一年前，一切都變了，大部分人的生活完全轉(zhuǎn)移到網(wǎng)上。事實(shí)上，不僅人們的生活和工作方式發(fā)生了變化，網(wǎng)絡(luò)攻擊者利用網(wǎng)絡(luò)發(fā)起攻擊的方法和策略也發(fā)生了變化。

從目前的發(fā)展態(tài)勢(shì)來(lái)看，生活要恢復(fù)正常還有很長(zhǎng)的路要走，而且一些變化態(tài)勢(shì)，比如遠(yuǎn)程工作，看起來(lái)會(huì)一直會(huì)存在下去，隨著這些變化而出現(xiàn)的新的網(wǎng)絡(luò)威脅也是如此。

日前卡巴斯基專家回顧了自大流行開(kāi)始以來(lái)，威脅格局是如何演變的，以及這對(duì)用戶未來(lái)幾年的安全防御意味著什么。

從有針對(duì)性的攻擊到利用所有與新冠病毒相關(guān)的主題、垃圾郵件和網(wǎng)絡(luò)釣魚(yú)的最大趨勢(shì)

網(wǎng)絡(luò)釣魚(yú)仍然是最有效的攻擊類型之一，因?yàn)樗糜脩舻那榫w、特別是他們的恐懼和焦慮。隨著前兩者的流行，網(wǎng)絡(luò)釣魚(yú)攻擊被證明是網(wǎng)絡(luò)攻擊者非常有利可圖的攻擊媒介。

2020年，攻擊者發(fā)起了各種各樣的騙局，從各個(gè)角度利用了新冠疫情的主題，從廣告、供不應(yīng)求的口罩到政府的特殊退款。

在上述一封釣魚(yú)郵件中，可以看到偽造的口罩購(gòu)買登陸頁(yè)面，提示用戶輸入他們的付款詳細(xì)信息

攻擊者經(jīng)常模仿疾病預(yù)防控制中心和世界衛(wèi)生組織等流行病界的主要權(quán)威人物，以新冠疫情為主題來(lái)發(fā)送一些電子郵件，利用這種釣魚(yú)郵件，增加用戶點(diǎn)擊惡意鏈接的機(jī)會(huì)。一旦點(diǎn)擊，用戶最終可能會(huì)無(wú)意中被各種木馬(各種惡意文件允許網(wǎng)絡(luò)攻擊者執(zhí)行一切操作，比如從刪除和阻止數(shù)據(jù)到破壞計(jì)算機(jī)性能)和蠕蟲(chóng)(具有一定功能的文件)攻擊，之后攻擊者就會(huì)在其計(jì)算機(jī)上下載一系列惡意程序，竊取受害者設(shè)備上的隱私數(shù)據(jù)，更有甚者，會(huì)進(jìn)行勒索攻擊。當(dāng)然，在其他攻擊場(chǎng)景，例如那些涉及口罩廣告的情況，主要目標(biāo)是竊取金錢或收集用戶信息。

一封來(lái)自疾控中心的郵件，聲稱有關(guān)于新冠疫情的緊急更新

令人驚訝的是，被利用的最常見(jiàn)主題之一為“延遲交貨”。攻擊者發(fā)起攻擊的手段通常是發(fā)送各種偽造的商業(yè)訂單，攻擊者利用新冠疫情期間物流的不確定性誘騙用戶點(diǎn)擊信息，下載惡意程序。他們會(huì)發(fā)送電子郵件，聲稱由于新冠疫情，交貨時(shí)間需要不斷被延遲，為了重新配送，必須要用戶重新提交新的交貨信息才能重新郵寄。但是，點(diǎn)擊附件后，用戶下載的卻是各種惡意程序和木馬。

一封網(wǎng)絡(luò)釣魚(yú)電子郵件，聲稱快遞已被延遲且其中包含惡意附件

實(shí)際上，在2020年，快遞服務(wù)已成為網(wǎng)絡(luò)釣魚(yú)的重災(zāi)區(qū)。

遠(yuǎn)程工作是網(wǎng)絡(luò)攻擊興起的重要原因

由于許多公司在沒(méi)有得到通知的情況下被迫關(guān)門，很少有公司有時(shí)間采取適當(dāng)?shù)陌踩胧Ｆ浣Y(jié)果是，隨著員工開(kāi)始從個(gè)人設(shè)備和不安全的網(wǎng)絡(luò)上登錄公司資源，許多公司變得容易受到攻擊。其中最重要的攻擊有，針對(duì)RDP協(xié)議的暴力攻擊，RDP協(xié)議是微軟的專有協(xié)議，使用戶能夠訪問(wèn)Windows工作站或服務(wù)器。 目前，RDP協(xié)議是公司使用的最流行的遠(yuǎn)程訪問(wèn)協(xié)議之一，使其成為攻擊者的最愛(ài)目標(biāo)。在暴力攻擊中，攻擊者通過(guò)嘗試不同的組合來(lái)隨機(jī)猜測(cè)RDP連接的用戶名和密碼，直到他們猜出正確的組合，從而獲得對(duì)機(jī)密公司資源的訪問(wèn)權(quán)。

