2024年的网络安全挑战（网络犯罪视角）

配图由GPT4生成

专业的网络犯罪团伙对网络安全的冲击一直在引起广泛关注，这使得曾经在科技领域中算是冷门的网络安全话题成为了大众讨论的焦点。2023年，勒索软件团伙的攻击导致了港口、医疗机构、城市和大企业的混乱。如今，网络事件已经成为引发关注的头条新闻，给我们的个人生活、企业和国家安全的信息技术（IT）系统带来了痛苦和混乱。

因此，决策者和政府正在不断制定和执行应对这一情况的战略。这些战略包括建设网络韧性组织、加强公私合作伙伴关系、瓦解网络犯罪生态系统，尤其是如何追究罪犯责任。今年，全球执法机构合作打击了一些网络犯罪分子，包括Hive勒索软件团伙、Genesis访问市场、Breached网络犯罪论坛和Qakbot僵尸网络。监管机构也越来越多地介入网络安全，要求更快的网络事件披露。他们还关注组织是否能够证明他们的信息安全计划足以应对风险。此外，一些问题涉及到供应商如何在设计阶段改进产品安全性，以及是否应该像消费品领域一样追究软件制造商对有缺陷产品的责任。

2023年，网络犯罪地下世界更加活跃。我们的分析师通过研究恶意软件样本、数据泄露、软件漏洞以及威胁行为体之间的对话，来了解不良行为体如何破坏系统。组织继续面临来自初始访问经纪人（IAB）分发的信息窃取恶意软件的持续攻击，这些经纪人专门破解网络并销售访问权限。网络钓鱼活动依然是窃取凭据的常见手段，有时甚至能够窃取会话令牌以获取进一步访问权限。漏洞利用也成为攻击组织的最受欢迎的方法之一。威胁行为体有时会利用零日漏洞（0day），这常常会引起轰动，但事实上，大多数组织都是因为存在已经发布了一段时间的漏洞而受到攻击。这累积导致了一个局面，即组织最大的风险之一是遭受勒索软件攻击。

这些趋势给防御者带来了挑战，但通过从威胁行为体和攻击组收集的网络威胁情报（CTI），我们有机会防止或遏制恶意活动。在过去的一年中，我们有时能够在开发利用之前预测哪些漏洞可能被利用。我们的恶意软件情报团队处理了来自恶意软件活动的指标，有助于实时防御。我们从数据泄露和其他渠道收集了大量被盗的凭据，这些凭据可以提供线索，例如终端是否已被信息窃取者感染。没有泄漏是孤立事件——通常都会有一些先兆，表明组织存在风险，而网络威胁情报往往能够提供帮助。

本文概述了过去一年犯罪地下和网络安全领域的一些重大趋势，并展望了2024年可能发生的事情。

勒索软件将加剧

2022年初，俄乌冲突爆发，勒索软件领域发生了重大混乱。一些曾合作的乌克兰和俄罗斯威胁行为体由于战争而分裂。随着组织重新组织和新的变种出现，勒索软件攻击略有下降。但那个时期结束了，混乱平息了。在2023年，勒索软件激增。

攻击受到了零日漏洞和N日漏洞的推动，威胁行为体通过IAB购买对被黑组织的访问权。在过去的几个月里，我们看到了针对医疗机构和金融服务的激烈攻击活动。在可预见的未来，这种情况不太可能减轻。勒索软件即服务（RaaS）提供的服务，即威胁行为体与恶意软件和基础设施提供商合作，是经过调优并不断壮大的生态系统，使技能较差的行为体能够进入勒索软件领域。

在2022年，我们看到了48种勒索软件变种在流通。今年增加到了68种变种。尽管执法和情报机构高度专注于破坏这些生态系统，并取得了显著和令人印象深刻的成功，但这种活动需要扩大规模以产生重大影响。各国在反勒索软件倡议上同意政府不应支付赎金。澳大利亚表示，禁止支付赎金在某种程度上是“不可避免的”。一些美国州已经迈出了这一步，禁止政府支付赎金。

我们预计更多的国家将以打击勒索为一种将网络犯罪制服的手段。最好的防御是预防，而大多数勒索软件都可以通过正确的情报来预防。修补漏洞，特别是互联网面向的应用程序的漏洞，至关重要。监控网络犯罪分子的地下活动，寻找出售访问权限和被盗凭证的威胁行为体，也可以在勒索软件安装之前提供重要的提醒。

