近日，卡巴斯基在其安全博客Securelist上發(fā)布了2020年APT威脅全景圖，并在2020年現(xiàn)狀基礎(chǔ)上，給出了對(duì)2021年APT網(wǎng)絡(luò)安全威脅的八大趨勢(shì)預(yù)測(cè)。

一、APT組織從網(wǎng)絡(luò)罪犯那里購(gòu)買初始網(wǎng)絡(luò)訪問權(quán)限[[355745]]

去年，我們觀察到許多使用通用惡意軟件(例如Trickbot)的針對(duì)性勒索軟件攻擊，從而在目標(biāo)網(wǎng)絡(luò)中立足。我們還觀察到有針對(duì)性的勒索軟件攻擊與成熟的地下網(wǎng)絡(luò)(如Genesis)之間的聯(lián)系，后者通常是被盜憑證的交易場(chǎng)所。2021年，APT組織在實(shí)施攻擊時(shí)將延續(xù)這一做法，因此，企業(yè)也應(yīng)更加關(guān)注通用惡意軟件的防范，并在每臺(tái)受感染的計(jì)算機(jī)上執(zhí)行基本的事件響應(yīng)活動(dòng)，以防止通用惡意軟件(所竊取的憑據(jù))被用于部署復(fù)雜攻擊。

二、越來(lái)越多的國(guó)家將法律起訴作為其網(wǎng)絡(luò)戰(zhàn)略的一部分

幾年前，我們預(yù)測(cè)政府將訴諸“點(diǎn)名和羞辱”的方法來(lái)引起對(duì)敵對(duì)APT團(tuán)體活動(dòng)的關(guān)注。在過去的12個(gè)月中，我們已經(jīng)看到了幾起案例。美國(guó)網(wǎng)絡(luò)司令部的“持久參與”戰(zhàn)略將在2021年開始展現(xiàn)成效，并引起其他國(guó)家的仿效，尤其是對(duì)美國(guó)指控的“針鋒相對(duì)”的報(bào)復(fù)。所謂“持續(xù)參與”，意味著有關(guān)部門會(huì)經(jīng)常公開對(duì)手的工具和活動(dòng)的報(bào)告。美國(guó)網(wǎng)絡(luò)司令部認(rèn)為，網(wǎng)絡(luò)空間的戰(zhàn)爭(zhēng)本質(zhì)有很大不同，需要與敵方始終保持接觸以破壞其作戰(zhàn)。方法之一是向威脅情報(bào)界提供威脅指標(biāo)來(lái)引導(dǎo)調(diào)查，通過情報(bào)解密來(lái)發(fā)動(dòng)和指引民間的安全機(jī)構(gòu)。

被政府情報(bào)機(jī)構(gòu)公開“焚燒”的工具對(duì)于攻擊者而言，將變得難以使用，并且有可能暴露之前的隱蔽攻擊。面對(duì)這種新威脅，攻擊者在規(guī)劃攻擊時(shí)必須要在其風(fēng)險(xiǎn)/收益計(jì)算中考慮額外的費(fèi)用(工具泄露或者暴露的可能性增加)。

公開APT組織的工具集并不是什么新鮮事，Shadow Brokers的武器庫(kù)連續(xù)泄漏就是一個(gè)典型的例子。但是，這是第一次通過國(guó)家機(jī)構(gòu)以官方身份進(jìn)行。雖然還無(wú)法量化威懾的影響力，但2021年，更多的國(guó)家將采用這一戰(zhàn)略。首先，傳統(tǒng)上與美國(guó)結(jié)盟的國(guó)家可能會(huì)開始復(fù)制這一做法，然后被披露工具的APT組織采用類似的做法進(jìn)行報(bào)復(fù)。

三、更多硅谷公司將對(duì)零日漏洞經(jīng)紀(jì)人采取行動(dòng)

直到最近，零日漏洞經(jīng)紀(jì)人都在兜售價(jià)值不菲的知名科技公司的產(chǎn)品漏洞。微軟、Google、Facebook等大公司對(duì)此類交易似乎也沒有給與太多關(guān)注。但是，在過去一年左右的時(shí)間里，有一些高調(diào)的名人賬戶(包括Jeff Bezos和Jamal Khashoggi)被攻擊者使用WhatsApp漏洞入侵。2019年10月，WhatsApp提起訴訟，指控總部位于以色列的NSO Group利用了其軟件中的漏洞，NSO出售的技術(shù)被用來(lái)針對(duì)20個(gè)不同國(guó)家/地區(qū)的1,400多名客戶，其中包括人權(quán)活動(dòng)家、記者和其他人。一名美國(guó)法官裁定訴訟可以立案，該案的結(jié)果可能會(huì)產(chǎn)生深遠(yuǎn)的影響，可能導(dǎo)致其他公司對(duì)經(jīng)營(yíng)零日漏洞的公司提起法律訴訟。我們認(rèn)為，日益增加的公眾壓力以及聲譽(yù)受損的風(fēng)險(xiǎn)，可能會(huì)導(dǎo)致其他公司效仿WhatsApp的做法，對(duì)零日漏洞經(jīng)紀(jì)人采取行動(dòng)。

