本文雖然主要關(guān)注在俄羅斯境內(nèi)活動的網(wǎng)絡(luò)攻擊者，但這些網(wǎng)絡(luò)攻擊者很少將自己限制在俄羅斯境內(nèi)，勒索軟件組織就是此類跨境活動的一個典型例子。此外，在一個國家發(fā)現(xiàn)的攻擊趨勢，往往會很快在其他地方和新的網(wǎng)絡(luò)犯罪組織中重新出現(xiàn)。本文就試圖介紹卡巴斯基實驗室研究人員認(rèn)為重要且影響范圍會擴大的網(wǎng)絡(luò)犯罪活動。

　　示例分析

　　卡巴斯基的計算機事件調(diào)查部門專門負(fù)責(zé)俄語和俄羅斯網(wǎng)絡(luò)罪犯的攻擊。我們提供的服務(wù)包括事件分析、調(diào)查，所有這些都是為了預(yù)防和緩解網(wǎng)絡(luò)攻擊。

　　早在 2016 年，攻擊者的主要關(guān)注點就放在了針對金融機構(gòu)，尤其是銀行的主要網(wǎng)絡(luò)組織。Lurk、Buhtrap、Metel、RTM、Fibbit 和 Carbanak 等知名惡意軟件家族已開始在全球范圍內(nèi)針對銀行發(fā)起了攻擊。

　　如今，受到攻擊的行業(yè)已不僅限于金融機構(gòu)，而幸好我們當(dāng)年調(diào)查的那些重大攻擊已不再可能。受影響的行業(yè)包括從 IT 到零售、從石油和天然氣到醫(yī)療保健的所有行業(yè)。2020年，我們?yōu)槎砹_斯客戶調(diào)查了200個案例，到2021年前9個月，已經(jīng)超過300個。受影響的行業(yè)包括從IT到零售，從石油和天然氣到醫(yī)療保健。這是一個令人驚訝的趨勢，正如人們預(yù)期的那樣，由于新冠疫情的影響，遠(yuǎn)程工作更有可能引發(fā)攻擊。

　　主要趨勢

　　網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)一直由各種角色組成。該系統(tǒng)的主要組成部分是進行網(wǎng)絡(luò)犯罪活動所需的基礎(chǔ)設(shè)施和用于該活動的工具。攻擊者的角色直接依賴于基礎(chǔ)設(shè)施和工具。接下來讓我們了解一下俄語地區(qū)網(wǎng)絡(luò)安全領(lǐng)域在過去五年中發(fā)生的一些重大變化，看看網(wǎng)絡(luò)犯罪分子的運作方式發(fā)生了哪些變化。

　　對客戶端的攻擊逐漸消失

　　在五年前，用木馬感染你的計算機就像訪問新聞網(wǎng)站一樣容易。事實上，俄羅斯的許多惡意軟件都是通過新聞平臺和其他合法網(wǎng)站傳播的。雖然Web 攻擊目前還非常流行，但隨著瀏覽器安全性的提高，采用此方法進行的攻擊變得更加困難。以前，許多網(wǎng)絡(luò)攻擊者只是通過合法網(wǎng)站傳播漏洞。整個市場都是圍繞這個過程建立起來的，有專門的人員來運行。

　　那個時代，瀏覽器漏洞百出，用戶體驗不佳，普遍不安全。許多人使用他們習(xí)慣的瀏覽器，而不是選擇的瀏覽器或組織設(shè)置的默認(rèn)瀏覽器，例如 Internet Explorer。通過插件（例如 Adobe Flash、Silverlight 和 Java）進行的攻擊也是感染用戶設(shè)備的最簡單和最常用的方法之一，現(xiàn)在它們已成為過去。

　　到2021年，瀏覽器將變得更加安全，其中一些瀏覽器將自動更新，無需用戶參與，而瀏覽器開發(fā)人員將繼續(xù)投資于漏洞評估。此外，隨著大量漏洞賞金程序的開發(fā)，將發(fā)現(xiàn)的漏洞出售給開發(fā)人員本身變得更容易，而不是在暗網(wǎng)上尋找買家，這也導(dǎo)致漏洞的價格上漲。

　　使用更安全的瀏覽器，網(wǎng)絡(luò)感染變得更具挑戰(zhàn)性，這導(dǎo)致網(wǎng)絡(luò)攻擊者慢慢將攻擊目標(biāo)放在了別的地方。因此，以這種方式針對普通用戶而不是企業(yè)用戶已經(jīng)變得過于昂貴并且在商業(yè)上不可行。

