隔离保存,严格对用户数据的访问权限。
2, 定期审核对内部资产的安全访问权限,检测到配置不当,错误配置时应及时修改。
3, 提高员工安全意识,严禁将工作代码、配置文件、用户数据等上传到托管平台或公共网盘。
4, 定期检测已离职员工拥有的网络访问权限,并及时进行撤销。
5, 加强内部网络防护体系,阻断黑客攻击。
三、 攻击面
1. 突破隔离网络
随着网络对抗的发展,新的攻击思路也在不断的呈现,以上半年发现的一款Ramsay病毒为例,该病毒通过最简单的传输介质(U盘),在复杂的内网坏境中开辟了一条通向隔离网络的通道。
① 黑客发送带毒的钓鱼邮件给企业员工,完成投递。邮件附件携带含有漏洞的附件,触发漏洞之后会感染员工电脑。
② 被感染的机器上线,黑客下发定制版的可以感染隔离网络的木马,通过感染U盘,PDF/DOC/EXE文件等方式在企业内网中扩散。
③ 管理员与员工存在工作交际,包括但不限于使用共享文件,U盘等,木马通过这些途径感染至管理员机器且成功感染其U盘和其他文件。
④ 管理员具备访问隔离网络的权限,将感染的U盘插入隔离网络电脑上并将其感染。
⑤ 木马在隔离网段运行,进一步感染隔离网内的其他设备,当获得目标重要资产的访问权限时,窃取其中机密数据并将其写入U盘或带指令的文档。
⑥存储机密数据的U盘或文档被管理员带出隔离网络并插入被黑客控制的机器上。
⑦驻留程序检测到U盘或文档携带的机密数据,将其提取并发送给黑客。
这是一种全新的攻击思路,黑客组织在考虑到隔离网络这一特殊的场景时,利用USB设备,doc文档等常见的媒介实现从外网渗透进隔离网络并在窃取数据之后传回给黑客。尽管该病毒还在研发阶段,尚不够成熟,但是这种攻击场景对企业造成的威胁却值得我们深思。
2. UEFI
2020年12月,由国外安全机构发现,臭名昭著的恶意软件TrickBot增加了检测目标系统UEFI/BIOS固件信息的功能。它利用商业软件RWEveryThing工具的RwDrv.sys驱动来检测UEFI/BIOS固件的SPI闪存芯片,以判断目标系统的固件是否可以被修改。
由于UEFI/BIOS初始化过程优先于操作系统,一旦在此类固件中植入恶意载荷,即使重装系统也无法彻底清除。这对于攻击者来说具有独特的战略意义,因为这将是最隐蔽,功能最强大的Rootkit。
TrickBot使用的恶意组件与APT28使用的LoJax恶意软件有很多相似之处,都是利用RwDrv.sys对UEFI/BIOS进行探测,相应的I/O控制码如下:
尽管TrickBot携带的恶意功能暂时只有侦察收集,但是其背后的黑客组织想将该功能拓展到植入恶意载荷也并非很难,届时,此类攻击将会带来更严重的后果。
缓解措施:
为了缓解此类措施,我们建议将固件更新到最新状态,并启用BIOS写入保护,并验证固件完整性,以防被恶意篡改。
3. kerberoasting
在内网域环境下,暴力破解一个端口很容易被一些安全产品检测到,所以很多攻击者会选择一种更为隐蔽的称之为kerberoasting的攻击方式, 其攻击流程大致如下:
缓解措施:
1, 通过检测windows事件日志中是否存在异常的票证授予服务(TGS)请求,日志ID 4769和4770。
2, 禁用Kerberos中使用不安全的协议,可以将单个账号设置为不允许RC4协议。
3, 对服务账户采取严格的密码安全策略,它们的密码应随机生成,长度至少30位。
4, 审核SPN对敏感用户账号的分配,严格权限访问控制。
5, 若已经检测到恶意攻击,应该隔离所以涉及到的计算机,通知事件响应团队进行取证与清除恶意载荷,并重置要求使用TGS票证的服务账户密码。
4. 供应链攻击
2020年12月,据外媒报道美国多个重要政府机构遭受了国家级APT组织的攻击入侵,攻击疑似是由于基础网络管理软件供应商SolarWinds的产品缺陷导致。
这是一次非常复杂的网络攻击事件,最早从2019年便开始筹备,在跨越两年的攻击活动中,攻击者可能已经获取了SolarWinds内网最高权限,通过多个有限账号令牌绕过安全防护,在目标产品中植入恶意代码,并通过SolarWinds与客户之间的相互信任关系,将恶意代码扩散至更大范围。下图是360高级威胁研究院绘制的此次攻击的流程图:
软件供应链在其开发,交付,使用阶段均存在被恶意篡改的风险,包括投毒软硬件开发坏境,开发工具,第三方库亦或对目标用户的源代码进行篡改。由于软件供应商与用户之间的信任关系,使得在开发,交付阶段进行篡改的恶意载荷极难被发现。而近几年被披露的供应链攻击事件, 如ShadowPad,ShadowHammar,CCleaner等,其攻击目标一般都拥有广泛的用户群体,因此影响范围极广,造成损失也非常严重。
缓解措施:
1, 建立纵深防御和持续监控运营机制,对重点资产,服务器,主机实施主机行为管控措施,对异常网络请求,主机行为做闭环运行处理。
2, 安装杀毒软件
