2023年即將過(guò)去,在過(guò)去一年中�����,網(wǎng)絡(luò)安全領(lǐng)域遭逢劇變��。隨著地緣政治和經(jīng)濟(jì)局勢(shì)日趨緊張和不確定���,組織對(duì)有效的全球威脅情報(bào)的需求持續(xù)增長(zhǎng)���;隨著新的參與者和威脅在全球范圍內(nèi)不斷涌現(xiàn),威脅行為者也在持續(xù)進(jìn)化����,試圖開發(fā)并執(zhí)行新的戰(zhàn)術(shù)和方法。安全專家應(yīng)該假設(shè)�,沒(méi)有任何組織或個(gè)人能夠真正免于網(wǎng)絡(luò)威脅,并且越來(lái)越迫切地需要監(jiān)控和研究那些以新的姿態(tài)重新席卷而來(lái)的威脅�。
隨著勒索軟件家族的規(guī)模和復(fù)雜程度日益增加——包括通過(guò)地下論壇與其他威脅參與者協(xié)調(diào)和合作,勒索軟件仍是全球許多組織始終存在的“夢(mèng)靨”����;誘騙個(gè)人泄露其設(shè)備或敏感信息的社會(huì)工程策略正變得越來(lái)越狡猾和有針對(duì)性,同時(shí)能夠輕松逃避安全工具的檢測(cè);此外��,正如在烏克蘭、以色列和其他地區(qū)的威脅活動(dòng)所觀察到的那樣,為政治��、經(jīng)濟(jì)和領(lǐng)土野心服務(wù)的網(wǎng)絡(luò)攻擊趨勢(shì)仍在繼續(xù)。
Trellix高級(jí)研究中心威脅情報(bào)主管John Fokker表示:
下面��,來(lái)自Trellix高級(jí)研究中心團(tuán)隊(duì)的網(wǎng)絡(luò)安全專家和威脅研究人員匯總了他們對(duì)趨勢(shì)��、策略和威脅的預(yù)測(cè)�,隨著2024年的步伐漸進(jìn),組織應(yīng)該牢記這些預(yù)測(cè)���,以保持敏銳的目光向前發(fā)展��。
人工智能的威脅
1. 惡意LLM的地下開發(fā)
人工智能的最新進(jìn)展已經(jīng)產(chǎn)生了能夠生成類似人類文本的大型語(yǔ)言模型(LLM)�。雖然LLM在積極應(yīng)用方面表現(xiàn)出了顯著的技術(shù)潛力�,但其“兩用性”(dual-use)本質(zhì)也使其容易受到惡意利用。與LLM相關(guān)的一個(gè)重要安全問(wèn)題是���,它們可能會(huì)被網(wǎng)絡(luò)罪犯濫用于大規(guī)模攻擊比如勒索攻擊��、DDOS攻擊���、腳本攻擊等。
領(lǐng)先的LLM(如GPT-4����、Claude和PaLM2)在生成連貫的文本、回答復(fù)雜的查詢�����、解決問(wèn)題�����、編碼和許多其他自然語(yǔ)言任務(wù)方面取得了無(wú)與倫比的成果���。但這些高級(jí)的LLM的可用性和易用性也為網(wǎng)絡(luò)罪犯打開了新世紀(jì)大門��。與早期不那么復(fù)雜的人工智能系統(tǒng)不同���,如今的LLM為黑客提供了一種強(qiáng)大而經(jīng)濟(jì)的工具,消除了對(duì)大量專業(yè)知識(shí)�、時(shí)間和資源的需求。值得注意的是�,地下網(wǎng)絡(luò)犯罪市場(chǎng)成功把握住了這種價(jià)值�。