　　漏洞被大量利用

　　應(yīng)用程序變得更加復(fù)雜，它們的架構(gòu)更好。這從根本上改變了俄語地區(qū)網(wǎng)絡(luò)攻擊者的運作方式。

　　隨著漏洞價格的上漲，對客戶端的攻擊變得極其困難和昂貴?？蛻舳烁腥具^去嚴(yán)重依賴漏洞，整個團隊會尋找它們并針對特定漏洞編寫漏洞利用程序，針對不同的操作系統(tǒng)進行調(diào)整。大多數(shù)情況下，網(wǎng)絡(luò)攻擊者會利用 1日漏洞，他們檢查了開發(fā)人員最近推出的補丁，并針對已關(guān)閉的漏洞編寫了漏洞利用程序。然而，由于軟件更新周期（現(xiàn)在仍然）很長，用戶經(jīng)常延遲更新他們的設(shè)備，因此留下了一個窗口，在此期間網(wǎng)絡(luò)攻擊者可以感染相當(dāng)多的受害者。

　　一個典型的感染鏈?zhǔn)沁@樣的：攻擊者會攻擊一個合法的網(wǎng)站，因為在五年前，還沒有人認(rèn)識到保護網(wǎng)站的重要性。黑客可以直接被攻破網(wǎng)站，也可以通過入侵擁有網(wǎng)站管理權(quán)限的人的賬戶來發(fā)起攻擊。攻擊者將集成一些代碼，它可能是頁面上的一個窗口，對用戶是不可見的。然后，由于目標(biāo)將繼續(xù)使用該網(wǎng)站，它也會加載攻擊者控制的頁面。另一種選擇是攻擊橫幅廣告網(wǎng)絡(luò)，我們在無數(shù)網(wǎng)站上都可以看到橫幅廣告，而網(wǎng)站管理部門對廣告顯示內(nèi)容沒有管理權(quán)。也可以簡單地購買并將流量導(dǎo)向特定的惡意頁面。最終，將用戶引導(dǎo)到一個由攻擊者控制的頁面，該頁面包含可以利用用戶瀏覽器中的一個漏洞的代碼。

　　上面說的是2016年流行的瀏覽器攻擊鏈，現(xiàn)在已經(jīng)不可能了存在了

　　為達(dá)到攻擊目的，網(wǎng)絡(luò)犯罪組織為特定用戶組開發(fā)了漏洞利用工具包，并定制了下載到受害者設(shè)備的漏洞利用程序。運行漏洞后，攻擊者會選擇要下載到受感染設(shè)備的特定載荷。載荷通常會導(dǎo)致對計算機的遠(yuǎn)程訪問。一旦被感染，該設(shè)備將根據(jù)它對網(wǎng)絡(luò)攻擊者的吸引力進行評估。之后，攻擊者將加載一個特定的漏洞利用程序來評估受感染設(shè)備的興趣，然后將特定的惡意軟件上傳到該設(shè)備。

　　由于此類瀏覽器攻擊不再可行，也不再易于執(zhí)行，因此不再需要各種不同的播放器。這包括專門購買和引導(dǎo)流量到具有漏洞利用的特定頁面的組織、開發(fā)和銷售漏洞利用包的組織、購買特定設(shè)備訪問權(quán)的組織。

　　當(dāng)然，客戶端軟件中的漏洞仍然存在，只是現(xiàn)在它們不在瀏覽器中，而是在各種類型的文檔中，比如PDF或Word，這些帶有宏選項的文檔通常通過電子郵件傳播。然而，這種變化使得攻擊和感染過程更加困難。與瀏覽器感染不同，當(dāng)傳播隱藏在PDF或Word中的惡意文件時，攻擊者無法收到受害者的反饋或目標(biāo)使用的設(shè)備的附加信息。另一方面，瀏覽器會自動報告軟件和插件的版本。這樣一來，隨著攻擊者轉(zhuǎn)而通過網(wǎng)絡(luò)釣魚郵件傳播惡意文件，追蹤用戶軟件的版本或攻擊的程度就變得更加困難。最重要的是，電子郵件服務(wù)器和Word等應(yīng)用程序中的安全機制也加大了感染的難度，許多包含惡意文件的電子郵件在到達(dá)目標(biāo)之前不會被攔截，而用戶在應(yīng)用程序中會定期收到關(guān)于潛在危險附件的警告。

