FortiGuard Labs:勒索軟件變種六個月內近乎倍增
自動化網絡保安服務方案供應商Fortinet發表上半年FortiGuard Labs全球威脅型態報告。在香港,Mirai、Gh0st Rat和Bladabindi是三大主要的殭屍網絡,勒索軟件變種於六個月內近乎倍增。
Mirai、Gh0st Rat 和 Bladabindi是三大殭屍網絡
FortiGuard Labs安全洞察及全球威脅聯盟負責人Derek Manky表示:「網絡攻擊者的手法不斷演變以規避防禦,並拓展犯罪網絡。他們正採用勒索或數據消除等激進策略,並聚焦攻擊前的偵測方式,以確保獲得更佳回報。要應對進階而精密的攻擊,組織需要可獲取即時威脅情報、偵測威脅型態,並將大量數據互相關聯的綜合安全方案,以識別異常情況及自動在混合網絡環境中作出協調的回應。」
Mirai更利用Log4Shell漏洞來進一步傳播。Log4Shell漏洞自2021年被發現後便一直被不法分子廣為利用,以進行遙距代碼執行。
而在第二季,FortiGuard Labs 亦檢測到 Apache 的 Spring框架漏洞被廣泛利用。雖然該漏洞在特別環境下才會被觸發,但由於該框架獲眾多Java開發者使用,加上不法分子可能有其他方式利用漏洞,所以情況值得憂慮。
勒索軟件變種的增長反映犯罪生態的演變
勒索軟件依然是頭號威脅,同時網絡不法分子持續投放大量資源於全新的攻擊技術。在過去六個月,FortiGuard Labs已發現一共10,666種勒索軟件變種,相比去年下半年僅有5,400種,增長幅度幾乎達 100%。在暗網流行的「勒索軟件即服務」則繼續助長犯罪行業威脅組織支付贖金。
要防範勒索軟件,各行各業大小規模的組織均需積極應對。即時的可視性、防禦性、以及結合零信任網絡存取(ZTNA)和進階終端偵測及回應(EDR)的修正都是關鍵。
攻擊趨勢揭示OT和終端仍是難以抗拒的目標
由於不斷增長的攻擊面持續成為攻擊者的目標,IT和OT的數碼融合以及支援隨處工作的終端仍然是重要的攻擊媒介。很多利用終端漏洞發動的入侵,往往涉及未經授權用戶獲取系統存取權限,以進行橫向移動以更深入接觸企業網絡,例子包括錄得大量數目的欺詐攻擊漏洞CVE 2022-26925,以及遠程代碼執行漏洞CVE 2022-26937。此外,從終端漏洞的偵測以及數量分析可見,網絡不法分子嘗試全面利用新舊漏洞獲得存取權限。
在剖析OT漏洞趨勢時亦發現,相關行業不能倖免。隨著IT和OT進一步融合,加上不法分子以破壞為攻擊目標,林林種種的裝置和平台都經歷了猛烈的攻擊。
進階的終端技術可在攻擊的早期階段緩解風險,並有效修復受感染裝置,而透過數碼風險保護服務(DPRS)等服務,亦可進行外部層面的威脅評估、尋找和修復安全問題,以及獲取當前及將發生威脅的詳細洞見。
破壞性威脅趨勢與惡意清除軟件同步增長
惡意清除軟件的相關趨勢揭示了惡意程式以更具破壞力和更精密的攻擊技術,徹底清除數據,情況使人擔憂。烏克蘭戰爭更使針對關鍵基礎設施的攻擊者更大量地利用惡意程式清除磁碟。FortiGuard Labs在2022年首六個月已發現最少七種主要的新型惡意清除軟件變種,並用於針對政府、軍事和私人組織的攻擊活動,與2012年起公開檢測到的惡意清除軟件變種相若,可見數字相當驚人。再者,惡意清除軟件並不局限於單一地方,在烏克蘭之外亦在其他 24 個國家偵測到。
網絡偵測及回應(NDR(及具備自我學習的人工智能可更有效偵測入侵,將惡意清除攻擊的影響降至最低,同時非本地及離線備份亦是不可或缺。
防禦規避仍然是全球主要的攻擊手段
透過研究攻擊者的對抗策略,可發現相關技術和策略的演變。於過去六個月,FortiGuard Labs檢測到各種惡意程式並分析其功能,以了解其間最盛行的攻擊手段。在八大針對終端的技術和策略中,惡意程式開發者最常用的是防禦規避,並往往透過系統二進制代理執行來實行。隱藏惡意意圖是攻擊者其中一個最重要的考量,因此他們會掩蔽自己,並利用正當的憑證隱藏指令來規避防禦,從而在執行受信任的處理程序時進行惡意目的。
第二常用的技術為處理程序注入,攻擊者會將代碼注入另一處理程序的定址空間,以規避防禦並提高隱蔽性。
憑藉此可操作的情報資訊,組織可更有效對抗攻擊者的眾多入侵工具。由AI和機器學習驅動的綜合網絡安全平台,揉合由威脅情報賦予的進階偵測及回應功能,對保護混合網絡的所有邊緣非常重要。
由AI驅動的網絡安全遍及延伸的攻擊面
當組織透過可操作的威脅情報對攻擊者的目標和手段有更深入了解,他們便可更有效調整防禦策略,以積極應對快速演變的攻擊技術。與威脅相關的洞見對於協助制訂漏洞修補的優先策略,更有效地保障網絡環境非常關鍵。
由於威脅型態時刻演變,網絡安全意識與培訓亦同樣重要,以確保員工和安全團隊緊貼最新情況。組織需要能以機械速度運作的安全操作,以確保有能力應付當今網絡威脅的數量、精密度及速度。
以網絡安全織網為本,並由AI和機器學習驅動的防禦、偵測及回應策略,不但使整合更緊密,亦可提升自動化程度,以及在更廣闊的網絡環境中更快速、協調和有效地應對威脅。
報告概覽
最新《全球威脅型態報告》發表的觀點是由FortiGuard Labs集體情報匯集而成。Fortinet以大量的傳感器收集2022上半年全球數十億宗威脅事件。MITRE ATT&CK框架把攻擊手段及技術分類,當中首三類別為偵測、資源開發和初始接觸,FortiGuard Labs的全球威脅型態報告採用類似方式,描述攻擊者如何針對漏洞、建立惡意基礎設施,以及利用目標對象。報告亦涵蓋全球及區域的觀點,以及影響IT和OT的威脅趨勢。