為大規(guī)模網(wǎng)絡(luò)釣魚活動(dòng)建立基礎(chǔ)設(shè)施已經(jīng)變得更便宜�����、更容易�����,甚至對(duì)技術(shù)技能有限的個(gè)人同樣有效��。像FraudGPT和WormGPT這樣的工具在網(wǎng)絡(luò)犯罪網(wǎng)絡(luò)中已經(jīng)十分突出���。如今流行的暗網(wǎng)論壇經(jīng)常作為協(xié)同開發(fā)網(wǎng)絡(luò)釣魚電子郵件�、假冒網(wǎng)頁(yè)以及創(chuàng)建惡意軟件和漏洞的平臺(tái)��,這些惡意軟件和漏洞旨在逃避成千上萬(wàn)用戶的檢測(cè)�����。這些LLM應(yīng)用程序可以幫助緩解網(wǎng)絡(luò)犯罪分子所面臨的巨大挑戰(zhàn)����,我們預(yù)計(jì)這些工具的開發(fā)和惡意使用將在2024年加速。
2. 腳本小子復(fù)興
最開始��,免費(fèi)和開源軟件的可用性導(dǎo)致了“腳本小子”(Script Kiddies)群體的興起,這些人幾乎沒(méi)有技術(shù)專長(zhǎng)���,主要依靠預(yù)先存在的自動(dòng)化工具或腳本發(fā)動(dòng)網(wǎng)絡(luò)攻擊���。盡管他們有時(shí)被視為技能不熟練的業(yè)余愛好者或黑帽的追隨者����,但先進(jìn)的生成式人工智能工具的日益普及,以及它們被惡意軟件濫用的可能性��,意味著腳本小子將對(duì)市場(chǎng)構(gòu)成重大且日益增長(zhǎng)的威脅���。
現(xiàn)在�,互聯(lián)網(wǎng)上充斥著各種人工智能驅(qū)動(dòng)的工具��,用于創(chuàng)建演示文稿��、生成語(yǔ)音筆記����、撰寫議論文等等。許多最著名的工具(如ChatGPT��、Bard或Perplexity AI)都帶有安全機(jī)制,以防止其被用于編寫惡意代碼���。然而�����,并非市場(chǎng)上所有可用的人工智能工具都存在安全機(jī)制��,尤其是那些在暗網(wǎng)上開發(fā)的工具����。
網(wǎng)絡(luò)犯罪分子獲得不受限制的生成式人工智能只是時(shí)間問(wèn)題���,這種人工智能可以編寫惡意代碼�、創(chuàng)建deepfakes視頻����、協(xié)助社會(huì)工程計(jì)劃等等。這將使技能有限的攻擊者比以往任何時(shí)候都更容易大規(guī)模地執(zhí)行復(fù)雜的攻擊��。此外��,廣泛利用這些工具來(lái)濫用漏洞將使攻擊溯源分析變得更具挑戰(zhàn)性�����。我們認(rèn)為這是2024年需要仔細(xì)監(jiān)測(cè)的領(lǐng)域。
3. 用于社會(huì)工程的AI生成語(yǔ)音詐騙
AI生成語(yǔ)音詐騙的增加也是一個(gè)令人擔(dān)憂的現(xiàn)象��,并預(yù)計(jì)會(huì)在未來(lái)一年出現(xiàn)繼續(xù)增長(zhǎng)趨勢(shì)�,給個(gè)人和組織帶來(lái)重大風(fēng)險(xiǎn)。這些騙局通常涉及社會(huì)工程策略�,騙子使用心理操縱技術(shù)欺騙個(gè)人采取特定行動(dòng),例如披露個(gè)人信息或執(zhí)行金融交易�����。AI生成的語(yǔ)音在這方面發(fā)揮著至關(guān)重要的作用��,因?yàn)樗鼈兛梢韵蚴芎φ吖噍斝湃魏途o迫感���,使他們更容易受到操縱。
AI的最新進(jìn)展極大地提高了AI生成語(yǔ)音的質(zhì)量�。它們現(xiàn)在可以非常逼真地模仿人類的語(yǔ)言模式和細(xì)微差別,這使得區(qū)分真實(shí)和虛假的聲音變得越來(lái)越困難����。此外,AI語(yǔ)音生成工具的可訪問(wèn)性和可負(fù)擔(dān)性也進(jìn)一步擴(kuò)大其采用率�����。即使是沒(méi)有技術(shù)專長(zhǎng)的人也可以很容易地利用這些工具來(lái)制造令人信服的人造聲音,從而使騙子有機(jī)可施�。
