BEC隨著遠(yuǎn)程辦公地增加呈直線上升
從 2014 年到現(xiàn)在,,研究人員已經(jīng)確定了 170700 多個直接由尼日利亞 BEC 攻擊者發(fā)起的惡意軟件樣本,,該數(shù)據(jù)集是整個網(wǎng)絡(luò)安全行業(yè)中最全面的 BEC 攻擊指標(biāo) (IoC) 集合,。這些樣本在針對超過 226 萬次網(wǎng)絡(luò)釣魚攻擊中被觀察到,。
隨著時間的推移,,研究人員已采取措施從該數(shù)據(jù)集中分析攻擊趨勢,,以增強網(wǎng)絡(luò)防御者的能力。研究人員觀察到,,2014 年至 2017 年期間,,Pony、LokiBot 和 AgentTesla 等信息竊取程序的使用率穩(wěn)步增長,。隨后,,隨著工具可用性的下降,行業(yè)檢測率和攻擊者的技術(shù)技能均有所提高,,近年來有所下降,。因此,從 2018 年到 2020 年,,研究人員見證了 RAT 的快速采用,,其中最受歡迎的是 NanoCore、Adwind,、Remcos,、Netwire 和尼日利亞開發(fā)的 HWorm 變體,稱為 WSH RAT,。
然而,,雖然研究人員看到 SilverTerrier 攻擊者繼續(xù)穩(wěn)步增長和采用 RAT,但對 2020 年到 2021 年上半年的分析發(fā)現(xiàn),,考慮全球生態(tài)系統(tǒng)對其活動的影響也很重要,。在新冠疫情爆發(fā)前,每年強調(diào)新工具是有意義的,,因為網(wǎng)絡(luò)犯罪論壇上面向攻擊者銷售的工具經(jīng)常發(fā)生變化,。盡管在整個大流行期間這種情況在一定程度上持續(xù)存在,但現(xiàn)實情況是,,在過去一年半的時間里,,研究人員沒有觀察到 BEC 攻擊者對新工具有任何重大功能突破。相反,,研究人員的分析顯示,,這些攻擊者通常選擇堅持使用具有展示能力和性能的已知工具。在此過程中,,他們將注意力集中在調(diào)整和調(diào)整其傳播活動以適應(yīng)不斷變化的全球環(huán)境,。
如果從技術(shù)的角度考慮大流行的影響,許多人會覺得,,全球大部分勞動力都轉(zhuǎn)向了遠(yuǎn)程工作,。根據(jù)雇主的規(guī)模和資源,員工開始利用 VPN 解決方案、雇主提供或個人計算設(shè)備以及家庭互聯(lián)網(wǎng)連接,。這些發(fā)展極大地改變了企業(yè)網(wǎng)絡(luò)安全保護的應(yīng)用方式,,比過去十年中的發(fā)展都要大。此外,,這種轉(zhuǎn)變甚至可能影響員工的風(fēng)險承受能力,。例如,增加對網(wǎng)絡(luò)釣魚電子郵件的懷疑,,因為他們的工作設(shè)備現(xiàn)在已連接到家庭網(wǎng)絡(luò),。結(jié)果,BEC 攻擊者看到全球攻擊面發(fā)生了巨大變化,,因此需要改變他們的傳播主題和技術(shù),。
在 2019 年,經(jīng)??吹?BEC 攻擊者將新的惡意軟件載荷構(gòu)建為可移植的可執(zhí)行文件(,。exe 文件),并使用具有商業(yè)主題(如發(fā)票或交貨通知)的網(wǎng)絡(luò)釣魚活動傳播它們,。當(dāng)時,,微軟Office文件格式有時也會被利用,增加了一層復(fù)雜性和模糊性,。開發(fā)這些文檔時最常用的兩種技術(shù)包括CVE-2017-11882的利用代碼或嵌入惡意宏,。在這兩種情況下,這些文檔在打開時都旨在從在線資源中調(diào)用,、下載和運行惡意載荷,。然而,在研究人員 2019 年分析的所有樣本中,,只有 3.5% 使用了宏,,只有 3.6% 使用了 CVE-2017-11882 技術(shù)。
早在2020年1月,,釣魚誘餌就開始使用與大流行相關(guān)的主題,,隨著主題的改變,目標(biāo)受眾和傳播數(shù)據(jù)包也發(fā)生了變化,。雖然可移植的可執(zhí)行文件仍然很流行,但研究人員觀察到 Microsoft Word 和 Excel 文檔的數(shù)量顯著增加,。到今年年底,,帶有嵌入式宏的Microsoft Office文檔保持在3.5%的穩(wěn)定水平,但使用熟悉且文檔齊全的CVE-2017-11882的文檔攀升至13.5%,。
幸運的是,,CVE-2017-11882現(xiàn)在是一個存在了4年的漏洞,它的有效性和使用會隨著時間的推移而減弱,這是有道理的,。相反,,宏具有更持久的存在,因為它們相對容易編碼,,并依賴于毫無戒心的受害者啟用它們,。在回顧我們2021年上半年的遙測數(shù)據(jù)時,我們的初步發(fā)現(xiàn)顯示,,只有很少數(shù)量的惡意軟件樣本使用了CVE技術(shù),,而69%的惡意軟件樣本現(xiàn)在是帶有嵌入式宏的Office文檔。
