BEC隨著遠(yuǎn)程辦公地增加呈直線上升

　　從 2014 年到現(xiàn)在，研究人員已經(jīng)確定了 170700 多個(gè)直接由尼日利亞 BEC 攻擊者發(fā)起的惡意軟件樣本，該數(shù)據(jù)集是整個(gè)網(wǎng)絡(luò)安全行業(yè)中最全面的 BEC 攻擊指標(biāo) （IoC） 集合。這些樣本在針對(duì)超過 226 萬次網(wǎng)絡(luò)釣魚攻擊中被觀察到。

　　隨著時(shí)間的推移，研究人員已采取措施從該數(shù)據(jù)集中分析攻擊趨勢(shì)，以增強(qiáng)網(wǎng)絡(luò)防御者的能力。研究人員觀察到，2014 年至 2017 年期間，Pony、LokiBot 和 AgentTesla 等信息竊取程序的使用率穩(wěn)步增長。隨后，隨著工具可用性的下降，行業(yè)檢測(cè)率和攻擊者的技術(shù)技能均有所提高，近年來有所下降。因此，從 2018 年到 2020 年，研究人員見證了 RAT 的快速采用，其中最受歡迎的是 NanoCore、Adwind、Remcos、Netwire 和尼日利亞開發(fā)的 HWorm 變體，稱為 WSH RAT。

　　然而，雖然研究人員看到 SilverTerrier 攻擊者繼續(xù)穩(wěn)步增長和采用 RAT，但對(duì) 2020 年到 2021 年上半年的分析發(fā)現(xiàn)，考慮全球生態(tài)系統(tǒng)對(duì)其活動(dòng)的影響也很重要。在新冠疫情爆發(fā)前，每年強(qiáng)調(diào)新工具是有意義的，因?yàn)榫W(wǎng)絡(luò)犯罪論壇上面向攻擊者銷售的工具經(jīng)常發(fā)生變化。盡管在整個(gè)大流行期間這種情況在一定程度上持續(xù)存在，但現(xiàn)實(shí)情況是，在過去一年半的時(shí)間里，研究人員沒有觀察到 BEC 攻擊者對(duì)新工具有任何重大功能突破。相反，研究人員的分析顯示，這些攻擊者通常選擇堅(jiān)持使用具有展示能力和性能的已知工具。在此過程中，他們將注意力集中在調(diào)整和調(diào)整其傳播活動(dòng)以適應(yīng)不斷變化的全球環(huán)境。

　　如果從技術(shù)的角度考慮大流行的影響，許多人會(huì)覺得，全球大部分勞動(dòng)力都轉(zhuǎn)向了遠(yuǎn)程工作。根據(jù)雇主的規(guī)模和資源，員工開始利用 VPN 解決方案、雇主提供或個(gè)人計(jì)算設(shè)備以及家庭互聯(lián)網(wǎng)連接。這些發(fā)展極大地改變了企業(yè)網(wǎng)絡(luò)安全保護(hù)的應(yīng)用方式，比過去十年中的發(fā)展都要大。此外，這種轉(zhuǎn)變甚至可能影響員工的風(fēng)險(xiǎn)承受能力。例如，增加對(duì)網(wǎng)絡(luò)釣魚電子郵件的懷疑，因?yàn)樗麄兊墓ぷ髟O(shè)備現(xiàn)在已連接到家庭網(wǎng)絡(luò)。結(jié)果，BEC 攻擊者看到全球攻擊面發(fā)生了巨大變化，因此需要改變他們的傳播主題和技術(shù)。

　　在 2019 年，經(jīng)常看到 BEC 攻擊者將新的惡意軟件載荷構(gòu)建為可移植的可執(zhí)行文件（。exe 文件），并使用具有商業(yè)主題（如發(fā)票或交貨通知）的網(wǎng)絡(luò)釣魚活動(dòng)傳播它們。當(dāng)時(shí)，微軟Office文件格式有時(shí)也會(huì)被利用，增加了一層復(fù)雜性和模糊性。開發(fā)這些文檔時(shí)最常用的兩種技術(shù)包括CVE-2017-11882的利用代碼或嵌入惡意宏。在這兩種情況下，這些文檔在打開時(shí)都旨在從在線資源中調(diào)用、下載和運(yùn)行惡意載荷。然而，在研究人員 2019 年分析的所有樣本中，只有 3.5% 使用了宏，只有 3.6% 使用了 CVE-2017-11882 技術(shù)。

　　早在2020年1月，釣魚誘餌就開始使用與大流行相關(guān)的主題，隨著主題的改變，目標(biāo)受眾和傳播數(shù)據(jù)包也發(fā)生了變化。雖然可移植的可執(zhí)行文件仍然很流行，但研究人員觀察到 Microsoft Word 和 Excel 文檔的數(shù)量顯著增加。到今年年底，帶有嵌入式宏的Microsoft Office文檔保持在3.5%的穩(wěn)定水平，但使用熟悉且文檔齊全的CVE-2017-11882的文檔攀升至13.5%。

　　幸運(yùn)的是，CVE-2017-11882現(xiàn)在是一個(gè)存在了4年的漏洞，它的有效性和使用會(huì)隨著時(shí)間的推移而減弱，這是有道理的。相反，宏具有更持久的存在，因?yàn)樗鼈兿鄬?duì)容易編碼，并依賴于毫無戒心的受害者啟用它們。在回顧我們2021年上半年的遙測(cè)數(shù)據(jù)時(shí)，我們的初步發(fā)現(xiàn)顯示，只有很少數(shù)量的惡意軟件樣本使用了CVE技術(shù)，而69%的惡意軟件樣本現(xiàn)在是帶有嵌入式宏的Office文檔。