5. 邮件服务器
电子邮件服务器的安全性非常重要,因为电子邮件是最流行的通信和开展业务方式之一,尤其在企业内网中,电子邮件往往携带大量的机密信息,邮件服务器被攻破往往可能会造成巨大的财务损失。
在SolarWinds供应链攻击事件中,攻击者通过监控目标网络中的电子邮件,窃取大量的敏感数据,Exchange邮件服务器成为了攻击的主要目标,以下是攻击者的一些操作:
l 在实施攻击时通过Get-ManagementRoleAssignment列出各种组织的配置设置
l 使用Get-WebServicesVirtualDirectory检索有关已配置的虚拟目录的信息
l 使用New-MailboxExportRequest 命令和Get-MailboxExport-Request命令从目标帐户中窃取了电子邮件数据
l 使用Set-CASMailbox将自己的设备作为允许的ID进行主动同步,以便对多个邮箱进行同步
l 在成功导出他们希望窃取的邮件之后,攻击者将使用Remove-MailboxExportRequest删除导出请求的证据
值得一提的是SolarWinds的用户群体中不乏白宫,国防部门,英美情报机构等重要敏感组织,上述攻击方式可能造成的影响就远高于传统攻击方式(垃圾邮件,DDOS等)。
缓解措施:
1, 加固邮件服务器,包括及时安装系统补丁,关闭无用端口,对服务器进行网络隔离,严格实行访问控制等等。
2, 上述部分powershell命令(如New-MailboxExportRequest)默认未分配给任何账户,定期对这些权限做检测,对一些异常账户做禁用处理。
3, 安装端点检测设备,对邮件服务器的异常行为告警做及时处理。
360政企终端安全产品体系
随着全球数字化转型数字技术的发展,网络攻击已经变得更有针对性、隐蔽性和持久性。在“大安全”时代背景下,“聚体系之力,护航大终端安全——360终端安全产品体系发布会”在2020年10月强势亮剑ISC平台。360政企安全集团重磅推出由360终端安全防护系统、360终端安全防护系统(信创版)、360安全卫士团队版、360企业安全浏览器等全方位集结的终端安全产品体系,剑指终端安全新威胁,论道终端防护硬实力。
360 终端安全管理系统是在360安全大脑极智赋能下,以大数据、云计算、人工智能等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控于一体的企业级安全产品。提供病毒查杀、漏洞修复、资产管理、运维管控、移动存储管理、安全审计、Win7盾甲、主动防御等诸多功能,帮助企业快速掌控全网终端安全状态,有效保障全网终端安全。
360安全卫士团队版是专注于企业级用户的在线安全解决方案,以360安全大脑赋能,依托全网安全数据平台为支撑、借助威胁情报云、知识库AI云、安全专家云,能够为用户精准检测已知病毒木马、未知风险程序,并提供终端资产管理、漏洞补丁管理、安全运维管控,终端安全统计等诸多防护功能,有效防御恶意攻击。360安全卫士团队版简单高效的后台控制中心与安全功能管理,满足企业对安全统一管理的需求,让网络更安全,管理更轻松。
更多关于360政企终端安全产品系统请访问:https://www.360.net/product-center/Endpoint-Security/management-system
附录
https://www.360.cn/n/11696.html
https://www.freebuf.com/articles/network/243938.html
https://techcommunity.microsoft.com/t5/microsoft-security-and/detecting-ldap-based-kerberoasting-with-azure-atp/ba-p/462448
https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html
https://www.volexity.com/blog/2020/12/14/dark-halo-leverages-solarwinds-compromise-to-breach-organizations/
https://attack.stealthbits.com/cracking-kerberos-tgs-tickets-using-kerberoasting
https://www.advanced-intel.com/post/persist-brick-profit-trickbot-offers-new-trickboot-uefi-focused-functionality
https://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/