可擴(kuò)展性是另一個(gè)關(guān)鍵因素。騙子可以利用AI生成的聲音來(lái)自動(dòng)化和放大他們的欺詐活動(dòng)���。他們可以通過(guò)個(gè)性化的語(yǔ)音信息或電話同時(shí)瞄準(zhǔn)眾多潛在的受害者���,增加他們的影響力和有效性。實(shí)時(shí)檢測(cè)AI生成的聲音是一項(xiàng)重大挑戰(zhàn)��,特別是對(duì)于不熟悉這項(xiàng)技術(shù)的人來(lái)說(shuō)���。AI生成語(yǔ)音的真實(shí)性越來(lái)越高����,使得受害者很難區(qū)分真實(shí)和虛假的通信����。此外,這些騙局不受語(yǔ)言障礙的限制�����,允許騙子針對(duì)不同地理區(qū)域和語(yǔ)言背景的受害者。
網(wǎng)絡(luò)釣魚和語(yǔ)音釣魚攻擊都在上升���。隨著AI語(yǔ)音技術(shù)的進(jìn)步���,威脅行為者將利用這些應(yīng)用程序與受害者進(jìn)行實(shí)時(shí)電話通話,冒充合法實(shí)體�,以此提高其騙局的有效性。
威脅行為者行為的變化趨勢(shì)
4. 針對(duì)托管文件傳輸解決方案的供應(yīng)鏈攻擊
托管文件傳輸(MFT)解決方案的設(shè)計(jì)初衷是在實(shí)體之間安全地交換敏感數(shù)據(jù)����,但它本身就包含了大量機(jī)密信息,涉及知識(shí)產(chǎn)權(quán)�、客戶數(shù)據(jù)�����、財(cái)務(wù)記錄等等�����。MFT解決方案在現(xiàn)代業(yè)務(wù)運(yùn)營(yíng)中發(fā)揮著關(guān)鍵作用�,組織嚴(yán)重依賴它們來(lái)促進(jìn)內(nèi)部和外部的無(wú)縫數(shù)據(jù)共享。這些系統(tǒng)的任何中斷或破壞都可能導(dǎo)致重大的操作停機(jī)、聲譽(yù)受損和經(jīng)濟(jì)損失�。鑒于此,它們成為勒索軟件攻擊者的關(guān)鍵目標(biāo)���。
此外��,MFT系統(tǒng)的復(fù)雜性及其與內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)的集成通常會(huì)產(chǎn)生安全弱點(diǎn)和漏洞�,這些弱點(diǎn)和漏洞可能被網(wǎng)絡(luò)罪犯利用�����。就在上個(gè)月���,我們看到Cl0P組織利用Go-anywhere MFT解決方案和MOVEit漏洞�����,將一個(gè)成功的漏洞變成了一個(gè)重大的全球軟件供應(yīng)鏈漏洞�。在接下來(lái)的一年里�,我們預(yù)計(jì)這些類型的攻擊只會(huì)增加,有更多威脅行為者將參與其中����。因此����,強(qiáng)烈建議組織徹底審查其托管文件傳輸解決方案��,實(shí)施數(shù)據(jù)丟失防護(hù)(DLP)解決方案并加密敏感數(shù)據(jù)以保護(hù)自己����。
5. 惡意軟件威脅正變得多語(yǔ)言化
近年來(lái),使用諸如Golang���、Nim和Rust等編程語(yǔ)言開發(fā)惡意軟件的情況明顯增加�。雖然與C或c++等其他語(yǔ)言相比����,它的數(shù)量仍然很低,但我們預(yù)計(jì)這種情況在未來(lái)將有所改變�����。
