集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

直击RSAC 2023 | 揭示黑客:下一代战术、技术和程序

2023-04-28

数字安全威胁一直是政企机构面临的最大挑战之一,黑客攻击不断进化,能够绕过安全防线的新技战术不断涌现,造成越来越多的损害。为了更好地应对这些威胁,政企机构需要使用最先进的安全技术和解决方案。


近日,CrowdStrike 首席执行官兼联合创始人George Kurtz 与 CrowdStrike 总裁Michael Sentonas在RSAC 大会上分享了关于《揭示黑客:下一代战术、技术和程序》的主题演讲,具体展示了黑客如何演变其攻击手法,使用接近无法检测的入侵技术来绕过网络攻击防御系统和安全杀链。


下一代黑客手法是什么?


CrowdStrike 通过一个案例来演示了某个经济犯罪(网络黑产)团伙,对业务流程外包和电信技术等目标行业在全球范围内发起攻击,其攻击动机为试图窃取组织的敏感数据并勒索公司或转售被盗取的账号信息以谋取暴利。


undefined


首先,黑客使用 Tails 操作系统、VPN 连接以及 DigitalOcean Droplets 等工具来隐藏自己的身份。


隐藏身份后,黑客制作仿冒的 Microsoft 网站并发送一封钓鱼邮件给受害者,诱使其输入个人信息并下载 AnyDesk 软件。当受害者在该网站输入用户名、密码或其他证书信息时,Evilginx2(一种开源的中间人攻击工具,能够绕过传统的安全防御措施和两步验证(2FA)等安全机制,窃取用户的登录凭据、会话令牌等敏感信息)会捕获输入数据,并进入受害者的机器。


入侵受害者主机后,黑客查看受害者的权限、所在组、主机命名约定等信息,并利用这些信息和受害者的权限尝试连接其他主机设备;并在第二台主机上安装AnyDesk软件,利用受害者的身份和权限,通过 PowerShell 操作 AD User,创建新用户并为其添加权限。


接下来,黑客会注册 MFA,使用新用户登录微软在线网站,拿到身份认证后获得二维码利用手机端扫码后进行身份授权设置。


最后,黑客将自己添加到 CRM 用户中,并连接 SQL 服务器,获取所有数据并通过 AnyDesk 软件拷贝,最终通过一系列操作将数据导出到USB存储设备上,并留下勒索信息。


该案例说明了现在的黑客已经不再拘泥于传统的攻击手段,他们甚至不需要使用恶意代码,仅依赖于现有的管理工具与命令就可以实现入侵,并且不会留下任何痕迹。


政企机构需要采取更加先进的安全技术和解决方案,来应对黑客的复杂攻击,加强员工安全意识教育,提高员工警惕性,完善安全管理体制,引入更加先进的安全技术来保护敏感数据免受黑客攻击的威胁。


如何防御?

面对不断加剧的安全风险,政企机构应该采取多层次的安全措施来检测和防御可能的钓鱼工程和潜在的黑客攻击,包括:

 

定期为员工提供钓鱼邮件识别和预防的培训,提高员工的安全意识,帮助员工识别钓鱼邮件的特征和行为。 



实施严格的邮件安全策略,包括限制附件类型、禁用外部链接等,采用有效的邮件过滤和反垃圾邮件技术,以减少钓鱼邮件的传播和风险。



使用反病毒软件,并定期进行更新和维护,以便及时检测和清除病毒和恶意软件。



使用EDR技术对终端设备进行监测和响应,通过对终端设备行为的分析和比对,及时发现和防御恶意攻击行为。



使用沙箱技术对可疑邮件、附件和链接进行检测和分析,助力更好地了解其行为和功能,判断是否存在恶意代码或行为。



定期更新系统和应用程序,以及时修复漏洞并降低攻击面。


 

实施有效的访问控制措施,限制未授权访问,加强对内部网络和数据的保护,限制敏感信息的访问和传输,加强密码策略。



实施有效的安全监控和响应措施,以便及时发现和应对安全事件和攻击,包括实时监控网络流量、终端设备行为和日志信息,采用自动化响应和隔离技术对安全事件进行快速响应和处理。


360沙箱云是一个面向政府部门、银行、企业等组织机构和安全分析人员的的在线高级威胁分析平台。基于360数字安全大脑的全面赋能,其能够提供全面精准的样本风险判定、高级威胁识别和完整的执行过程还原等云服务,助力政企机构构建起更加强大和即时的攻击检测和威胁感知能力。 


当遇到可疑样本或 URL,用户只需将样本上传至360沙箱云高级威胁检测平台,即可得到完整的威胁分析报告。360沙箱云具有数千项行为判定规则,包括数百种威胁家族、威胁团伙组织及行为特征标签,以及数百种支持匹配样本静态信息的静态规则,可以为用户提供样本完整的行为判定依据,帮助用户深入理解其攻击手段和动机,以便及时采取安全响应措施。

undefined


以当前案例为例,公司员工在收到可疑短信/邮件后,应及时上报公司安全部门,安全部门工作人员或员工本人可以先将短信中的 URL 链接或者邮件文件投递到360沙箱云高级威胁检测平台,360沙箱云内置强大的静态分析引擎和行为检测引擎,可以自动提取邮件附件及邮件正文中的 URL 链接,进行全方位地扫描和检测。


除此之外,360沙箱云还支持人智模拟技术,可以模拟用户行为,自动输入用户名及密码等信息,从而进一步检测样本下一阶段的行为。当检测结果中有恶意行为或可疑行为,安全部门或员工就应该提高警觉,认真确认邮件的来源并提醒其他员工,以免遭受黑客的攻击。



高级威胁通常采用新型技术,具有高危害性及强隐蔽性的特点,难以被检测发现。360沙箱云基于机器学习的威胁识别技术,以及基于海量样本的高级威胁发现和溯源技术,能够立足于应用层和内核层行为监控,聚焦于已知漏洞识别和漏洞利用行为检测,可以有效地发现未知威胁、APT 攻击甚至 0day 漏洞。

undefined



随着人工智能技术的不断发展,360沙箱云也迎来了新的突破,即将推出基于大语言模型的沙箱云分析助手(目前处于内测阶段),能够通过自然语言处理技术将分析结果以易于理解的语言输出,不仅降低了用户的学习门槛,同时也大大提高了威胁研判分析的效率。


在更新后,360沙箱云不仅将可以把分析报告中的重点威胁标识出来,帮助用户在分析报告中理解和寻找关键信息;还可以通过直观语言描述样本的威胁程度和安全风险,帮助政企机构以快速、准确地了解威胁并采取适当的行动,从而保护网络免受黑客攻击的伤害。