正如安全自動(dòng)化可以幫助企業(yè)更有效地檢測(cè)、響應(yīng)和緩解網(wǎng)絡(luò)威脅一樣，自動(dòng)化工具也能讓網(wǎng)絡(luò)犯罪分子“如虎添翼”。

網(wǎng)絡(luò)安全公司Recorded Future最近分析了來(lái)自威脅情報(bào)平臺(tái)、開(kāi)放源情報(bào)源和公共報(bào)告的數(shù)據(jù)，統(tǒng)計(jì)出了網(wǎng)絡(luò)犯罪分子最常用的十類自動(dòng)化攻擊工具和服務(wù)。

Recorded Future指出，網(wǎng)絡(luò)犯罪分子已經(jīng)創(chuàng)建了一個(gè)欣欣向榮的工具和資源生態(tài)系統(tǒng)，地下黑市銷(xiāo)售的各種工具能夠讓攻擊鏈(KillChain)幾乎每個(gè)環(huán)節(jié)都實(shí)現(xiàn)自動(dòng)化，從最初的偵察、網(wǎng)絡(luò)侵入到有效負(fù)載投遞、逃避檢測(cè)、泄露數(shù)據(jù)以及被盜數(shù)據(jù)的貨幣化。

[[320623]]

Recorded Future發(fā)現(xiàn)，“產(chǎn)品化”甚至“商品化”的惡意軟件使過(guò)去需要攻擊者花費(fèi)數(shù)月時(shí)間才能開(kāi)發(fā)、測(cè)試和部署的攻擊，現(xiàn)在已經(jīng)可以“開(kāi)箱即用”，這使菜鳥(niǎo)攻擊者也可以毫不費(fèi)力地參與網(wǎng)絡(luò)非法活動(dòng)。例如，快速驗(yàn)證或訪問(wèn)數(shù)千個(gè)帳戶密碼，繞過(guò)反惡意軟件產(chǎn)品投遞有效載荷和工具，從受感染系統(tǒng)中竊取憑據(jù)和其他敏感數(shù)據(jù)，以及從電子商務(wù)站點(diǎn)和地下市場(chǎng)竊取支付卡數(shù)據(jù)的嗅探器，不法分子甚至可以全自動(dòng)方式出售被盜的憑據(jù)和其他數(shù)據(jù)。

以下是Recorded Future報(bào)告中給出的十大自動(dòng)化攻擊工具類別，以及企業(yè)如何用威脅情報(bào)、自動(dòng)檢測(cè)防御、SOAR等安全自動(dòng)化技術(shù)來(lái)緩解此類威脅：

一、數(shù)據(jù)庫(kù)泄露與銷(xiāo)售工具

針對(duì)企業(yè)數(shù)據(jù)庫(kù)的自動(dòng)化攻擊工具可以讓攻擊者獲得對(duì)網(wǎng)絡(luò)的未授權(quán)訪問(wèn)，竊取數(shù)據(jù)或賬戶信息，然后在網(wǎng)絡(luò)地下黑市中銷(xiāo)售。常見(jiàn)的數(shù)據(jù)泄露自動(dòng)化攻擊工具包括賬戶提權(quán)、企業(yè)電子郵件泄露、勒索軟件等類型。

緩解措施：

• 確保所有軟件和應(yīng)用程序保持最新
• 過(guò)濾電子郵件中的垃圾郵件并仔細(xì)檢查鏈接和附件
• 定期備份系統(tǒng)并離線存儲(chǔ)
• 區(qū)分公司敏感數(shù)據(jù)
• 建立基于角色的訪問(wèn)
• 應(yīng)用數(shù)據(jù)加密標(biāo)準(zhǔn)

二、檢查器與暴力破解工具

攻擊者通過(guò)數(shù)據(jù)泄露攻擊獲得賬戶后，可利用檢查器和暴力破解器來(lái)發(fā)起大規(guī)模的自動(dòng)登錄請(qǐng)求，以檢驗(yàn)受害者賬戶的有效性，或通過(guò)對(duì)數(shù)千個(gè)帳戶的憑據(jù)填充攻擊來(lái)獲得未經(jīng)授權(quán)的訪問(wèn)。

緩解措施：

• 除密碼管理器外，還應(yīng)為帳戶設(shè)置唯一的密碼
• 啟用登錄驗(yàn)證(例如CAPTCHA)或多因素身份驗(yàn)證(MFA)
• 部署定制的Web應(yīng)用程序防火墻
• 限制登錄流量和頻次
• 刪除未使用的面向公眾的登錄名
• 為流量和網(wǎng)絡(luò)請(qǐng)求建立基準(zhǔn)，以監(jiān)視意外流量

三、加載程序和加密程序

攻擊者經(jīng)常使用加載程序和加密程序來(lái)避免被端點(diǎn)安全產(chǎn)品(例如防病毒軟件)檢測(cè)到，然后下載并執(zhí)行一個(gè)或多個(gè)惡意有效載荷(例如惡意軟件)。

緩解措施：

• 定期更新防病毒軟件
• 部署除防病毒之外的其他響應(yīng)和檢測(cè)控制措施，以檢測(cè)惡意負(fù)載
• 對(duì)網(wǎng)絡(luò)釣魚(yú)和相關(guān)風(fēng)險(xiǎn)進(jìn)行培訓(xùn)和教育