2020年春天，全球范圍內(nèi)針對(duì)RDP協(xié)議的暴力攻擊數(shù)量都在飆升。

針對(duì)RDP協(xié)議的暴力攻擊次數(shù)

如圖所示，一旦封城消息被被宣布，暴力破解的RDP攻擊數(shù)量就會(huì)急劇增加——從2月份的9310萬(wàn)起，到3月份的277.4億起，增長(zhǎng)了197%。雖然攻擊的次數(shù)隨著新冠疫情的繼續(xù)而有所減少，但襲擊的次數(shù)并沒(méi)有回到大流行病前的水平。事實(shí)上，在冬季宣布新的封城措施后，RDP攻擊再次呈現(xiàn)上升趨勢(shì)。在2021年2月，發(fā)生了3.775億起暴力襲擊事件，與2020年初的9310萬(wàn)起相比簡(jiǎn)直是天上地下。

網(wǎng)絡(luò)社交平臺(tái)也成了熱門攻擊目標(biāo)

隨著社交的物理隔絕，對(duì)網(wǎng)絡(luò)社交的需求達(dá)到了前所未有的水平。從Facebook到Netflix再到Y(jié)ouTube，大公司都被迫降低視頻質(zhì)量以滿足需求。所有這些額外的用戶意味著大量新的犯罪目標(biāo)。截至2020年5月，卡巴斯基網(wǎng)絡(luò)殺毒軟件平均每天攔截的攻擊次數(shù)增加了25%。事實(shí)上，網(wǎng)絡(luò)攻擊的數(shù)量在2020年夏天出現(xiàn)下降后，在12月達(dá)到了新的高峰，當(dāng)時(shí)世界大部分地區(qū)正面臨第二波疫情。

2020年3月至2021年2月被卡巴斯基網(wǎng)絡(luò)殺毒軟件攔截的網(wǎng)絡(luò)攻擊數(shù)量

用戶在網(wǎng)上花費(fèi)的大部分時(shí)間都用于虛擬會(huì)議和協(xié)作，這就是為什么Zoom和Teams等會(huì)議和聊天應(yīng)用成為傳播惡意程序的熱門目標(biāo)。

在檢查了包括Zoom，Webex和MS Teams在內(nèi)的流行會(huì)議和視頻會(huì)議應(yīng)用程序之后，卡巴斯基的研究人員注意到，越來(lái)越多的惡意文件以這些應(yīng)用程序的名稱為幌子進(jìn)行傳播。

以流行的會(huì)議應(yīng)用(Webex，Zoom，MS Teams，HighFive，Lifesize，Join.me，Slack，F(xiàn)lock和Gotomeeting)為幌子傳播的惡意文件數(shù)量

在今年1月，研究人員共檢測(cè)到了115萬(wàn)個(gè)此類文件，這是自新冠疫情以來(lái)的最高數(shù)量。這些文件通常偽裝成看似合法的應(yīng)用程序安裝程序來(lái)發(fā)起攻擊，它們通常通過(guò)以下方式進(jìn)行傳播：偽裝成平臺(tái)通知或特殊優(yōu)惠的網(wǎng)絡(luò)釣魚(yú)郵件或網(wǎng)絡(luò)釣魚(yú)網(wǎng)頁(yè)來(lái)誘騙用戶下載。

總結(jié)

隨著人們的生活變得越來(lái)越數(shù)字化，這種攻擊趨勢(shì)可能會(huì)持續(xù)下去。盡管新冠疫情可能已進(jìn)入最后階段，但釣魚(yú)攻擊者仍然有新的話題可以利用，例如旅行或分發(fā)疫苗的話題。用戶必須以懷疑的眼光看待任何涉及新冠疫情的電子郵件或網(wǎng)站，這一點(diǎn)很重要。更重要的是，最近發(fā)生的事件表明，攻擊者很會(huì)利用危機(jī)事件的話題，盡管這種流行趨勢(shì)將消退，但它肯定很有被利用的價(jià)值。

許多組織已經(jīng)聲明就算是沒(méi)有疫情，他們也將繼續(xù)使遠(yuǎn)程工作成為一種常態(tài)工作模式。這意味著RDP的安全保護(hù)毫無(wú)用處，企業(yè)需要重新評(píng)估其RDP的使用并學(xué)習(xí)如何保護(hù)遠(yuǎn)程訪問(wèn)。

本文翻譯自：https://securelist.com/covid-19-examining-the-threat-landscape-a-year-later/101154/如若轉(zhuǎn)載，請(qǐng)注明原文地址。