新型側(cè)載惡意軟件如何破壞業(yè)務(wù)

責(zé)任編輯:cres

作者:Michael Hill

2021-12-24 10:21:36

來(lái)源:企業(yè)網(wǎng)D1Net

原創(chuàng)

針對(duì)Windows的新型側(cè)載惡意軟件活動(dòng)使用了用戶難以發(fā)現(xiàn)的網(wǎng)絡(luò)釣魚和社交工程策略。本文介紹了什么是側(cè)載攻擊,它們?nèi)绾芜\(yùn)行,會(huì)對(duì)企業(yè)造成什么損害,以及如何防御它們。

Mimecast威脅中心的新研究詳細(xì)介紹了最近通過(guò)側(cè)載(sideloading)技術(shù)傳送的惡意軟件活動(dòng)。它針對(duì)Microsoft Store中的Microsoft App Installer功能,該功能允許用戶從網(wǎng)頁(yè)安裝Windows 10應(yīng)用程序。據(jù)悉,此事背后的惡意行為者之前還曾利用Trickbot和BazarLoader分發(fā)垃圾郵件,進(jìn)而誘發(fā)勒索軟件攻擊。
 
不過(guò),此次活動(dòng)只是側(cè)載攻擊構(gòu)成威脅的一個(gè)主要示例。那么究竟什么是側(cè)載攻擊?它們?nèi)绾芜\(yùn)行?會(huì)對(duì)企業(yè)造成什么損害?以及如何防御它們?以下是企業(yè)需要了解的有關(guān)側(cè)載攻擊的全部信息。
 
什么是側(cè)載攻擊(sideloading attack)?
 
Netacea威脅研究主管Matthew Gracey McMinn介紹稱,“側(cè)載只是將應(yīng)用程序安裝到手機(jī)或計(jì)算機(jī)等設(shè)備上。只是,它與正常安裝的主要區(qū)別在于,側(cè)載是指在不使用應(yīng)用商店的情況下安裝應(yīng)用程序的操作。例如,從Google查找應(yīng)用程序并將其安裝到iPhone中,而不是從App Store下載。”
 
在此過(guò)程中,攻擊者所要做的就是讓用戶相信自己正在安裝一個(gè)合法且值得信賴的應(yīng)用程序。 Redscan威脅情報(bào)主管George Glass表示,此類應(yīng)用程序可能未經(jīng)安全測(cè)試,并且本質(zhì)上可能是惡意的,因此用戶通過(guò)安裝它們會(huì)面臨安全威脅。雖然大多數(shù)設(shè)備都已禁用此訪問(wèn),需要用戶在菜單中手動(dòng)啟用它才能運(yùn)行,但Windows 10如今仍默認(rèn)允許側(cè)載。
 
Glass補(bǔ)充道,“通常來(lái)說(shuō),這些應(yīng)用程序是在某種形式的社交工程攻擊之后通過(guò)網(wǎng)絡(luò)釣魚電子郵件或彈出廣告下載的。用戶還可能被“免費(fèi)”或“破解”版本吸引,進(jìn)而下載包含惡意代碼的軟件。”
 
最近觀察到的一個(gè)側(cè)載攻擊案例就是WizardUpdate,它偽裝成合法的應(yīng)用程序,例如 Adobe Flash Player。最初,該應(yīng)用程序只是一種偵察工具,用于收集系統(tǒng)信息并將其轉(zhuǎn)發(fā)回命令和控制(C2)服務(wù)器。然而,該應(yīng)用程序現(xiàn)在已升級(jí)為包含避免macOS網(wǎng)守保護(hù)、從應(yīng)用程序內(nèi)加載其他程序(例如廣告軟件和惡意軟件)以及更改系統(tǒng)設(shè)置等功能。
 
Gracey McMinn指出,鑒于許多公司都擁有不通過(guò)官方應(yīng)用商店提供,且業(yè)務(wù)流程所需的合法定制應(yīng)用程序,因此側(cè)載也就成為其生態(tài)系統(tǒng)的必要組成部分。
 
側(cè)載攻擊的影響
 
側(cè)載攻擊對(duì)企業(yè)造成的潛在損害可能是巨大的。Glass解釋稱,“側(cè)載應(yīng)用程序攻擊可能會(huì)導(dǎo)致企業(yè)遭到入侵,除非支付贖金,否則無(wú)法訪問(wèn)數(shù)據(jù),或者是機(jī)密數(shù)據(jù)外泄。此外,側(cè)載應(yīng)用程序存在與電子郵件附帶惡意軟件類似的風(fēng)險(xiǎn),只是側(cè)載攻擊最初的感染方法可能會(huì)受到相對(duì)較少的安全控制。”
 
