老式攻擊的強大持續性是如何進化而成的？

近日，趨勢科技根據所捕獲的Smart Protection Network（SPN）數據和來自北美地區的Managed Detection and Response（MDR）的數據，發現老式攻擊一直持續存在著，且生命力旺盛，比如垃圾郵件等傳播方式依然強勁，而勒索軟體攻擊又煥發出新的活力，另外2018年第三季度的監測數據也顯示，挖掘加密貨幣的惡意軟體的新式攻擊的數量也急劇增加。

然而，研究人員卻發現，這些舊威脅一直持續存在著，且生命力旺盛，安防人員不要誤解為幕後開發者或攻擊者有滿足於現狀的跡象。事實上，這是他們在不斷改進已被證明有效的工具和技術，以便在網路罪犯和安全提供商之間無休止的獲取主動攻擊權的徵兆。

其中垃圾郵件是傳播惡意軟體的首選方法

2018年第三季度北美地區排名前15位的惡意軟體

基於雲安全智能防護網路（SPN）的監測數據，本季度北美地區排名前15位的惡意軟體非常多元化。可以看到排名第一的是EMOTET惡意軟體，其次是挖掘加密貨幣的惡意軟體COINHIVE。木馬POWLOAD和被稱為AMCleaner的潛在不受歡迎的應用程序（potentially unwanted application ，PUA）分別排在第三和第四位。

研究人員在第三季度發現的垃圾郵件攻擊活動表明，攻擊者已經在慢慢的改進釣魚軟體的傳播方法。下面的三個示例顯示了攻擊者是如何以不同方式使用單個攻擊向量。一種是典型的網路釣魚嘗試，所有的攻擊元素都在這些類型的攻擊中被發現；而另一種則使用仍然證明有效的舊惡意軟體；最後一個示例涉及一種新的，巧妙的技術，利用電子郵件劫持和現有對話來攻擊用戶。

發生在加拿大的網路釣魚活動

以發生在加拿大的網路釣魚活動為例，看看攻擊者是如何使用與稅收相關的PDF文件作為誘餌的。與大多數網路釣魚攻擊一樣，電子郵件是釣魚攻擊情形中使用的主要攻擊入口。乍一看，該電子郵件來自似乎是合法的政府機構：「加拿大稅務局（CRA）」，甚至還有一個PDF文檔附件，文件名為CRA-ACCESS-INFO.pdf。此電子郵件包含一條偽造的虛假消息，通知收件人CRA已向他們發送了INTERAC電子轉帳，可通過其中的說明轉賬或點擊PDF中嵌入的鏈接來存入資金。

偽裝成來自CRA的電子郵件的網路釣魚攻擊

如上圖所示，PDF郵件正文包含一個「請存入資金」的標籤，該標籤鏈接到一個將受害者重定向到網路釣魚頁面的惡意URL。然後，網路釣魚頁面會檢查受害者的有關IP地址的地理位置的信息。如果發現IP地址的地理位置與計劃中的目標區域（比如本文中為北美）匹配，則會重定向到要求用戶輸入個人詳細信息和財務憑據的頁面，否則，它將重定向到YouTube。研究人員在北美地區看到的所有這類釣魚攻擊都有著非常一致的模式，所有攻擊樣本的電子郵件和附件都是相同的。

在電子郵件中找到的Interac公司是一個合法的加拿大借記卡公司，它將金融機構和其他企業聯繫起來，以便交換進行電子金融交易。Interac作為加拿大借記卡系統，具有廣泛的可接受性，可靠性，安全性和效率。該組織是加拿大領先的支付品牌之一，平均每天使用它進行支付和兌換貨幣的次數達到1600萬次，攻擊者使用這樣一個受大家信任的金融機構就增加了網路釣魚郵件得「合法性」。

使用EMOTET有效載荷的垃圾郵件

EMOTET是隨著時間的推移而發展的惡意軟體的完美示例。

趨勢科技的安全團隊早在2014年首次發現EMOTET木馬使用網路嗅探技術竊取數據，最初是一種銀行木馬，但在之後的幾年裡EMOTET表現得並不活躍且慢慢開始淡出人們的視線。

