网络物理设备正越来越多地被犯罪集团和国家赞助的威胁者所破坏和利用。
趋势科技高级威胁解决方案架构师Fyodor Yarochkin认为,更好地了解攻击者的基础设施有助于更好地了解攻击者本身。
(为了清楚起见,答案经过了轻微的编辑。)
在下周的深度会议上,您将谈论网络物理设备被网络犯罪分子和国家赞助的威胁者入侵和使用。您如何定义网络物理设备?攻击者正在利用哪些网络物理设备,以及以什么方式利用?
我们主要研究了对摄像头和物理安全系统以及相关基础设施(即路由器和其他一些物联网设备的攻击)。
网络物理设备是连接物理世界和计算机网络的设备。许多人可能会将“网络物理设备”一词与监督控制和数据采集(SCADA)系统和OT网络部分联系起来,但还有更多。
连接物理世界的设备为攻击者提供了独特的视角:它们允许他们在地面上对事件进行观察,监控和观察其攻击的影响,有时甚至可以对物理世界产生影响(尽管这通常需要它们连接到某种SCADA/ICS设备)。
恶意覆盖网络是如何在被入侵的网络物理设备上构建的?
许多设备被入侵是为了在新位置创建存在点的简单目的,因此攻击者可以绕过地理围栏限制。这些设备通常被连接并用作叠加网络的一部分。
其中许多设备不是传统的路由器,但可以从温度传感器到相机。我们甚至在一些国家看到过泄露的博物馆安卓显示板。
我们怀疑这些设备的额外功能可能会被利用——尽管我们(尚未)有此类活动的明确证据。
攻击者在最初妥协后如何在网络物理设备(如监控摄像头)上保持持久性?
他们没有。这一切都与尽可能低调有关。在许多情况下,我们观察到设备被破坏,有效负载被安装,然后从文件系统中删除。设备重新启动时,有效负载会消失。
我们看到的保持持久性的唯一选择包括将设备降级到最新的易受攻击的固件版本。
国家赞助的行为者使用被入侵的网络物理设备与犯罪集团不同吗?攻击者是否将犯罪市场中受损的网络物理基础设施的访问货币化?攻击者是否使用被入侵的网络物理设备对物理环境进行侦察,以进行进一步的攻击?
我们认为,国家赞助的行为者将投入大量时间建设和重建其运营中继基础设施。他们不仅仅是机会主义地妥协系统:他们正在他们感兴趣的国家建立枢轴平台。
网络犯罪运营商主要对建立他们可以出售或出租的基础设施感兴趣,我想这就是他们将其货币化的方式。
最近执法部门对僵尸网络的破坏显示,僵尸网络运营商目前倾向于3层架构:被入侵的(物联网、服务器、端点)设备使第1层、第2层是这些设备与发出订单的服务器(第3层)之间的转发通信的服务器。这种选择的优势是显而易见的。有什么缺点吗(当然,这都是从攻击者的角度来看的)?
基础设施管理的复杂性可能是主要的缺点。攻击者通过脚本自动部署来解决这个问题。
但这带来了另一个缺点——一个明显的网络足迹,可以被威胁情报研究人员搜索/发现。
全球有数十亿台互联网连接设备,其中许多设备的安全能力和选项不足,在您看来,哪些现实的行动可以在未来3到5年内大幅减少这一数字?
现实地说,我认为没有办法减少被入侵的设备数量。我们正在走向网络,物联网设备将成为主要类型的连接设备之一,洗碗机或冰箱等具有IP地址。当然,我认为其中许多设备很容易成为攻击者的目标和利用,并成为关键点。
住宅和移动代理网络正在左右涌现。一些用户明知故犯地在他们的设备上安装了代理软件,而另一些用户则被有效地欺骗了。虽然这些网络可以用于合法目的,但它们也可能被攻击者团体滥用,用于DDoS攻击、密码喷洒、社会工程活动,或作为定向入侵的起点。根据你的经验,这种情况多久发生一次?
我们没有看到那么多DDoS,但我们看到许多其他不需要的操作,如网络抓取、凭据喷洒、加密货币抽和倾销活动、在线商店抓取、运动鞋机器人活动、在线门票投机、卡片(与持卡人位置匹配地理位置)等。
Mandiant研究人员最近记录了操作中继箱(ORB)网络的兴起,以及它们如何越来越多地被那些宁愿避免攻击或通信基础设施的攻击者使用。当前的地缘政治局势是如何允许这种发展的,你期望局势的下一个逻辑发展是什么?
建造ORB是一些威胁者的操作程序之一。
许多国家通过过滤来自不需要的位置的流量来进行地理围栏,ORB是这方面的完美答案。它们允许攻击者从与预期的良性流量相同的位置弹出。
一些ORB基于被入侵的设备,另一些则基于租用的基础设施。在不同群体中,我们经常观察到两者的结合。
用于绕过地理围栏的ORB基础设施、住宅代理和覆盖网络之间的增长和合并是一个巨大的趋势,我们经常看到来自不同地区的威胁者广泛采用此类技术。
当涉及到被入侵的智能手机和物联网设备的扩散时,供应链妥协有多大的问题?
供应链妥协是智能手机和在Android上运行的小型设备(如电视盒)的流行攻击载体。它相当普遍,我们也认为,在某些情况下,它是软件(软件包或SDK)和硬件(固件)妥协的结合。
这非常常见,以至于有时我们在同一固件(在固件的不同组件中)上发现两个或两个以上的植入物。
参考来源:helpnetsecurity
暂无评论内容