Go的簡(jiǎn)單性和并發(fā)能力使其成為制作輕量級(jí)和快速惡意軟件的最愛�����。Nim對(duì)性能和表現(xiàn)力的關(guān)注使得它對(duì)于創(chuàng)建復(fù)雜的惡意軟件非常有用�����。同時(shí)���,Rust的內(nèi)存管理功能對(duì)勒索軟件組織和其他關(guān)注惡意軟件樣本加密效率的威脅參與者極具吸引力���。
缺乏針對(duì)這些語(yǔ)言的綜合分析工具,使得這個(gè)新興領(lǐng)域變得更加復(fù)雜���。Nim和Rust相對(duì)較新�����,這意味著與C或Python等語(yǔ)言相比�,現(xiàn)有的安全工具較少�����。分析工具的稀缺性給網(wǎng)絡(luò)安全專家?guī)?lái)了重大挑戰(zhàn)��,使他們難以剖析和抵御用這些語(yǔ)言編寫的惡意軟件��。
最近幾個(gè)月�����,我們已經(jīng)觀察到基于Golang的惡意軟件呈增加趨勢(shì),因此�,預(yù)測(cè)2024基于這些語(yǔ)言開發(fā)的惡意軟件將顯著激增。
6. 更多重的勒索軟件敲詐
由于勒索軟件組織主要是受經(jīng)濟(jì)驅(qū)動(dòng)的���,所以看到他們找到新的方法向受害者勒索更多的錢并迫使他們支付贖金也就不足為奇了���。我們開始看到勒索軟件組織聯(lián)系受害者的客戶,作為一種新的方式來(lái)施加壓力����,回?fù)糇钚碌睦账鬈浖徑獯胧_@使得他們不僅可以向其攻擊的直接受害者勒索被盜數(shù)據(jù)��,還可以向可能受到被盜數(shù)據(jù)影響的受害者的任何客戶進(jìn)行勒索����。
勒索軟件組織想辦法利用媒體和公眾的壓力來(lái)對(duì)付他們的受害者并不是什么新鮮事。早在2022年����,澳大利亞最大的健康保險(xiǎn)公司之一就遭遇了數(shù)據(jù)泄露��。在向保險(xiǎn)公司支付贖金的同時(shí),威脅行為者還公布了大量醫(yī)療數(shù)據(jù)——導(dǎo)致公眾和官員向勒索軟件受害者施加壓力���,要求他們支付贖金以刪除醫(yī)療信息��。此外���,由于發(fā)布的數(shù)據(jù)具有極大的私密性,許多客戶甚至走進(jìn)保險(xiǎn)公司的店面�,提出要付費(fèi)刪除自己的詳細(xì)信息。
隨著這種勒索形式越來(lái)越流行����,它為這些攻擊者提供了新的途徑來(lái)勒索受影響的人。我們預(yù)計(jì)勒索軟件組織將更多地瞄準(zhǔn)那些不僅處理敏感個(gè)人信息���,還處理可用于勒索客戶的私密細(xì)節(jié)的實(shí)體����。2024年�,醫(yī)療保健、社交媒體��、教育和軟件即服務(wù)(SaaS)行業(yè)將更容易受到這些勒索團(tuán)伙的攻擊����。
7. 選舉安全必須從保護(hù)“圈內(nèi)人”開始
針對(duì)選舉安全的關(guān)鍵威脅仍然是基本的��,通常從電子郵件或短信開始����,“壞人”通過(guò)創(chuàng)造性的網(wǎng)絡(luò)釣魚計(jì)劃積極針對(duì)選舉官員���,以試圖獲取憑據(jù)������;仡欉^(guò)去三年�����,“網(wǎng)絡(luò)釣魚”一詞被明顯地用于關(guān)注四個(gè)戰(zhàn)場(chǎng)州的關(guān)鍵官員�。除非從城市和鄉(xiāng)村選舉官員到志愿者等各級(jí)參與的個(gè)人都得到保護(hù),否則即將到來(lái)的選舉周期也不會(huì)有什么不同�。