但在2017年8月份，趨勢科技又發現了EMOTET，並詳細介紹了EMOTET的四個完全不同類型的變種TSPY_EMOTET.AUSJLA、TSPY_EMOTET.SMD3、TSPY_EMOTET.AUSJKW、TSPY_EMOTET.AUSJKV，這些變種的攻擊目標分別是美國、英國和加拿大。自2018年2月以來，Emotet一直在使用其載入程序功能來傳播Quakbot系列惡意軟體，該系列的行為模式類似於網路蠕蟲。此外，Emotet還在傳播Ransom.UmbreCrypt勒索軟體和其他惡意軟體（如DRIDEX）。Emotet還加強了其功能和策略，包括使用第三方開源組件。比如，Emotet在Google的原型程序上構建了一個通信協議，該協議使用Lempel-Ziv-Markov（LZMA）壓縮，LZMA是一種用於執行無損數據壓縮的鏈演算法。

最近，研究人員又發現了大量的EMOTET垃圾郵件活動，使用各種社交工程方法來誘使用戶下載和啟動其惡意載荷，通常採用惡意MS Word或PDF文檔的形式。

多態性和類蠕蟲功能的結合使其能夠快速傳播到網路中，而無需任何其他用戶交互。EMOTET的頑強生命力讓任何專業的安全保護組織都感到棘手，特別是在考慮它可能對組織產生的影響時。除了信息竊取之外，EMOTET還可以對網路基礎設施造成嚴重破壞並引發賬戶凍結，讓企業蒙受金錢和聲譽損失。

利用被劫持的電子郵件傳播URSNIF

URSNIF是一種銀行木馬，會竊取敏感資料並在受影響的主機上收集數據，包括電子郵件憑證、證書、瀏覽器cookie和來自webinjects的財務信息。研究人員最近發現了一個新的攻擊系列，該攻擊系列利用被劫持的合法電子郵件來發送URSNIF。在今年9月監測到的惡意郵件活動卻表明，攻擊者正在採取更為複雜的網路釣魚形式。該惡意活動會劫持電子郵件賬戶，並對郵箱中已有的郵件內容進行回復，在回復的內容中附帶惡意軟體。對已有郵件的回復，實際上是連續通信中的一部分，因此這種特殊的釣魚方式難以被用戶發現，也難以檢測。通常，受害者都沒有意識到他們正在遭受釣魚郵件的威脅。這些攻擊與今年早些時候Talos發現的URSNIF/GOZI惡意郵件活動非常相似，該惡意活動使用暗雲殭屍網路中部分被劫持的計算機向已有郵件發送回信，很可能是URSNIF/GOZI惡意郵件活動的升級版本或演變版本。根據迄今為止收集到的數據，我們發現該惡意活動主要影響北美和歐洲地區，同時在亞洲和拉丁美洲地區也發現了類似的攻擊。本次惡意活動的主要目標是教育、金融和能源行業。然而，此次惡意活動還影響到了其他行業，包括房地產、交通運輸、製造業和政府。值得注意的是，惡意垃圾郵件是作為正在進行的對話的一部分發送的，這使得目標用戶更難以檢測到。此攻擊系列與商業電子郵件攻擊（BEC）有一些相似之處，但沒有電匯欺詐。

勒索軟體仍然生命力旺盛

2018年第三季度北美地區的勒索軟體發展趨勢

GandCrab勒索病毒是2018年所發現的最流行的一種病毒，它於2018年01月面世，短短几個月的時間，就迭代了3次。第一次是因為其C&C被安全公司控制而被大眾所知，兩個月後新版的GandCrab勒索病毒又出現，在這個版本中，開發者使用極具挑釁意味的C&C地址(C&C地址中包含針對警方和安全公司的字元內容)。而在今年的5月份， GandCrab又進行了第3次迭代，該版本結合了第一次版本與第二次版本的代碼隱藏技術，更加隱蔽。第三版藉助CVE-2017-8570漏洞進行傳播，漏洞觸發後會釋放包含韓語「你好」字樣的誘餌文檔。與以往版本相比，該版本並沒有直接指明贖金金額，而是要求用戶使用Tor網路或者Jabber即時通訊軟體與他們聯繫。

可以看出，它的加密和解密程序以及它在系統中的持久攻擊性都得到了改進。勒索軟體代碼的更新和改進使其變得難以檢測。GANDCRAB之所以能有效迭代，是因為它有各式各樣的攻擊入口，包括EMOTET釣魚電子郵件、漏洞利用工具包，虛假應用程序和遠程訪問工具。

除了GANDCRAB，研究人員還在前五名中找到了其他熟悉的軟體，包括BLOCKER，NEMUCOD，LOCKY和WCRY。與2018年第二季度相比，北美勒索軟體的總體數量有所增加。

挖掘加密貨幣的惡意軟體也日趨流行

2018年第三季度的挖掘加密貨幣的惡意軟體，其中COINHIVE佔了大部分

挖掘加密貨幣的惡意軟體（cryptominer），已經成為2018年的最大威脅，在今年第一季度和第二季度這種攻擊的趨勢就有了明顯增長，特別是在第三季度這種增長趨勢更明顯了，這是因為加密貨幣已被大眾接受且其市場價值也在增加，這使其攻擊價值進一步得到提升。