人工智能是一张王牌

机器学习（ML）、大型语言模型（LLMs）和人工智能（AI）的迅猛发展在今年颠覆了技术。目前尚不清楚AI是否会证明自己是被吹捧的改变游戏规则的因素，或者是否像一些人担心的那样，对人类构成存在威胁。然而，网络犯罪分子对于如何将AI整合到他们的操作中很感兴趣。尽管迄今为止似乎没有一个对网络犯罪分子来说是致命的AI应用，但它的强大之处可能有助于一些网络犯罪分子必须执行的一些单调的后端工作。

网络犯罪即服务的出现，这是威胁行为体相互提供的集体商品和服务的术语，以专业化、规模和效率为重点。AI的整合例子包括使用LLMs来筛选大量被盗数据，以识别在勒索公司时提到的最重要的细节，或者利用聊天机器人进行初步的勒索谈判。另一种假设的创新可能是一种AI工具，可以根据被盗的数据计算组织愿意支付的最大赎金。

在2023年第二季度，我们报道了一些演员在他们的提供中实施AI的例子，其中包括一家IAB提供使用AI进行免费翻译服务。在2023年5月，我们报道了一个威胁行为体提供的一种据称可以绕过ChatGPT限制的工具，以及与电子邮件垃圾邮件有关的一个演员据称将OpenAI的技术整合到草拟垃圾邮件的软件中 - 这显然是应用AI的一种方式。

AI和ML工具能够通过视频和音频进行身份冒充，对身份和访问管理构成威胁。通过AI生成的视频现在相当容易被检测出来，但合成的语音克隆对使用语音生物识别作为身份验证流程一部分的组织来说确实构成威胁。我们仍然评估AI在更复杂的网络犯罪中不能完全依赖，以其当前的形式很可能会产生错误的结果。但这个领域发展得如此迅速，以至于很难看到未来会发生什么。开源LLMs和服务的广泛传播 - 其中一些是在不设防以防止恶意使用的意图下建造的 - 意味着这个领域仍然是一张王牌。

执法机构将向“社区”施加压力

数十次由使用英语的威胁行为体发起的攻击引起了对一个被宽泛称为“社区”或“The Com”的长期威胁行为体组的关注。该组及其子组（也被称为Scattered Spider、Muddled Libra、Starfraud、UNC3944、Scatter Swine、Roasted 0ktapus、0ktapus）包括大量主要是中低级别技术威胁行为体，但也有一小部分高度技术能力的行为体。

这些组织在过去的几年里一直在不断发展和提升技能。其中一个组是LAPSUS$，专注于SIM交换、游戏黑客、恶作剧电话报警和加密货币盗窃。除了受到SIM交换影响的电信公司，它通常不被视为对企业安全构成威胁。然而，这在2023年发生了变化，出现了不断的攻击和入侵。一些与“The Com”有关的人开始与ALPHV（也称为BlackCat RaaS）合作。这标志着一种相对罕见的联盟，因为勒索软件行为体主要集中在东欧，有时表示不愿与讲英语的人合作。对MGM Resorts和Caesars Entertainment进行的勒索软件和敲诈攻击被认为与这些威胁行为体有关。据信，“社区”还与业务流程外包（BPO）公司和身份提供商的攻击有关，运行高效的网络钓鱼活动以获取登录凭据。一些组成员利用高超的社交工程技能欺骗帮助台将多因素身份验证（MFA）令牌重置或重新分配到新设备上。

尽管这些威胁行为体多次失败，但它们非常有持续性。一旦获得访问权限，它们通常会阅读有关流程和程序的内部文档，并利用这些知识来实现更深层次的访问。它们甚至加入了组织的事件响应电话。这些行为体将在明年继续构成威胁，尽管可以预期执法机构将在2024年施加压力并可能逮捕他们。然而，这种前景受到一些威胁行为体可能是未成年人的信仰的影响，这限制了法院的选择。

供应链风险无处不在

我们预计威胁行为体将寻找通过供应链进行攻击的机会。大多数组织不是孤立运作的，越来越依赖于第三方合作伙伴和供应商。网络犯罪分子在这些关系中看到了机会，并利用这些关系中的弱点来提取数据。一个组织可能具有坚固的安全性，但威胁行为体将寻找其供应商和与其建立了现有关系的其他组织作为入口。