　　我們知道，新冠疫情推動(dòng)了支持遠(yuǎn)程工作的各種技術(shù)（云計(jì)算、視頻會(huì)議等）呈指數(shù)級(jí)發(fā)展。與此同時(shí)，研究人員也發(fā)現(xiàn)打包為 Office 文檔的惡意軟件驚人的增長曲線——從 2019 年的 7% 上升到 2020 年的 17%，再到 2021 年的 69%——值得進(jìn)一步調(diào)查。深入研究后，研究人員發(fā)現(xiàn)，到2021年中期，打包成Office文檔的惡意軟件樣本的原始數(shù)量已經(jīng)達(dá)到或遠(yuǎn)遠(yuǎn)超過研究人員在前幾年觀察到的年度樣本數(shù)量。因此，研究人員仍然相信該趨勢(shì)還存在很大的增長空間。

　　與此同時(shí)，研究人員認(rèn)為，在2020年年中至2021年初期間，全球幾乎所有企業(yè)都修訂了其網(wǎng)絡(luò)安全態(tài)勢(shì)，改變了環(huán)境中的設(shè)備，重新構(gòu)建了網(wǎng)絡(luò)流量，并加強(qiáng)了網(wǎng)絡(luò)安全政策，以支持遠(yuǎn)程工作。在分析威脅趨勢(shì)時(shí)，必須考慮這些變化的影響。這些調(diào)整在宏觀層面結(jié)合應(yīng)用，顯著改變了邊界（防火墻）和主機(jī)（端點(diǎn)）層面的攻擊可見性。例如，在企業(yè)工作環(huán)境中進(jìn)行網(wǎng)絡(luò)安全分析后可能允許的附件在遠(yuǎn)程工作環(huán)境中可能已被默認(rèn)阻止。根據(jù)實(shí)施情況，此類更改將降低網(wǎng)絡(luò)安全公司對(duì)攻擊的可見性。因此，幾乎不可能在大流行前和大流行后的攻擊活動(dòng)之間進(jìn)行比較，因?yàn)檎麄€(gè)網(wǎng)絡(luò)安全行業(yè)的收集態(tài)勢(shì)發(fā)生了巨大變化。研究人員將這一經(jīng)驗(yàn)應(yīng)用于研究人員對(duì)惡意 Office 文檔的觀察，并評(píng)估研究人員 2021 年 69% 的初步調(diào)查結(jié)果可能是由于過去一年收集狀況的變化而人為夸大的。

　　緩解BEC攻擊

　　政府層面

　　2018 年，F(xiàn)BI 發(fā)起了第一次針對(duì) BEC 攻擊者的全球活動(dòng)，稱為“WireWire 行動(dòng)”。在六個(gè)月的時(shí)間里，通過與 Palo Alto Networks、FlashPoint、國家網(wǎng)絡(luò)取證培訓(xùn)聯(lián)盟 （NCFTA） 和其他幾個(gè)機(jī)構(gòu)的密切合作，執(zhí)法機(jī)構(gòu)能夠逮捕全球 74 名攻擊者。一年后，聯(lián)邦調(diào)查局發(fā)起了“連線行動(dòng)”（Operation Rewired），在該行動(dòng)中，全球又逮捕了281名攻擊者。其中包括與EFCC密切協(xié)調(diào)在尼日利亞被捕的167人。

　　2020 年 6 月，一名名為“Hushpuppi”的尼日利亞社交媒體網(wǎng)紅在迪拜被捕。他隨后被聯(lián)邦調(diào)查局起訴，盜竊了超過 2400 萬美元。

　　2020 年 11 月，國際刑警組織與 NFP 一起逮捕了三名尼日利亞攻擊者，他們被指控使用 26 個(gè)不同的惡意軟件家族在 150 多個(gè)國家/地區(qū)對(duì)受害者進(jìn)行 BEC 活動(dòng)。

　　企業(yè)預(yù)防措施

　　1.查看網(wǎng)絡(luò)安全策略，企業(yè)應(yīng)重點(diǎn)關(guān)注員工可以在連接到公司網(wǎng)絡(luò)的設(shè)備上下載和打開的文件類型（便攜式可執(zhí)行文件、帶有宏的文檔等）。此外，應(yīng)建立 URL 過濾規(guī)則以限制對(duì)以下類別域的默認(rèn)訪問：新注冊(cè)、內(nèi)容不足、動(dòng)態(tài) DNS、停放和惡意軟件。

　　2.定期檢查郵件服務(wù)器配置、員工郵件設(shè)置和連接日志。重點(diǎn)關(guān)注識(shí)別員工郵件轉(zhuǎn)發(fā)規(guī)則和識(shí)別郵件服務(wù)器的外部或異常連接。如果可能，請(qǐng)考慮實(shí)施地理 IP 阻止。例如，小型本地企業(yè)不需要來自外國的登錄嘗試。

　　3.進(jìn)行員工培訓(xùn)。常規(guī)網(wǎng)絡(luò)攻擊意識(shí)培訓(xùn)是其中的一個(gè)組成部分；但是，組織還應(yīng)考慮針對(duì)其銷售和財(cái)務(wù)組成部分進(jìn)行量身定制的培訓(xùn)。

　　4.每年定期進(jìn)行攻擊風(fēng)險(xiǎn)評(píng)估，以測(cè)試組織控制并驗(yàn)證環(huán)境中沒有發(fā)生未經(jīng)授權(quán)的活動(dòng)。通過定期查看郵箱規(guī)則和用戶登錄模式，這些評(píng)估可以驗(yàn)證控件是否按預(yù)期運(yùn)行，以及是否在整個(gè)環(huán)境中有效阻止了不需要的行為。