挖掘加密貨幣的惡意軟體是將加密挖掘代碼載入到受害者的計算機上，通常使用偽裝的網路釣魚電子郵件或將惡意代碼注入網站和瀏覽器。一旦被感染，計算機就會大幅減速並出現性能問題，從而導致運行效率和硬體性能降低。

將勒索軟體與挖掘加密貨幣的惡意軟體進行比較

2018年勒索軟體和挖掘加密貨幣的惡意軟體之間的月度比較，請注意2018年8月勒索軟體的開始大幅增長的趨勢

在以前的文章中，研究人員曾討論了勒索軟體與其他威脅相比如何下降的問題，尤其是與挖掘加密貨幣的惡意軟體和信息竊取程序相比。但奇怪的是，研究人員觀察到2018年第三季度挖掘加密貨幣的惡意軟體增速卻下降了，而勒索軟體再次出現大幅增長，特別是在8月份，它的政府竟然高於挖掘加密貨幣的惡意軟體。

經過分析，這個趨勢主要得益於某些勒索軟體的變異使用，特別是GANDCRAB的變異再使用，這可以解釋勒索軟體在此期間的上升趨勢。特別是Fallout漏洞利用工具包的使用，它提供了額外的傳播方法，擴大了勒索軟體的攻擊範圍。在2018年8月底，Fallout漏洞利用工具包首次被發現，它被安裝在被黑客攻擊的網站上，並試圖利用訪問者計算機上的漏洞，這些可被利用的漏洞是Adobe Flash Player（CVE-2018-4878）和Windows VBScript引擎（CVE-2018-8174），它被用於傳播GandCrab勒索軟體以及其他惡意軟體，下載木馬程序以及其他用戶可能不需要的程序(PUP)。該工具包將首先嘗試利用VBScript，如果禁用腳本，則會嘗試利用Flash Player漏洞。

文件漏洞：EternalBlue和MS Office漏洞利用

嚴重的漏洞會給組織帶來了無法計量的損失，它們不僅會讓設備對隱蔽的攻擊毫無防範能力，而且檢測和更新設備的漏洞通常會分散有限的安全資源，並將IT管理員的注意力發生轉移。

根據研究人員捕獲的數據，2018年的前10個文件漏洞如下所示。

2018年檢測到的最流行的10個漏洞

大多數漏洞（包括2018年觀察到的一半以上）和CVE-2017-0147有關，該漏洞便是「永恆之藍」漏洞，它是2017年泄露的NSA網路武器庫中的一款攻擊程序，其中利用了多個Windows SMB服務的零日漏洞。這是與EternalBlue漏洞相關的漏洞，並在WannaCry勒索軟體出現期間成為最重要的被利用的漏洞。另外是兩個相對較新的漏洞：潛伏17年之久的Office遠程代碼執行漏洞（CVE-2017-11882）以及CVE-2017-0199漏洞。這兩個漏洞都是利用的MS Office產品，通常涉及垃圾郵件，其中CVE-2017-11882漏洞為Office內存破壞漏洞，影響目前流行的所有Office版本。

不出所料，由於CVE-2017-0147在各種Windows版本中濫用SMB漏洞，微軟Windows成為最具針對性的應用程序，與第二和第三大流行漏洞也與Windows有關。

受漏洞影響最嚴重的行業，除了前六名，還包括材料、餐飲、電信和房地產等行業

根據研究人員的監測數據，2018年前三個季度受影響最大的行業是醫療保健、製造和技術開發行業。這個趨勢在第一季度特別高，但從第二季度開始下降。雖然醫療保健在最初幾個月的漏洞檢測方面高居榜首，但在第二季度明顯下降，並在第三季度略有回升。

雖然大多數漏洞都是過去四年發現的，但研究人員也可以觀察到追溯到2003年的舊漏洞，可見及時升級漏洞是多麼的重要。

緩解措施

為了實現最高級別的保護，企業組織及其安全團隊必須始終主動保護其網路和終端，不僅要預防新的攻擊威脅，還要保護使用改進攻擊方法的老式攻擊。

對於擁有較小安全團隊且可能無法處理更高級威脅的企業而言，這可能是個難題。通常，一個企業的內部IT部門也是他們的安全團隊，然而這意味著IT部門在日常任務完成之後，還要進行安防這樣的額外工作，所以建議沒有專業安全團隊的公司使用外包安全服務。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！