攻擊者能夠在側(cè)載攻擊中傳播的惡意軟件范圍極廣——從簡(jiǎn)單的鍵盤記錄器或勒索軟件,到刪除數(shù)據(jù)并使設(shè)備無(wú)法運(yùn)行的惡意軟件。狡猾的網(wǎng)絡(luò)犯罪分子會(huì)嘗試將惡意軟件與有用的東西(例如免費(fèi)的PDF到Word文檔轉(zhuǎn)換器)捆綁在一起。用戶安裝了自認(rèn)為有用的工具,卻完全不知道后臺(tái)運(yùn)行的惡意軟件。這種后臺(tái)惡意軟件會(huì)創(chuàng)建一個(gè)后門,使攻擊者可以訪問(wèn)和控制設(shè)備。
 
一些攻擊者選擇將這些進(jìn)入公司的訪問(wèn)點(diǎn)出售給其他參與者,而另一些則會(huì)繼續(xù)利用這些訪問(wèn)點(diǎn)發(fā)起進(jìn)一步攻擊。Gracey McMinn介紹稱,“擁有網(wǎng)絡(luò)后門的網(wǎng)絡(luò)犯罪分子可以以此為立足點(diǎn),進(jìn)一步破壞更多端點(diǎn)。他們將在網(wǎng)絡(luò)中(從計(jì)算機(jī)到計(jì)算機(jī)、服務(wù)器到服務(wù)器)移動(dòng),直到獲取足夠的訪問(wèn)和控制權(quán)限來(lái)發(fā)動(dòng)針對(duì)目標(biāo)的大規(guī)模攻擊。”
 
如此一來(lái),即便是一臺(tái)計(jì)算機(jī)上的一個(gè)簡(jiǎn)單的惡意側(cè)載應(yīng)用程序,都可能會(huì)導(dǎo)致關(guān)鍵服務(wù)器和業(yè)務(wù)的廣泛部分遭受全面勒索軟件攻擊,進(jìn)而削弱業(yè)務(wù)并阻止其執(zhí)行核心業(yè)務(wù)功能。此類攻擊的問(wèn)題在于,攻擊者可以安裝的惡意軟件類型實(shí)際上沒(méi)有限制。
 
如何防止側(cè)載攻擊
 
雖然喪失對(duì)關(guān)鍵服務(wù)、數(shù)據(jù)庫(kù)、數(shù)字流程的訪問(wèn)權(quán)以及使用IT資產(chǎn)的能力,足以讓任何安全領(lǐng)導(dǎo)者徹夜難眠,但CISO可以采取措施幫助企業(yè)防止側(cè)載攻擊。安全專家一致認(rèn)為,想要實(shí)現(xiàn)這一點(diǎn),必須將技術(shù)控制與用戶意識(shí)結(jié)合起來(lái)。
 
技術(shù)控制可以限制用戶安裝應(yīng)用程序的能力,但這些對(duì)于業(yè)務(wù)需求來(lái)說(shuō)并非總是實(shí)用的。這就是意識(shí)培訓(xùn)發(fā)揮作用的地方。
 
Glass建議稱,考慮通過(guò)Windows組策略限制用戶權(quán)限,以防止非系統(tǒng)管理員在公司設(shè)備上下載和安裝可能不需要的程序。通過(guò)使用應(yīng)用程序允許列表,確保用戶僅直接從供應(yīng)商的網(wǎng)站或應(yīng)用程序商店而非第三方網(wǎng)站下載和安裝軟件。
 
企業(yè)還應(yīng)掃描電子郵件以防止惡意內(nèi)容到達(dá)受害者手中,并使用完整的網(wǎng)絡(luò)保護(hù)套件來(lái)檢測(cè)和阻止勒索軟件和其他惡意軟件,同時(shí),監(jiān)控進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流,并使用經(jīng)過(guò)驗(yàn)證且受保護(hù)的備份解決方案進(jìn)行恢復(fù)(如果數(shù)據(jù)丟失的話)。此外,還需要部署零信任策略,這可以防止用戶從未經(jīng)授權(quán)的位置安裝軟件,并將每個(gè)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限制在他們工作所需的范圍內(nèi)。
 
由于大多數(shù)側(cè)載攻擊都依賴社交工程技術(shù),因此對(duì)用戶進(jìn)行教育培訓(xùn)至關(guān)重要。此外,當(dāng)用戶找不到應(yīng)用程序來(lái)做他們業(yè)務(wù)所需的事情時(shí),他們經(jīng)常會(huì)嘗試側(cè)載應(yīng)用程序。為此,建議CISO確保企業(yè)中的所有員工都知道可以向他們請(qǐng)求獲取所需的應(yīng)用程序,以便為員工提供已知安全的應(yīng)用程序。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)