網(wǎng)絡(luò)攻擊(如魚叉式網(wǎng)絡(luò)釣魚和復(fù)雜的冒充)繼續(xù)使用電子郵件作為主要切入點(diǎn),因?yàn)樗梢愿叨榷ㄖ��,并專注于提高成功利用的水平。隨著我們離2024年大選周期越來(lái)越近����,參與選舉的每個(gè)人都必須繼續(xù)仔細(xì)檢查電子郵件�,不要相信無(wú)法識(shí)別的超鏈接。他們應(yīng)該特別警惕高度針對(duì)性和復(fù)雜的冒充�、商業(yè)電子郵件妥協(xié)(BEC)攻擊和魚叉式網(wǎng)絡(luò)釣魚活動(dòng),并考慮利用解決方案來(lái)檢測(cè)和阻止高級(jí)惡意文件和URL�。
在選舉中發(fā)揮作用賦予所有個(gè)人權(quán)力,但這些作用也伴隨著一項(xiàng)重要的責(zé)任�����。每一個(gè)參與者都必須了解那些試圖通過(guò)非法手段影響選舉進(jìn)程的人���,并為他們做好準(zhǔn)備�。
新出現(xiàn)的威脅和攻擊方法
8. 內(nèi)部威脅持續(xù)激增
近年來(lái)�����,內(nèi)部威脅帶來(lái)了多方面的風(fēng)險(xiǎn)��,影響著全球的公共和私人組織�。內(nèi)部威脅指的是任何人,無(wú)論是員工、承包商����、合作伙伴,還是具有惡意訪問(wèn)權(quán)限的人����,他們?cè)?jīng)或現(xiàn)在有權(quán)訪問(wèn)組織的關(guān)鍵資產(chǎn),包括設(shè)施��、信息�、網(wǎng)絡(luò)和系統(tǒng)。根據(jù)最近的行業(yè)分析��,在過(guò)去兩年中��,內(nèi)部威脅增加了47%�����,為遏制這些事件而造成的總損失為1538萬(wàn)美元�����。
這種威脅破壞了組織的機(jī)密性和完整性�,同時(shí)幫助對(duì)手收集情報(bào),實(shí)施破壞行動(dòng),并使用詭計(jì)來(lái)實(shí)現(xiàn)他們的邪惡目標(biāo)�����。隨著互聯(lián)設(shè)備的不斷增加����,以及混合和遠(yuǎn)程工作人員的持續(xù)存在����,內(nèi)部威脅只會(huì)繼續(xù)增長(zhǎng)���?焖僭鲩L(zhǎng)的內(nèi)部威脅對(duì)人員�����、流程和技術(shù)提出了巨大的挑戰(zhàn)�����。在當(dāng)今的威脅環(huán)境中���,組織必須識(shí)別、評(píng)估、檢測(cè)和管理這些內(nèi)部威脅��,以保持利益相關(guān)者的信心��。
9. QR碼之戰(zhàn)愈演愈烈
基于二維碼的網(wǎng)絡(luò)釣魚活動(dòng)的興起是另一個(gè)令人擔(dān)憂的趨勢(shì)���。隨著我們的日常生活越來(lái)越依賴于數(shù)字交互�����,攻擊者也在調(diào)整他們的策略來(lái)利用新的漏洞��。二維碼最初是為了方便和高效而設(shè)計(jì)的����,但現(xiàn)在已經(jīng)成為網(wǎng)絡(luò)犯罪分子用于實(shí)施攻擊的誘人工具����。
