根据CarbonBlack的最新研究报告,各位安全研究专家可要注意了,因为现在越来越多的攻击者在进行恶意活动时并不需要依赖恶意软件了。
根据该公司发表的这篇标题为《2016年非恶意软件攻击和勒索软件正在兴起》的报告,在今年的1月份,大约有3%的网络攻击利用的是目标系统中的应用程序漏洞以及合法进程。但是到11月份时,这种攻击方法的占比数量上升到了13%。报告中指出:“不依赖于恶意软件的黑客攻击活动目前已经到达了一种前所未有的高水平阶段,所以在2017年,安全研究专家们应该更加注意这种类型的恶意攻击活动。”
这项调查中的数据来源于一千多位CarbonBlack的客户,其研究结果至少涵盖了250万终端设备的安全状态。为了更好地衡量所谓的“非恶意软件攻击”(不依赖于恶意软件的攻击活动),调查人员将PowerShell和Windows Management Instrumentation(WMI)的恶意使用归纳进了“非恶意软件攻击”的范畴内。
报告中写到:
“通常情况下,攻击者在进行“非恶意软件攻击”的时候是不需要在目标主机中下载恶意文件的。即便如此,他们仍然能够在目标用户的计算机中进行各种恶意活动,例如窃取数据、盗窃用户凭证、或者监视目标主机所处的整个网络环境。” |
恶意软件PowerWare就是一个很好的例子,它可以使用目标主机中的PowerShell来下载并运行勒索软件。在PowerShell的帮助下,攻击者可以更好地隐藏自己的活动踪迹,因为PowerShell是一个合法的Windows工具,而这款工具的使用并不会引起反病毒产品的注意。同样的,有些攻击者还会利用Windows Management Instrumentation(WMI)来进行攻击,因为它也是Windows系统中的一个合法工具。
为了更好地研究这种类型的攻击活动,CarbonBlack还对它们进行了归类,并且对那些严重程度较高的“非恶意软件攻击”事件进行了单独地分析。报告表示,相较于2016年的第一季度,此类攻击活动的活跃度在2016年第四季度上升了33%。在接下来的90天内,大约有三分之一的组织将会遭受这种类型的恶意攻击。
报告中所定义的“严重攻击”指的是那些使用了可疑OS命令以及能够直接向PowerShell发送可执行代码的攻击活动。在这些攻击活动中还涉及到了其他的一些恶意攻击技术,例如动态执行shellcode,读取其他进程的内存数据,或者向其他正在运行的进程中注入恶意内容等等。
勒索软件正在兴起
这份报告还对目前正在兴起的勒索软件攻击进行了讨论。现在,企业遭受勒索软件攻击的事件数量正在不断攀升。相比于去年,今年企业受勒索软件攻击的事件数量上涨了50%,而攻击者的非法收入从去年的2400万美元增长到了现在的8亿5000万美元。
报告中写到:
“勒索软件已经成为了2016年全行业增长最为迅速的产业了。而在2015年,增长较为迅速的分别是科技公司、能源企业、公共事业公司、以及金融部门。” |
除了越来越普遍之外,勒索软件攻击的协同性也在不断提升。比如说,在上个月的一次勒索软件攻击事件中,攻击者一次性感染了旧金山交通运输管理局的2000多台计算机。
在所有的勒索软件中,Locky可以称得上是效率最高的了。在2016年,总共有四分之一的勒索软件攻击都与这款勒索软件有关,而Locky也是2015年使用频率排名前五的勒索软件之一。经过了一年的升级与更新,这款勒索软件现在已经可以通过Facebook和即时聊天信息来传播了。