“出现异常”的攻击
2021 年,诺顿杀毒软件的工控安全性权威专家注意到工控自然环境计算机上检出间谍软件的数据统计中出现一部分出现异常。虽然这种攻击中采用的恶意程序都归属于著名的商业服务间谍软件(如 AgentTesla/Origin Logger、HawkEye、Noon/Formbook、Masslogger、Snake Keylogger、Azorult、Lokibot 等),但这种攻击的总体目标极为比较有限且每一个样本的生命期都特别短。如下图鲜红色方形所显示:
故意样本检出总数与发觉時间
这种攻击的生命期通常在 25 天上下,且攻击的计算机总数不超过 100 台。在其中 40-45% 是工控自然环境下的计算机,其他为同一机构的别的 IT 基础设施建设。
在 2021 年上半年度时,全世界工控自然环境计算机上被检出的全部间谍软件样本约有 21.2% 也是该类攻击的范围。而且依据地区的不一样,有高达六分之一的计算机遭受该类攻击。
C&C 基础设施建设
这种主要表现出“出现异常”的故意样本,大多数都应用根据 SMTP(并非 FTP/HTTP)的 C&C 频带开展单边数据信息传说故事,这寓意攻击者的目的便是盗取数据信息。
出现异常样本与所有样本的比照
TTP
诺顿杀毒软件觉得,盗取的信息关键被攻击者用于在失陷机构内开展横着移动或是是用于攻击其他组织。
攻击者会使用以前攻占的安排的电子邮箱做为进行新攻击的 C&C 网络服务器。
在类似攻击中,发觉了大批量的攻击全是根据装扮成无法检验的钓鱼邮件进行的。攻击者就乱用公司邮箱的手机联系人信赖进行攻击,从一个企业散播到另一个企业。
攻击者个人行为平面图
此外,公司布署的垃圾邮件过滤技术性使这种邮箱在垃圾短信文件夹名称中不易被发觉,这也让攻击者从失陷服务器盗取凭证时可以不被留意。
总而言之,早已发觉超出 2000 个归属于工业生产机构的公司邮箱被乱用,做为进行新攻击的 C&C 网络服务器。依据诺顿杀毒软件的估计,很有可能也有超出 7000 个电子邮箱被在互联网上售卖或是以其它方法被乱用。
攻击者
大部分攻击全是由水准不高的自己或是小犯罪团伙单独进行的,大部分全是立即性的金融犯罪,也有一些攻击者会将失陷企业互联网服务(SMTP、SSH、RDP、VPN 等)的凭证在市場上销售盈利。
地底销售市场
追踪了超出 25 个地底销售市场,目前市面上有很多早已确定失窃的数据信息已经被售卖。各种各样商家给予了数千个 RDP、SMTP、SSH、cPanel 及其电子邮箱账号在出售,有的甚至于还包含恶意程序、诈骗计划方案及其钓鱼邮件和垂钓网页页面。
对市面上可售的 50000 个 RDP 帐户的数据库开展数据分析,在其中 1954 个(3.9%)归属于工业生产机构。
有关领域统计分析
这种消息可以被根据很多种方法乱用,乃至有可能被勒索病毒犯罪团伙或是 APT 机构所运用。在地底销售市场上,对企业内部系统软件访问限制的市场需求是许多的,攻击者也已经积极主动达到那些要求。
提议
- 考虑到为公司邮箱及其别的朝向互联网技术的服务项目(包含 RDP、VPN-SSL 网关ip等)执行双因素认证,防止攻击者根据这种服务项目直触碰达重要数据信息和基础设施建设
- 保证 IT 和 OT 互联网上的全部节点都是在维护区域内
- 按时学习培训职工,提升妥善处理接到电子邮箱的安全防范意识
- 定期维护垃圾短信,并非仅仅立即清除
- 监管机构帐户在移动互联网上的泄漏状况
- 考虑到对接收的电子邮箱配件实行沙盒游戏检测,不绕过查验受信赖来源于的电子邮箱
- 乃至对发送的邮件也要查验,也有可能使自身意识到被攻占了
参照来源于:Kaspersky