不要低估憑證盜竊惡意軟件

童岳

在過去的2018年里，我們看到了各種威脅，特別是在歐洲。雖然歐洲繼續(xù)在有組織的網(wǎng)絡犯罪集團和網(wǎng)絡間諜團體的有針對性攻擊中掙扎，但我們觀察到的另一個威脅是，幾乎每個行業(yè)都對許多組織提出了挑戰(zhàn)。有些人可能認為答案是勒索軟件。當然，勒索軟件仍然是一種威脅，但我們實際上已經(jīng)觀察到勒索軟件檢測的持續(xù)減少。

這是一種始于2017年底并且相當一致的趨勢，就是憑證盜竊惡意軟件。在2018年，網(wǎng)絡犯罪分子和其他攻擊者繼續(xù)使用憑證盜竊惡意軟件，一切都是從憑據(jù)盜竊惡意軟件作為網(wǎng)絡釣魚電子郵件中的附件到通過漏洞利用工具包分發(fā)惡意軟件。

憑據(jù)盜竊惡意軟件與其他類別

通過分析2018年1月1日至2018年12月31日的動態(tài)威脅情報的威脅檢測結果，可以看到歐洲所有檢測到的威脅中有近50 %屬于憑證盜竊惡意軟件的范疇。

歐洲新興挑戰(zhàn)

憑證盜竊惡意軟件是一個全球性問題，來自世界各地的組織都面臨風險。尤其是歐盟成員國，這是一個特別嚴峻的挑戰(zhàn)，需要牢記2019年。原因是歐盟繼續(xù)長期關注數(shù)字化。這些數(shù)字化舉措側重于各種類別，從確保歐盟公民的高速連接到歐盟公民與政府的互動方式，以及歐盟企業(yè)和公民在線開展業(yè)務的可能性。

從威脅的角度來看，改進的連接性擴展了網(wǎng)絡威脅的表面區(qū)域，但更重要的是，數(shù)字公共服務的持續(xù)擴展可能成為竊取憑證和通過政府門戶網(wǎng)站提交潛在敏感信息的一個重要領域。

2017年，58 %需要公共服務的歐盟公民選擇上網(wǎng)、提交表格和使用政府門戶網(wǎng)站。

2018年9月29日，歐盟范圍內(nèi)的選舉識別立法（eIDAS法規(guī)）生效，使跨境識別電子身份證成為可能。數(shù)字單一市場戰(zhàn)略中的一些舉措旨在提高歐盟公民、政府和企業(yè)的效率，并可能降低政府的成本。

潛在的威脅情景

以前我們曾觀察到主要針對金融服務行業(yè)客戶的憑證盜竊惡意軟件；然而，整個2018年憑證盜竊惡意軟件使用的增加意味著我們將看到一個場景，在未來的惡意軟件配置文件中將采用歐盟中心系統(tǒng)的憑證。例如政府、醫(yī)療保健、薪資系統(tǒng)和其他敏感系統(tǒng)。還有其他一些注意事項：

在整個2018年，我們觀察到各種網(wǎng)絡犯罪分子將大量被盜資金用于出售，以及直接訪問公司基礎設施。

多年來值得注意的憑證盜竊惡意軟件家族擴展了他們的目標，包括主要的在線零售商、賭博網(wǎng)站和金融服務行業(yè)以外的其他網(wǎng)站。

從網(wǎng)絡間諜威脅的角度來看，威脅行為者可能更有意購買被盜憑證或訪問基礎設施的所謂訪問權限，繞過最初的入侵步驟。

缺乏基本安全基礎知識，其中身份和訪問管理對許多組織來說仍然是一個挑戰(zhàn)。許多尚未實施多因素身份驗證的事實只會使威脅參與者和惡意軟件更容易有效獲取憑據(jù)，這可能允許訪問敏感系統(tǒng)。

如何在其網(wǎng)絡攻擊中利用合法憑據(jù)的報告。這里有一些例子：

使用魚叉式網(wǎng)絡釣魚電子郵件竊取合法憑據(jù)的組織，從而獲得了合并和獲取信息。

通過使用在其入侵中被盜的合法憑據(jù)攻擊支付系統(tǒng)并獲得對信用卡記錄的訪問權限。

針對銷售點系統(tǒng)的攻擊中使用合法憑據(jù)，為信用卡記錄刮取內(nèi)存。

雖然其他惡意軟件類別（如勒索軟件）傾向于竊取大多數(shù)頭條新聞，但要相信組織和政府需要更加了解憑據(jù)竊取惡意軟件帶來的威脅。雖然這是一個全球性威脅，但在歐洲尤其嚴重，特別是考慮到快節(jié)奏的數(shù)字化戰(zhàn)略。最終，每個企業(yè)都不能忽視憑證在網(wǎng)絡空間中的價值，必須確保在敏感和非敏感通信中濫用被盜憑證的風險。