QR碼網(wǎng)絡(luò)釣魚(Quishing)活動(dòng)預(yù)計(jì)會(huì)增加的主要原因之一是它們固有的可信度。在新冠病毒大流行期間��,從非接觸式支付到餐廳菜單����,二維碼在日常生活的各個(gè)方面都變得至關(guān)重要��。因此����,人們已經(jīng)習(xí)慣了不假思索地掃描二維碼����,認(rèn)為它們是安全的。這種信任感正在被網(wǎng)絡(luò)罪犯利用�����,他們?cè)谄渲星度霅阂怄溄踊驅(qū)⑹芎φ咧囟ㄏ虻教摷倬W(wǎng)站���。我們預(yù)計(jì)QR碼也將被用于傳播惡意軟件家族。
QR碼的創(chuàng)建和分發(fā)的便利性降低了進(jìn)入網(wǎng)絡(luò)釣魚和惡意軟件分發(fā)世界的門檻��。任何人都可以生成二維碼�����,并在其中嵌入惡意鏈接��,這使其成為網(wǎng)絡(luò)犯罪分子瞄準(zhǔn)受害者的一種既經(jīng)濟(jì)又容易的方法�����。此外,QR碼為黑客提供了一種隱蔽的方式來(lái)傳遞他們的有效載荷��。用戶甚至可能沒(méi)有意識(shí)到自己已經(jīng)淪為網(wǎng)絡(luò)釣魚攻擊的受害者���,直到為時(shí)已晚��,這使得檢測(cè)和預(yù)防更具挑戰(zhàn)性���。
傳統(tǒng)的電子郵件產(chǎn)品往往無(wú)法檢測(cè)到這些攻擊,這使得它們成為當(dāng)今網(wǎng)絡(luò)罪犯的誘人選擇����。隨著攻擊者不斷完善他們的戰(zhàn)術(shù)和制作令人信服的網(wǎng)絡(luò)釣魚誘餌,這些活動(dòng)成功的概率將會(huì)上升��。為了應(yīng)對(duì)日益增長(zhǎng)的QR碼網(wǎng)絡(luò)釣魚威脅��,用戶在掃描二維碼時(shí)必須格外小心����,尤其是來(lái)自未知或可疑來(lái)源的二維碼。
10. 對(duì)邊緣設(shè)備的隱形攻擊
威脅形勢(shì)正在悄然發(fā)生變化����,主要集中在經(jīng)常被忽視的邊緣設(shè)備領(lǐng)域��。這些不起眼的組件(包括防火墻����、路由器�、VPN、交換機(jī)���、多路復(fù)用器和網(wǎng)關(guān))正成為高級(jí)持續(xù)威脅(APT)組織的新陣地����。這次的不同之處在于威脅的微妙性��;它并非關(guān)乎容易預(yù)見的物聯(lián)網(wǎng)漏洞��,而是邊緣設(shè)備本身帶來(lái)的不太明顯的挑戰(zhàn)��。
邊緣設(shè)備有其獨(dú)特的復(fù)雜性��。然而��,問(wèn)題在于它們固有的檢測(cè)入侵的能力�。與傳統(tǒng)的網(wǎng)絡(luò)組件不同,它不像連接另一個(gè)IDS或IPS那么簡(jiǎn)單�����。從設(shè)計(jì)上講���,通往數(shù)字世界的門戶是第一道也是最后一道防線�。這使得它們既是目標(biāo)也是盲點(diǎn)���。APT組織不斷發(fā)展的策略�����,加上邊緣設(shè)備架構(gòu)的多樣性�����,構(gòu)成了一個(gè)巨大的挑戰(zhàn)��。在強(qiáng)大的入侵檢測(cè)方面�����,MIPS或ARM等平臺(tái)的解決方案仍處于起步階段����。在這場(chǎng)持續(xù)不斷的“貓鼠大戰(zhàn)”中,這顯然是一個(gè)“老鼠”得心應(yīng)手���,而“貓”仍捉摸不透的領(lǐng)域�。
11. Python在Excel中創(chuàng)建一個(gè)潛在的新攻擊向量
