Netskope报告：云应用成为恶意软件重要传播途径

网络攻击者的顶级技术
 

Netskope将攻击者用来危害系统、执行恶意代码和与受感染系统通信的常见策略和技术分为四类：初始访问、恶意有效负载执行、命令和控制以及渗透。
 

1、初始访问
 

攻击者访问目标系统最简单的方式是通过其用户，特别是在目标组织已经修补了与互联网通信的常见漏洞后。社会工程是攻击者针对组织最常用的方法，无论是通过电子邮件钓鱼、语音钓鱼、短信钓鱼，还是通过社交网络。
 

Netskope分析了用户的钓鱼链接点击率，得出的结论是，用户最常点击的钓鱼链接与云应用程序有关（19%），其次是电子商务网站（16%）。

 

按点击率排列的网络钓鱼目标 
 

根据Netskope的数据，三分之一针对云应用的网络钓鱼操作集中在微软产品上。Netskope最近报道说，微软OneDrive是企业中最受欢迎的云应用。因此，攻击者频繁利用这一应用，以及微软Teams、SharePoint和Outlook。

按点击率排名的云服务攻击对象
 

第二和第三大目标应用来自Adobe (11%)和谷歌(8.8%)。
 

攻击者通常使用电子邮件来锁定用户，但是这些鱼叉式网络钓鱼操作的成功率很低。首先，组织采用高级反网络钓鱼过滤器在钓鱼邮件到达前将其拦截。其次，组织试图提高对这些攻击活动的认知，并教育其用户识别鱼叉式网络钓鱼电子邮件。针对这些防御措施，攻击者会部署各种替代策略来达到他们的目标。
 

● SEO：通常，攻击者会围绕互联网上不常见的特定关键字集创建网页，从而轻松部署SEO技术来确保他们的页面在搜索引擎的结果中排名第一。
 

● 社交媒体平台和通讯程序：攻击者在流行的社交媒体平台（如脸书）或通讯程序（如WhatsApp）设置各种诱饵来达到目标。
 

● 语音邮件和短信：攻击者通过语音信箱或短信传播网络钓鱼链接给用户。这种方法的好处是针对保护薄弱的手机（相较于电脑）。
 

● 个人邮箱：攻击者的目标是用户的个人电子邮件账户，这些账户通常与工作邮件共用系统，可能会导致敏感信息泄露。
 

当使用附件进行网络钓鱼时，90%的攻击使用PDF文件，因为这是企业常用格式。Netskop表示，“pdf在攻击者中很受欢迎，因为它们常用于发票、账单和其他重要信件。攻击者制造假发票并寄给受害者。通常，判断恶意的唯一标志是它包含的URL或电话号码，攻击者使用混淆技术来隐藏这些信息，使其不被安全解决方案发现。这些pdf的创建量如此之大，种类如此之多，以至于目前一些安全解决方案很难同步。当安全解决方案迎头赶上时，攻击者将转而使用新的网络钓鱼技术。”
 

2、恶意负载执行
 

不知情的用户可能会执行恶意程序，从而使攻击者远程访问组织内的系统，进行更多恶意活动，如部署勒索软件或窃取信息。
 

2023年第一季度，攻击者使用云存储应用的平均比例（55%）比网络存储（45%）高一点。

 

恶意软件下载排名靠前的云存储应用
 

微软OneDrive占云存储应用程序总使用量的四分之一以上，以托管恶意软件（26%），领先于SharePoint （10%）和GitHub （9.5%）。
 

3、恶意软件通信和数据泄露
 

攻击者大多使用HTTP （67%）和HTTPS （52%）协议在他们的恶意软件、命令和控制服务器之间进行通信；这两种协议通常完全允许用户使用，因为它们是浏览互联网的主要媒介，不会被防火墙过滤。
 

域名系统协议在的恶意软件通信中的使用占比为5.5%，远落后于HTTP和HTTPS。在组织中从不被阻止和过滤的DNS协议在传输数据时不像HTTP和HTTPS那样隐秘。此外，DNS使攻击者更难混入来自组织的合法流量，并且一次传输的数据比HTTP或HTTPS少。
 

最常见的威胁者及其动机
 

Netskope观察到的最常见的威胁行为者是WizardSpider，它的别名是UNC1878、TEMP.MixMaster或者Grim Spider。WizardSpider负责TrickBot恶意软件，最初是一种银行特洛伊木马，后来逐渐演变成一种复杂的恶意软件，还附带其他第三方恶意软件，如勒索软件。
 

Netskope表示，“今天几乎每个主要的网络犯罪集团都使用会员制，任何人都可以成为会员，并使用该集团的工具来对付他们选择的目标。Wizard Spider也并无不同，有会员使用他们的TrickBot恶意软件和多个勒索软件。”
 

根据报告，大多数受经济利益驱使的威胁行为者来自俄罗斯和乌克兰，他们大多传播勒索软件。
 

最易受攻击的行业因行为者动机而异（金融/地缘政治），金融服务和医疗保健是地缘政治行为者最常攻击的行业。
 

与地缘政治犯罪相比，澳大利亚和北美是两个最容易成为金融犯罪目标的地区。究其原因，Netskope回答，“如果换一种方式问，答案可能会变得更明显：为什么地缘政治攻击者组织活动的占比在世界其他地方更高？这种活动反映了更广泛的政治、经济、军事或社会冲突。因此，世界其他地区地缘政治攻击活动的比例较高，是地区冲突和地缘政治综合作用的结果。”
 

如何缓解这些云安全威胁
 

公司应采取以下措施来缓解此类云安全威胁：
 

● 部署能够分析附件和链接以检测网络钓鱼和恶意软件的电子邮件安全解决方案。
 

● 教育用户如何识别可能带来风险的网络钓鱼和社会工程计划。特别要注意的是，用户不应该点击非可信链接或下载陌生附件存储在云应用上。
 

● 让所有软件和操作系统保持最新并打补丁，以免受常见漏洞的危害。