在过去的十年中，一些最突出的攻击被归类为供应链攻击，包括2017年的NotPetya、2020年的SolarWinds和2021年的Kaseya。我们在2023年也看到了这一现象。作为身份服务的最大提供商之一，Okta经历了攻击者试图获取其客户访问权限的事件。攻击者还进入了3CX系统，该系统开发了一种广泛使用的私有分支交换（PBX）软电话系统。攻击者在该公司的Windows和macOS上为其VoIP桌面应用程序制作了一个木马化的更新，该应用程序与恶意基础设施联系，最终安装了窃取信息的恶意软件。

威胁行为体利用公司与其他组织（包括软件供应商）之间的不安全关系。因此，如果一家企业保持强大的网络安全标准，但与一个安全性较低的供应商合作，这个第三方就有可能为攻击者提供进入组织防御的途径。在供应商网络中站稳脚跟后，威胁行为体可以通过供应链在最初更安全的网络中使用这种可信赖的关系。这些攻击可能会产生灾难性的连锁效应。第三方风险无法完全消除，但有一些措施可以帮助检测和减轻它。这些措施包括持续监测和评估供应商的安全状况，采用零信任原则，并利用威胁情报以了解新兴威胁、漏洞和战术、技术和程序（TTP）。

监管机构失去耐心

全球监管机构有一个明显的趋势：他们对掩盖数据泄露的组织失去了耐心。因此，数据泄露报告要求不断加强。美国证券交易委员会（SEC）一直在这一领域处于领先地位。2023年12月的新规定要求组织报告“重大”网络安全事件。美国网络安全和基础设施局（CISA）也正在起草规定，要求将勒索软件事件专门报告给政府。2022年的关键基础设施网络事件报告法案最终将要求关键基础设施机构在72小时内向CISA报告事件，并要求在24小时内报告勒索款项。澳大利亚也正在起草关于勒索软件和勒索款项报告的要求。

此外，有迹象表明，监管行动可能会更加针对安全高管。2023年11月，SEC在一起民事诉讼中声称，SolarWinds及其首席信息安全官Timothy Brown违反了证券法，因为未准确披露公司的网络安全实践。此举发生在对SolarWinds发生供应链攻击的披露四年后，该攻击感染了包括美国联邦政府机构在内的18000家组织。这个案例将对首席信息安全官产生长期影响。如果Brown被禁止担任董事级别职务，那么优秀的首席信息安全官可能会减少在最需要他们技能的公司工作的个人风险。因此，组织需要根据其风险水平运行与之相称的安全计划。在操作层面上，这意味着拥有灵活的检测能力和威胁搜索团队，这些团队可以利用威胁情报在攻击者深入入侵之前进行防御。

面向互联网的企业软件是攻击目标

今年，勒索软件组织迅速发动攻击，利用面向网络的设备和企业软件的漏洞。在2023年5月，CLOP网络犯罪组织利用Progress Software的MOVEit托管文件传输软件的全新漏洞，搞了一次史上最大规模的数据泄露，超过2500个组织遭受影响。这次攻击不是用文件加密的勒索软件，而是CLOP趁机攻击了面向互联网的MOVEit门户，把数据给拿走了。然后，他们用勒索的手段威胁这些组织。有多达一半的医疗机构为了防止数据被发布到CLOP的数据泄漏站点，不得不掏钱付赎金。

到了2023年10月，Citrix的NetScaler应用交付控制器（ADC）和Gateway产品的漏洞被曝光，勒索软件的行动者们马上找到了有问题的设备并发动了攻击。这种威胁将会贯穿整个明年，因为各个组织都在购买或资助对广泛使用软件的漏洞进行研究。组织必须充分清点他们的软件资产，了解他们自己攻击面的广度，特别是要知道攻击者可以通过设备搜索引擎如ZoomEye（“钟馗之眼”）、Shodan和Censys看到哪些应用程序。组织还必须了解如果出现新的漏洞，将这些服务下线对运营的影响，并更安全地配置服务，或者用更安全的替代方案替换它们。

总结

希望这篇文章为我们在2024年预见到的趋势提供了一些了解。在一些领域里，这些挑战将会在很多年内持续存在。消灭勒索软件、修复软件供应链，以及构建安全设计的软件都是长期的问题。尽管网络安全行业有一些看似悲观的黑色幽默（比如说，一个组织是否会被攻击不是问题，而是一个什么时候的问题），但我们并不必接受被攻击是不可避免的事实。有了正确的数据和情报，防守方可以加强对抗攻击的能力，我们已经看到了这种积极的情景。对手可能在创新，但我们完全可以保持领先。

 

原文始发于微信公众号（天御攻防实验室）：2024年的网络安全挑战（网络犯罪视角）