许多最成功的网络犯罪分子都很精明;他们想要良好的投资回报率,但他们不想重新发明轮子才能获得它。
很明显,网络犯罪是世界上最赚钱的非法产业之一——可能占据头把交椅。由于与投资回报相关的自有品牌关键绩效指标,威胁行为者的策略变得更加细致和富有创造力,甚至恢复了过时和被遗忘已久的技术。毕竟,如果成功翻拍一部经典影片可以产生新的收入,制片人会欣然接受。
许多最成功的网络犯罪分子都很精明;他们想要良好的投资回报率,但他们不想重新发明轮子才能获得它。这就是他们利用现有基础设施和旧威胁来最大化机会的原因之一。作为一名安全专家,需要了解攻击者的意图,以便可以适当地集中资源。
重塑经典
当 FortiGuard Labs 研究团队展望 2022 年下半年时,代码重用(旧代码被改造成新版本)以及僵尸网络、恶意软件和擦除器空间中知名名称的重新出现——例如 Emotet 和 GandCrab,其中 - 提醒人们威胁和恶意软件永远不会真正消失。他们只是退到地下,等待另一个机会。任何想购买的人都可以随时批发购买。
事实上,观察到的大多数顶级恶意软件都存在了一年多。某些恶意软件类型已被网络安全标准淘汰。许多合法的软件计划回收代码以在已建立的基础上创建新的应用程序,这为改进留出了空间。每个版本也有可能分支并发展成不同的东西,并且可以改进、修改和再次发布代码。
当犯罪分子以这种方式更改他们的“应用程序”时,它会是什么样子?让我们以 Emotet 为例。
Emotet 就是不会退出
Emotet 于 2014 年作为银行木马首次被发现,并继续造成严重破坏。该恶意软件家族从受害者的计算机中窃取敏感和私人信息,已经感染了超过一百万台设备,被认为是十年来最危险的威胁之一。最近,它通过恶意 Microsoft Office 文件(称为 maldocs)传播,这些文件包含在网络钓鱼电子邮件中。Excel 4.0 宏或 VBA 宏用于运行恶意代码,一旦受害者打开相关文档,就会下载并启动 Emotet 恶意软件。
研究人员调查了 98 种不同的 Emotet 变体相互“借用”代码的倾向。我们发现 Emotet 自最初浮出水面以来的九年里经历了重大的物种形成。我们发现,使用相当复杂的网络社区检测算法,这 98 种变体可以分为大约六种不同的恶意软件“种类”,实际上所有这些变体至少共享部分代码。
最初是一个银行木马,现在已经变成了一个恶意软件分发僵尸网络。Emotet 使用垃圾邮件进行传播,在访问系统后,它会通过连接到该系统的联系人列表继续这样做。Emotet 于 2021 年 1 月消失,但它具有弹性,并于当年 11 月卷土重来。总部设在俄罗斯的犯罪组织 Conti 被认为在 2022 年 5 月之前一直在使用 Emotet,当时该组织被关闭。
Emotet 之所以强大,是因为它主要依赖于其打包程序的多态性,使其能够轻松绕过遗留的 AV 工具。Emotet 的创建者也在改变他们的行为方式,调整策略以避免被发现,并增加他们的预期目标打开垃圾邮件的可能性。在夺取一台计算机的控制权后,它会利用受害者的电子邮件帐户和收件箱发起后续攻击。
对抗复古潮流
赢得代码重用和变体频率之战的关键在于响应时间。您快速防御、识别和化解此类风险的能力决定了您的安全立场是否成功以及您将敌人拒之门外的能力。云、网络、端点和电子邮件都必须具有自动化和集中管理的防御。在整个分布式网络中使用诸如分段之类的策略可以在架构设计发生变化时更轻松地检测和停止跨基础架构的横向移动。
最后但并非最不重要的一点是,由机器学习提供支持的分析将有助于将非典型行为与需要立即评估和采取行动的警告相关联。基于AI/ML的工具还可以检测 Emotet 等病毒的新突变。对于决心保护其环境的企业,在攻击者的 TTP 配置文件上运行 MITRE ATT&CK 系统并定期测试针对您的网络安全工具的新策略至关重要。攻击模拟的解决方案和服务可以帮助进行差距分析和关闭。
战胜危险趋势
就像我们最喜欢的童年电视节目的有线重播一样,恶意软件世界中的一切旧事物都是新的。但与那些节目不同的是,恶意软件不是一种受欢迎的消遣娱乐,而是一种必须主动应对的严重威胁。Emotet 只是组织需要注意的当前恶意软件重启趋势的一个例子。使用上述防御策略来抵御这种危险的翻新迭代。