四、針對(duì)網(wǎng)絡(luò)設(shè)備的針對(duì)性攻擊增加

隨著企業(yè)網(wǎng)絡(luò)安全水平的日益提高，攻擊者開始更加關(guān)注利用虛擬專用網(wǎng)網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備中的漏洞。事實(shí)上隨著新冠疫情的肆虐這種趨勢(shì)已經(jīng)開始。遠(yuǎn)程辦公意味著公司更加依賴虛擬專用網(wǎng)，這開辟了另一個(gè)潛在的攻擊媒介，通過現(xiàn)實(shí)世界中的社會(huì)工程方法(例如“虛假”)獲取用戶憑據(jù)獲得對(duì)企業(yè)虛擬專用網(wǎng)的訪問。在某些情況下，這可能使攻擊者甚至可以完成間諜活動(dòng)目標(biāo)，而無(wú)需在受害企業(yè)的內(nèi)網(wǎng)中部署惡意軟件。

五、5G漏洞浮出水面

5G今年吸引了很多關(guān)注，尤其是美國(guó)對(duì)盟友施加了很大的壓力，以阻止它們購(gòu)買華為產(chǎn)品。在許多國(guó)家/地區(qū)，人們甚至散布5G的健康風(fēng)險(xiǎn)傳言?？傊?，全球?qū)?G安全的關(guān)注意味著，無(wú)論是公共還是私人研究人員，都在研究華為和其他公司的產(chǎn)品，試圖發(fā)現(xiàn)實(shí)施問題或者加密漏洞甚至后門。任何此類缺陷肯定會(huì)引起媒體的廣泛關(guān)注。隨著5G使用率的提高，以及更多設(shè)備依賴于5G提供的連接性，攻擊者將更有動(dòng)力尋找可以利用的漏洞。

六、勒索軟件進(jìn)化

多年來(lái)，我們已經(jīng)看到勒索軟件團(tuán)伙的策略持續(xù)在變化和完善。最為明顯的是，攻擊已從分發(fā)給大量潛在受害者的隨機(jī)、推測(cè)性攻擊演變?yōu)獒槍?duì)性更強(qiáng)的攻擊，根據(jù)受害者的支付能力，對(duì)加密數(shù)據(jù)的依賴以及攻擊的廣泛影響，精心選擇受害者，力求從單個(gè)受害者身上一次性斬獲高額贖金。

我們還看到，勒索軟件團(tuán)伙為了提高威脅力度和成功率，還會(huì)以泄露數(shù)據(jù)作為要挾。隨著勒索軟件幫派尋求最大的投資回報(bào)率，這一趨勢(shì)可能會(huì)進(jìn)一步發(fā)展。

勒索軟件問題已變得十分普遍，以至美國(guó)外國(guó)資產(chǎn)管理辦公室(OFAC)向遭受勒索軟件攻擊的企業(yè)發(fā)布了法令，指出支付勒索贖金可能違反國(guó)際制裁規(guī)定。

今年，Maze和Sodinokibi團(tuán)伙率先提出了一種“聯(lián)盟”模式，涉及勒索軟件團(tuán)體之間的合作。盡管如此，勒索軟件生態(tài)系統(tǒng)仍然非常多樣化。將來(lái)，我們可能會(huì)看到一些主要的勒索軟件團(tuán)伙的活動(dòng)將更加聚焦，并獲得類似APT的攻擊能力。但是，在不久的將來(lái)，較小的勒索軟件團(tuán)伙仍將繼續(xù)采用既定的方法，依靠僵尸網(wǎng)絡(luò)“帶貨”和采購(gòu)第三方勒索軟件。

七、更具破壞性的攻擊

數(shù)字化的觸角正在快速蔓延到我們生活的每個(gè)腳落，人們面臨的攻擊面也是與日俱增，同時(shí)攻擊的破壞性也將遠(yuǎn)遠(yuǎn)超出我們對(duì)傳統(tǒng)網(wǎng)絡(luò)攻擊的認(rèn)知。針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的定向，精心策劃的攻擊，也很有可能造成附帶傷害，例如針對(duì)教育機(jī)構(gòu)、超市、郵政、公共交通等領(lǐng)域的勒索軟件攻擊產(chǎn)生的副作用。

八、攻擊者將繼續(xù)利用COVID-19大流行

COVID-19徹底顛覆了世界，影響了我們生活的幾乎每個(gè)方面。各種各樣的攻擊者迅速抓住機(jī)會(huì)，充分利用了人們對(duì)這一話題的濃厚興趣，其中包括APT團(tuán)伙。如前所述，這并不意味著攻擊者的TTP發(fā)生了變化。作為一個(gè)持久的關(guān)注話題，新冠疫情相關(guān)信息可以用作社會(huì)工程學(xué)的誘餌。2021年大流行將繼續(xù)影響我們的生活一段時(shí)間，攻擊者也將繼續(xù)利用這一點(diǎn)在目標(biāo)系統(tǒng)中立足，同時(shí)新冠疫苗本身也是APT的熱門目標(biāo)。在過去的六個(gè)月中，已經(jīng)有不少針對(duì)COVID-19研究中心的APT活動(dòng)報(bào)告。英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)表示，APT29(又名公爵和舒適熊)針對(duì)COVID-19疫苗開發(fā)竊取信息。只要新冠疫情沒有結(jié)束，疫苗將始終是APT的戰(zhàn)略利益目標(biāo)。

參考資料：

卡巴斯基2020年ATP預(yù)測(cè)報(bào)告：

??https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2019/11/20151759/KSB2019_APT-predictions-2020_web.pdf??

【本文是51CTO專欄作者“安全?！钡脑瓌?chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

??戳這里，看該作者更多好文??