四、竊密程序和鍵盤(pán)記錄器

竊密器和鍵盤(pán)記錄器用于從受害者那里竊取敏感信息，包括賬戶、隱私信息和支付卡信息，而且還能將有效負(fù)載安裝到受害者的系統(tǒng)上。

緩解措施：

• 投資提供補(bǔ)丁狀態(tài)報(bào)告的解決方案
• 配置網(wǎng)絡(luò)防御機(jī)制以警告設(shè)備上的惡意活動(dòng)
• 監(jiān)視文件驅(qū)動(dòng)器和注冊(cè)表的可疑更改

五、金融惡意代碼注入

攻擊者無(wú)需自己編寫(xiě)腳本即可自動(dòng)執(zhí)行攻擊，攻擊者如今可以輕松獲得流行且功能強(qiáng)大的金融欺詐工具。這些工具或模塊可以與銀行木馬一起使用，在用戶被重定向到合法網(wǎng)站之前，通過(guò)注入HTML或JavaScript代碼收集敏感信息。

緩解措施：

• 使軟件和應(yīng)用程序保持最新
• 在所有設(shè)備上安裝防病毒解決方案，安排更新并監(jiān)視防病毒狀態(tài)
• 通過(guò)SMS身份驗(yàn)證器應(yīng)用程序啟用MFA多因素認(rèn)證
• 僅使用HTTPS連接web服務(wù)
• 教育員工并進(jìn)行安全意識(shí)培訓(xùn)
• 部署垃圾郵件和Web過(guò)濾器
• 加密所有公司敏感信息
• 禁用HTML或?qū)TML電子郵件轉(zhuǎn)換為純文本電子郵件

六、漏洞利用工具

漏洞利用工具包用于自動(dòng)利用Web瀏覽器漏洞，以最大程度地傳播感染，并提供諸如木馬、裝載程序、勒索軟件和其他惡意軟件之類的惡意負(fù)載。

緩解措施：

• 優(yōu)先修補(bǔ)技術(shù)產(chǎn)品中微軟產(chǎn)品和較舊漏洞的補(bǔ)丁
• 確保在瀏覽器設(shè)置中自動(dòng)禁用Adobe Flash Player
• 開(kāi)展并長(zhǎng)期堅(jiān)持網(wǎng)絡(luò)釣魚(yú)安全意識(shí)培訓(xùn)

七、釣魚(yú)與垃圾郵件

攻擊者利用垃圾郵件和網(wǎng)絡(luò)釣魚(yú)服務(wù)來(lái)開(kāi)展電子郵件攻擊活動(dòng)，訪問(wèn)成千上萬(wàn)的受害者，以部署惡意軟件或進(jìn)一步訪問(wèn)網(wǎng)絡(luò)。

緩解措施：

• 不要在線發(fā)布您的電子郵件地址或回復(fù)垃圾郵件
• 下載安裝額外的垃圾郵件過(guò)濾工具和防病毒軟件
• 在線注冊(cè)時(shí)避免使用個(gè)人或公司電子郵件地址
• 制定密碼安全策略
• 要求所有員工落實(shí)加密措施
• 開(kāi)展專項(xiàng)員工安全培訓(xùn)

八、“防彈”托管服務(wù)(BPHS)

為了爭(zhēng)取更多的犯罪時(shí)間，攻擊者會(huì)利用代理和防彈托管服務(wù)(BPHS)來(lái)掩蓋其活動(dòng)。BPHS依靠一種模型保證向惡意內(nèi)容和活動(dòng)提供匿名安全托管，并承諾不會(huì)因司法請(qǐng)求而中斷犯罪活動(dòng)或?qū)е鹿粽弑徊丁?/p>

緩解措施：

• 利用威脅情報(bào)平臺(tái)來(lái)協(xié)助監(jiān)視惡意服務(wù)提供商
• 將與惡意BPHS關(guān)聯(lián)的服務(wù)器列入黑名單

九、嗅探器

在暗網(wǎng)經(jīng)濟(jì)中，嗅探器(Sniffer)指的是一種用JavaScript編寫(xiě)的惡意軟件，能從電子商務(wù)網(wǎng)站的支付頁(yè)面滲透并竊取無(wú)卡交易(CNP)數(shù)據(jù)。

緩解措施：

• 對(duì)網(wǎng)站進(jìn)行定期審核，以識(shí)別可疑腳本或網(wǎng)絡(luò)行為
• 防止不必要的外部腳本加載到支付頁(yè)面上
• 評(píng)估電子商務(wù)網(wǎng)站上的第三方插件并監(jiān)視其代碼或行為的更改

十、自動(dòng)化網(wǎng)絡(luò)黑市

為了將攻擊獲得的內(nèi)容貨幣化，攻擊者會(huì)通過(guò)在線信用卡商店、帳戶商店和暗網(wǎng)市場(chǎng)中出售被盜數(shù)據(jù)。通過(guò)買(mǎi)賣(mài)銀行帳戶、手機(jī)帳戶、在線商店賬戶、約會(huì)帳戶乃至受感染系統(tǒng)的數(shù)字指紋憑證來(lái)賺錢(qián)，這些交易將推動(dòng)進(jìn)一步的攻擊和破壞。

緩解措施： 

• 監(jiān)視商店和市場(chǎng)中與您企業(yè)相關(guān)的帳戶
• 對(duì)“黑店”中失竊帳戶數(shù)量激增做出及時(shí)反應(yīng)
• 留意非公開(kāi)域的賬戶泄露
• 通過(guò)SMS身份驗(yàn)證器應(yīng)用程序啟用MFA

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文