　　云服務(wù)器

　　通信和數(shù)據(jù)存儲需要基礎(chǔ)設(shè)施。

　　隨著組織在采用新 IT 服務(wù)方面取得進展，追隨相同趨勢和變化的網(wǎng)絡(luò)攻擊者也在不斷進步。遷移到云服務(wù)而不是常規(guī)服務(wù)器是一種新的攻擊趨勢。以前，網(wǎng)絡(luò)攻擊者會租用服務(wù)器，雖然通常不是以他們自己的名義，但非常合法。2016 年，針對與可疑活動相關(guān)的服務(wù)器的投訴更容易被忽略。當(dāng)時，一些組織提供了可以忽略用戶投訴的防彈服務(wù)器。然而，隨著時間的推移，管理此類服務(wù)器變得越來越困難，利潤也越來越低。

　　網(wǎng)絡(luò)攻擊者還曾經(jīng)攻擊組織的服務(wù)器，將它們用作中繼服務(wù)器，以迷惑調(diào)查人員，并使追蹤主要 C&C 中心變得更加困難。有時，網(wǎng)絡(luò)組織會將一些信息（例如，從受害者那里提取的數(shù)據(jù)）存儲在他們已攻破的服務(wù)器上。這種數(shù)據(jù)分布在各種平臺上的結(jié)構(gòu)需要專門的人員來管理它。

　　云服務(wù)器的采用使網(wǎng)絡(luò)攻擊者的生活變得更輕松，現(xiàn)在，如果多次投訴導(dǎo)致帳戶被暫停，將數(shù)據(jù)轉(zhuǎn)移到新服務(wù)器只需兩分鐘。這也意味著團隊不再需要專門的管理員來管理服務(wù)器，這項任務(wù)外包給了云服務(wù)器提供商。

　　惡意軟件開發(fā)人員

　　也許最可怕的趨勢是網(wǎng)絡(luò)攻擊者很容易獲得新的有效惡意軟件，盡管 APT 攻擊者繼續(xù)將大量資金和資源投入到量身定制的惡意工具中，但網(wǎng)絡(luò)攻擊者選擇了更簡單、成本更低的方式，這不再包括開發(fā)自己的惡意軟件或漏洞。

　　開源惡意軟件越來越頻繁地出現(xiàn)在暗網(wǎng)上，老牌網(wǎng)絡(luò)組織免費向公眾發(fā)布源代碼已成為一種趨勢，這使得新玩家很容易開始他們的網(wǎng)絡(luò)犯罪活動。銀行木馬 Cerberus 的開發(fā)者于 2020 年 10 月發(fā)布了其惡意軟件的源代碼，而臭名昭著的同名勒索軟件的開發(fā)者 Babuk 則于 2021 年 9 月初發(fā)布了其勒索軟件代碼。

　　更糟糕的是，隨著滲透測試工具和服務(wù)的發(fā)展，黑市上出現(xiàn)了新的惡意工具。這些工具是為合法服務(wù)開發(fā)和使用的，例如評估客戶的安全基礎(chǔ)設(shè)施和成功網(wǎng)絡(luò)滲透的潛力。它們旨在出售給精心挑選的客戶群，這些客戶群只會將它們用于合法目的。例如網(wǎng)絡(luò)攻擊者最喜歡的 CobaltStrike，它的反編譯版本于 2020 年 11 月泄露，現(xiàn)在網(wǎng)絡(luò)攻擊者和 APT 組織都在使用它。其他包括 Bloodhound，另一個最受歡迎的網(wǎng)絡(luò)映射網(wǎng)絡(luò)犯罪工具，用于專門傳播的 Kali 和 Commando VM，用于利用漏洞的 Core Impact 和 Metaspoit Framework，在受感染計算機上使用 netscan.exe（softPerfect Network Scanner），以及用于遠(yuǎn)程訪問的合法服務(wù)，例如 TeamViewer、AnyDesk 和 RMS/LMS。最重要的是，網(wǎng)絡(luò)攻擊者利用旨在幫助系統(tǒng)管理員的合法服務(wù)，例如允許遠(yuǎn)程執(zhí)行程序的 PSexec。隨著遠(yuǎn)程工作的增加，此類工具越來越受歡迎。

　　如今，要了解網(wǎng)絡(luò)攻擊者使用什么樣的工具，只需了解滲透測試人員在市場上部署和提供的工具就足夠了。

　　從本質(zhì)上講，惡意軟件開發(fā)市場已經(jīng)非常成熟，開展網(wǎng)絡(luò)犯罪活動比以往任何時候都容易。與此同時，對企業(yè)攻擊變得更加困難。