隨著微軟在Excel中實(shí)施默認(rèn)防御措施來(lái)阻止互聯(lián)網(wǎng)宏����,威脅行為者對(duì)宏的使用出現(xiàn)了預(yù)期的下降。作為回應(yīng)�,他們正在探索最新的替代攻擊媒介,包括鮮為人知或未充分利用的OneNote文檔��。然而�,隨著最近Python在Excel中的創(chuàng)建和發(fā)布,我們預(yù)計(jì)這將成為網(wǎng)絡(luò)犯罪分子的潛在新載體�����。
隨著攻擊者和防御者繼續(xù)探索Python在Excel中的功能��,可以肯定的是�,惡意行為者將開始利用這項(xiàng)新技術(shù)作為網(wǎng)絡(luò)攻擊的一部分���。當(dāng)Python代碼在Azure的容器中執(zhí)行時(shí)���,它可以在Power Query的幫助下訪問(wèn)本地文件����,F(xiàn)在���,微軟在Excel中創(chuàng)建和發(fā)布Python時(shí)確實(shí)考慮到了安全問(wèn)題����,并聲稱Python代碼和Visual Basic for Applications(VBA)宏之間沒(méi)有可能的聯(lián)系��。此外���,它只使用Python的Anaconda發(fā)行版的一個(gè)子集��,提供對(duì)本地機(jī)器和互聯(lián)網(wǎng)的非常有限的訪問(wèn)�����。
然而��,如果被威脅參與者發(fā)現(xiàn)�,這仍然有可能通過(guò)漏洞或錯(cuò)誤配置被濫用。微軟的限制縮小了游戲范圍��,但并沒(méi)有改變這樣一個(gè)事實(shí)���,即這個(gè)新功能為威脅行為者創(chuàng)造了一個(gè)新的領(lǐng)域�����。
12. LOL驅(qū)動(dòng)程序正在改變游戲規(guī)則
最近的許多安全事件表明�,易受攻擊的驅(qū)動(dòng)程序構(gòu)成了重大威脅�����。簽名的脆弱驅(qū)動(dòng)程序正在大出風(fēng)頭�,因?yàn)樗鼈兛梢杂糜陔[形持久性,并在攻擊的早期階段禁用安全解決方案����。在這種攻擊中,惡意行為者會(huì)加載使用有效證書簽名的合法驅(qū)動(dòng)程序��,并且能夠在受害者的設(shè)備上以內(nèi)核特權(quán)運(yùn)行����。成功的利用允許攻擊者實(shí)現(xiàn)內(nèi)核級(jí)特權(quán)升級(jí),從而授予他們對(duì)目標(biāo)系統(tǒng)資源的最高級(jí)別訪問(wèn)和控制��。
ZeroMemoryEx Blackout項(xiàng)目���、Spyboy開發(fā)的終結(jié)者(The Terminator)工具和AuKill工具都是繞過(guò)安全控制并執(zhí)行惡意代碼的脆弱驅(qū)動(dòng)程序技術(shù)的例子��。有一些功能和舉措可以防止這種攻擊�,例如微軟的脆弱驅(qū)動(dòng)程序黑名單(Vulnerable Driver Blocklist)和 LOL Drivers項(xiàng)目���,旨在通過(guò)提供易受攻擊驅(qū)動(dòng)程序和相關(guān)檢測(cè)機(jī)制的全面列表來(lái)彌補(bǔ)這一缺口��。
然而�,這并不能改變這樣一個(gè)事實(shí)�����,即這些攻擊很容易執(zhí)行����,成功感染的可能性增加,易受攻擊的驅(qū)動(dòng)程序更容易被訪問(wèn)�����。由于這些原因,我們預(yù)計(jì)會(huì)看到更多這樣的基于驅(qū)動(dòng)程序的漏洞利用�,這將在2024年產(chǎn)生廣泛的影響。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