我們知道,,新冠疫情推動了支持遠(yuǎn)程工作的各種技術(shù)(云計算,、視頻會議等)呈指數(shù)級發(fā)展。與此同時,,研究人員也發(fā)現(xiàn)打包為 Office 文檔的惡意軟件驚人的增長曲線——從 2019 年的 7% 上升到 2020 年的 17%,,再到 2021 年的 69%——值得進一步調(diào)查。深入研究后,,研究人員發(fā)現(xiàn),,到2021年中期,打包成Office文檔的惡意軟件樣本的原始數(shù)量已經(jīng)達到或遠(yuǎn)遠(yuǎn)超過研究人員在前幾年觀察到的年度樣本數(shù)量,。因此,,研究人員仍然相信該趨勢還存在很大的增長空間。
與此同時,,研究人員認(rèn)為,,在2020年年中至2021年初期間,全球幾乎所有企業(yè)都修訂了其網(wǎng)絡(luò)安全態(tài)勢,,改變了環(huán)境中的設(shè)備,,重新構(gòu)建了網(wǎng)絡(luò)流量,并加強了網(wǎng)絡(luò)安全政策,,以支持遠(yuǎn)程工作,。在分析威脅趨勢時,必須考慮這些變化的影響,。這些調(diào)整在宏觀層面結(jié)合應(yīng)用,,顯著改變了邊界(防火墻)和主機(端點)層面的攻擊可見性。例如,,在企業(yè)工作環(huán)境中進行網(wǎng)絡(luò)安全分析后可能允許的附件在遠(yuǎn)程工作環(huán)境中可能已被默認(rèn)阻止,。根據(jù)實施情況,此類更改將降低網(wǎng)絡(luò)安全公司對攻擊的可見性,。因此,,幾乎不可能在大流行前和大流行后的攻擊活動之間進行比較,,因為整個網(wǎng)絡(luò)安全行業(yè)的收集態(tài)勢發(fā)生了巨大變化。研究人員將這一經(jīng)驗應(yīng)用于研究人員對惡意 Office 文檔的觀察,,并評估研究人員 2021 年 69% 的初步調(diào)查結(jié)果可能是由于過去一年收集狀況的變化而人為夸大的,。
緩解BEC攻擊
政府層面
2018 年,F(xiàn)BI 發(fā)起了第一次針對 BEC 攻擊者的全球活動,,稱為“WireWire 行動”,。在六個月的時間里,通過與 Palo Alto Networks,、FlashPoint,、國家網(wǎng)絡(luò)取證培訓(xùn)聯(lián)盟 (NCFTA) 和其他幾個機構(gòu)的密切合作,執(zhí)法機構(gòu)能夠逮捕全球 74 名攻擊者,。一年后,,聯(lián)邦調(diào)查局發(fā)起了“連線行動”(Operation Rewired),在該行動中,,全球又逮捕了281名攻擊者,。其中包括與EFCC密切協(xié)調(diào)在尼日利亞被捕的167人。
2020 年 6 月,,一名名為“Hushpuppi”的尼日利亞社交媒體網(wǎng)紅在迪拜被捕,。他隨后被聯(lián)邦調(diào)查局起訴,盜竊了超過 2400 萬美元,。
2020 年 11 月,,國際刑警組織與 NFP 一起逮捕了三名尼日利亞攻擊者,他們被指控使用 26 個不同的惡意軟件家族在 150 多個國家/地區(qū)對受害者進行 BEC 活動,。
企業(yè)預(yù)防措施
1.查看網(wǎng)絡(luò)安全策略,,企業(yè)應(yīng)重點關(guān)注員工可以在連接到公司網(wǎng)絡(luò)的設(shè)備上下載和打開的文件類型(便攜式可執(zhí)行文件、帶有宏的文檔等),。此外,,應(yīng)建立 URL 過濾規(guī)則以限制對以下類別域的默認(rèn)訪問:新注冊、內(nèi)容不足,、動態(tài) DNS,、停放和惡意軟件。
2.定期檢查郵件服務(wù)器配置,、員工郵件設(shè)置和連接日志,。重點關(guān)注識別員工郵件轉(zhuǎn)發(fā)規(guī)則和識別郵件服務(wù)器的外部或異常連接。如果可能,,請考慮實施地理 IP 阻止,。例如,小型本地企業(yè)不需要來自外國的登錄嘗試,。
3.進行員工培訓(xùn),。常規(guī)網(wǎng)絡(luò)攻擊意識培訓(xùn)是其中的一個組成部分;但是,,組織還應(yīng)考慮針對其銷售和財務(wù)組成部分進行量身定制的培訓(xùn),。
4.每年定期進行攻擊風(fēng)險評估,以測試組織控制并驗證環(huán)境中沒有發(fā)生未經(jīng)授權(quán)的活動,。通過定期查看郵箱規(guī)則和用戶登錄模式,,這些評估可以驗證控件是否按預(yù)期運行,以及是否在整個環(huán)境中有效阻止了不需要的行為,。
