新闻快讯
< >

警惕双重攻击:黑客攻击施展障碍法掩盖另一起攻击

好事成双的事情,当然是多多益善。但如果坏事接踵而来,就......在网络安全领域,在一场威胁搞得心力交瘁时,同时另一起威胁也在趁机发力会让安全响应人员郁闷出一口老血。

E安全11月24日讯 许多网络安全组织机构专注于解决单个弱点和可利用的漏洞,认为这足以阻止攻击。然而如今的黑客比以往的网络犯罪更加复杂、更顽固。他们在发现一条通往目标的途径不奏效,便会陆续尝试直到成功入侵系统。
趋势科技发现,最近出现了一种新型攻击手段:并非只利用一起攻击,而是会充分利用两起单独的恶意软件攻击。

  • 一种攻击负责分散注意力;

  • 掩盖另一恶意软件的秘密恶意活动——以提供途径进一步感染,或窃取数据和知识产权。

黑客通常会利用特别明显的勒索软件样本发起初始攻击,提供理想的注意力分散工具。据趋势科技预测,这种攻击手段将在2018年越来越常见。
此类攻击究竟是如何实施的?当面临此类攻击,组织机构如何保护自己?

警惕双重攻击:攻击施展障碍法掩盖另一起攻击-E安全

 “坏兔子”(Bad Rabbit)隐藏鱼叉式网络钓鱼活动

一起攻击掩盖另一起更具破坏性的攻击案例不在少数,比如“坏兔子”勒索病毒。当时它被用来感染了俄罗斯和乌克兰200多家组织机构。“坏兔子”利用“影子经纪人”(Shadow Brokers)窃取得来的NSA漏洞利用工具,使其能迅速渗透至受害者的网络并进行传播。

其它臭名昭著的恶意软件最近利用了“永恒之蓝(EternalBlue)”漏洞,例如NotPetya勒索软件。“坏兔子”则利用了“永恒浪漫”(EternalRomance) RCE(远程代码执行)漏洞利用。

当“坏兔子”攻击初次浮出水面时,研究人员发现感染始于被感染俄罗斯媒体网站的路过式下载(Drive-by Download),利用虚假的Flasher player安装恶意软件。成功感染之后,研究人员快速发现“坏兔子”除了感染及勒索以外,其样本还隐藏了强大的鱼叉式网络钓鱼攻击活动,大量乌克兰实体遭遇网络钓鱼攻击,这些网络钓鱼活动旨在窃取财务信息和其它敏感数据。

因此,最初的“坏兔子”勒索软件只是障眼法,更具针对性的攻击意在获取有价值的公司数据。乌克兰国家网络警察局局长Serhiy Demedyuk将这些实例称为“混合攻击”,并指出第一个攻击获得大量关注,从而使得第二个攻击低调的取得“破坏性结果”。

NotPetya意在破坏

2016年3月,Petya浮水水面,该恶意软件利用被染的电子邮件攻击受害者,然后继续加密单个文件,包括.exe文件。

2017年6月,NotPetya现身,最初看起来像是典型的勒索软件感染,能在受害者和网络之间迅速传播。虽然NotPetya与Petya极其类似——包括加密文件和勒索要求。

警惕双重攻击:攻击施展障碍法掩盖另一起攻击-E安全

Petya与许多勒索软件样本一样,使用被感染的电子邮件。

NotPetya能自行传播,使用几种不同的方法进行感染,包括不需要人为干预就能成功入侵的后门。NotPetya还能加密更多文件,以至于硬盘无法使用。

出人意料的是,NotPetya实际上并不是一款勒索软件,也并非意图窃取数据以出售这些信息牟利,或盗取身份或实施其它恶意活动,它只是打着勒索软件的幌子进行数据清除的“破坏”行为

防范混合攻击

随着黑客攻击日益复杂化,企业必须紧跟步伐,防御新型威胁。这些混合型攻击说明了解网络活动至关重要,确保不只关注一起攻击活动,而忽略了二次破坏性攻击。

预防措施包括端对端监控,这种方式有助于防止秘密恶意命令。IT管理人员和决策者应寻找解决方案,帮助发现针对性攻击活动,并提供网络可见性。

相关阅读:

小心!RebBoot可能是披着勒索软件外衣的删除工具

心塞!新型Petya并不是来勒索的,它在清除数据搞破坏!

乌克兰:“坏兔子”勒索攻击幕后黑手是俄罗斯APT28
坏兔子攻击:NSA网络武器“永恒浪漫”再被利用
“坏兔子”攻击很可能出自TeleBots组织之手!
警告:多国遭“坏兔子”(Bad Rabbit)勒索软件攻击【附攻击细节】

Petya病毒制作者首发公开声明,将赎金增至100个比特币
NotPetya背后的黑客组织神秘,或与乌克兰电网攻击有关
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。