黑客战术三十六计之“声东击西”

更多全球网络安全资讯尽在E安全官网www.easyaq.com

好事成双的事情，当然是多多益善。但如果坏事接踵而来，就......在网络安全领域，在一场威胁搞得心力交瘁时，同时另一起威胁也在趁机发力会让安全响应人员郁闷出一口老血。

E安全11月24日文 许多网络安全组织机构专注于解决单个弱点和可利用的漏洞，认为这足以阻止攻击。然而如今的黑客比以往的网络犯罪更加复杂、更顽固。他们在发现一条通往目标的途径不奏效，便会陆续尝试直到成功入侵系统。
趋势科技发现，最近出现了一种新型攻击手段：并非只利用一起攻击，而是会充分利用两起单独的恶意软件攻击。

• 一种攻击负责分散注意力；

• 掩盖另一恶意软件的秘密恶意活动——以提供途径进一步感染，或窃取数据和知识产权。

黑客通常会利用特别明显的勒索软件样本发起初始攻击，提供理想的注意力分散工具。据趋势科技预测，这种攻击手段将在2018年越来越常见。此类攻击究竟是如何实施的？当面临此类攻击，组织机构如何保护自己？

“坏兔子”隐藏鱼叉式网络钓鱼活动

一起攻击掩盖另一起更具破坏性的攻击案例不在少数，比如“坏兔子”勒索病毒。当时它被用来感染了俄罗斯和乌克兰200多家组织机构。“坏兔子”利用“影子经纪人”（Shadow Brokers）窃取得来的NSA漏洞利用工具，使其能迅速渗透至受害者的网络并进行传播。

其它臭名昭著的恶意软件最近利用了“永恒之蓝（EternalBlue）”漏洞，例如NotPetya勒索软件。“坏兔子”则利用了“永恒浪漫”（EternalRomance） RCE（远程代码执行）漏洞利用。

当“坏兔子”攻击初次浮出水面时，研究人员发现感染始于被感染俄罗斯媒体网站的路过式下载（Drive-by Download），利用虚假的Flasher player安装恶意软件。成功感染之后，研究人员快速发现“坏兔子”除了感染及勒索以外，其样本还隐藏了强大的鱼叉式网络钓鱼攻击活动，大量乌克兰实体遭遇网络钓鱼攻击，这些网络钓鱼活动旨在窃取财务信息和其它敏感数据。

因此，最初的“坏兔子”勒索软件只是障眼法，更具针对性的攻击意在获取有价值的公司数据。乌克兰国家网络警察局局长Serhiy Demedyuk将这些实例称为“混合攻击”，并指出第一个攻击获得大量关注，从而使得第二个攻击低调的取得“破坏性结果”。

NotPetya意在破坏

2016年3月，Petya浮水水面，该恶意软件利用被染的电子邮件攻击受害者，然后继续加密单个文件，包括.exe文件。

2017年6月，NotPetya现身，最初看起来像是典型的勒索软件感染，能在受害者和网络之间迅速传播。虽然NotPetya与Petya极其类似——包括加密文件和勒索要求。

Petya与许多勒索软件样本一样，使用被感染的电子邮件。

NotPetya能自行传播，使用几种不同的方法进行感染，包括不需要人为干预就能成功入侵的后门。NotPetya还能加密更多文件，以至于硬盘无法使用。

出人意料的是，NotPetya实际上并不是一款勒索软件，也并非意图窃取数据以出售这些信息牟利，或盗取身份或实施其它恶意活动，它只是打着勒索软件的幌子进行数据清除的“破坏”行为。

防范混合攻击

随着黑客攻击日益复杂化，企业必须紧跟步伐，防御新型威胁。这些混合型攻击说明了解网络活动至关重要，确保不只关注一起攻击活动，而忽略了二次破坏性攻击。

预防措施包括端对端监控，这种方式有助于防止秘密恶意命令。IT管理人员和决策者应寻找解决方案，帮助发现针对性攻击活动，并提供网络可见性。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1538639872.shtml

推荐阅读：

• 乌克兰：“坏兔子”勒索攻击幕后黑手是俄罗斯APT28
  

• 坏兔子攻击：NSA网络武器“永恒浪漫”再被利用
  

• “坏兔子”攻击很可能出自TeleBots组织之手！
  

• 小心！RebBoot可能是披着勒索软件外衣的删除工具
  

• “made in China”最强背锅 勒索软件FakeCry“各种冒牌”有何目的？
  

• 人工智能如何阻止勒索软件？
  

• 新型Petya用勒索伪装自己 实际却在清除数据搞破坏！

▼点击“阅读原文” 查看更多精彩内容