　　攻擊組織變得越來越小

　　這些結(jié)構(gòu)性轉(zhuǎn)變（漏洞成本上升、遷移到云服務(wù)器、已開發(fā)的高級攻擊工具的可訪問性）導(dǎo)致網(wǎng)絡(luò)組織變得越來越小。本質(zhì)上，攻擊鏈已經(jīng)優(yōu)化，許多功能已經(jīng)外包，團隊變得更加小。

　　現(xiàn)在已經(jīng)不再需要管理物理網(wǎng)絡(luò)的系統(tǒng)管理員了，云服務(wù)管理是一項簡單的任務(wù)。網(wǎng)絡(luò)犯罪組織也基本上停止了開發(fā)自己的惡意軟件。以前，大型網(wǎng)絡(luò)犯罪集團會投資于自己的惡意軟件，因此至少需要兩名開發(fā)人員負(fù)責(zé)惡意軟件的不同部分（例如客戶端和服務(wù)器端），現(xiàn)在他們只需要一名操作人員。如果不需要開發(fā)人員，那么測試人員也不需要。

　　為惡意網(wǎng)站購買流量已經(jīng)轉(zhuǎn)變?yōu)橘徺I數(shù)據(jù)，訪問不同組織、賬戶信息等，這些服務(wù)也被外包了。

　　因此，一個網(wǎng)絡(luò)犯罪組織要想在2021年成功運行，就需要管理人員、網(wǎng)絡(luò)訪問專家以及負(fù)責(zé)提取和兌現(xiàn)被盜資金的金融專家。

　　2016年和2021年的網(wǎng)絡(luò)犯罪集團的變化情況

　　攻擊目標(biāo)的改變

　　2016 年，俄羅斯的銀行相繼遭到黑客攻擊。經(jīng)過這件事之后，類似攻擊的網(wǎng)絡(luò)攻擊組織已經(jīng)被打擊的差不多了，目前這些網(wǎng)絡(luò)組織已經(jīng)轉(zhuǎn)向了攻擊其他行業(yè)的目標(biāo)。然而，到2018年，他們意識到以組織為目標(biāo)更有利可圖，使用勒索軟件、竊取工具或遠(yuǎn)程訪問工具從網(wǎng)絡(luò)內(nèi)部竊取資金。

　　2020年，針對俄羅斯金融機構(gòu)的案件有所下降，包括銀行軟件在內(nèi)的事件幾乎都沒有發(fā)生。

　　網(wǎng)絡(luò)攻擊者將目標(biāo)轉(zhuǎn)向西方組織并非出于意識形態(tài)原因。首先，針對歐洲和美國的組織營收性更高。例如，對于國際公司，贖金從 70 萬美元起，最高可達(dá) 700 萬美元。

　　同時，攻擊目標(biāo)向西方轉(zhuǎn)移并不意味著俄羅斯公司不再受到來自國內(nèi)黑客的攻擊。因為黑客仍然受語言的限制，用他們的母語準(zhǔn)備網(wǎng)絡(luò)釣魚電子郵件和文檔要容易得多。這是俄語黑客在攻擊俄羅斯公司時的唯一優(yōu)勢。

　　就行業(yè)而言，攻擊目標(biāo)不再局限于金融機構(gòu)。僵尸網(wǎng)絡(luò)的出現(xiàn)創(chuàng)造了一個網(wǎng)絡(luò)訪問市場，來自各行各業(yè)的公司在沒有特定目標(biāo)的情況下被攻擊，隨后通過暗網(wǎng)出售對這些公司的訪問權(quán)限。疫情也在推動這一趨勢方面發(fā)揮了作用，企業(yè)將大部分基礎(chǔ)設(shè)施搬到了網(wǎng)上，并向遠(yuǎn)程工作人員開放，導(dǎo)致更大的攻擊面和更多的方式，攻擊原本受到更好保護的網(wǎng)絡(luò)。通常情況下，勒索軟件的運營者會選擇那些唾手可得的目標(biāo)，另一個重點是擁有或運營加密貨幣的組織和用戶：加密交易所、加密錢包等都是誘人的目標(biāo)。

　　發(fā)展趨勢

　　目前暗網(wǎng)上已經(jīng)不再出售真正有價值的漏洞（例如 0 日漏洞），盡管如此，在暗網(wǎng)上仍有許多關(guān)于購買現(xiàn)成賬戶、訪問登錄、DDoS攻擊、進入目標(biāo)組織的需求，只要需要，攻擊者仍然可以毫不費力地找到這些服務(wù)。