本文雖然主要關注在俄羅斯境內活動的網絡攻擊者，但這些網絡攻擊者很少將自己限制在俄羅斯境內，勒索軟件組織就是此類跨境活動的一個典型例子。此外，在一個國家發(fā)現(xiàn)的攻擊趨勢，往往會很快在其他地方和新的網絡犯罪組織中重新出現(xiàn)。本文就試圖介紹卡巴斯基實驗室研究人員認為重要且影響范圍會擴大的網絡犯罪活動。

　　示例分析

　　卡巴斯基的計算機事件調查部門專門負責俄語和俄羅斯網絡罪犯的攻擊。我們提供的服務包括事件分析、調查，所有這些都是為了預防和緩解網絡攻擊。

　　早在 2016 年，攻擊者的主要關注點就放在了針對金融機構，尤其是銀行的主要網絡組織。Lurk、Buhtrap、Metel、RTM、Fibbit 和 Carbanak 等知名惡意軟件家族已開始在全球范圍內針對銀行發(fā)起了攻擊。

　　如今，受到攻擊的行業(yè)已不僅限于金融機構，而幸好我們當年調查的那些重大攻擊已不再可能。受影響的行業(yè)包括從 IT 到零售、從石油和天然氣到醫(yī)療保健的所有行業(yè)。2020年，我們?yōu)槎砹_斯客戶調查了200個案例，到2021年前9個月，已經超過300個。受影響的行業(yè)包括從IT到零售，從石油和天然氣到醫(yī)療保健。這是一個令人驚訝的趨勢，正如人們預期的那樣，由于新冠疫情的影響，遠程工作更有可能引發(fā)攻擊。

　　主要趨勢

　　網絡犯罪生態(tài)系統(tǒng)一直由各種角色組成。該系統(tǒng)的主要組成部分是進行網絡犯罪活動所需的基礎設施和用于該活動的工具。攻擊者的角色直接依賴于基礎設施和工具。接下來讓我們了解一下俄語地區(qū)網絡安全領域在過去五年中發(fā)生的一些重大變化，看看網絡犯罪分子的運作方式發(fā)生了哪些變化。

　　對客戶端的攻擊逐漸消失

　　在五年前，用木馬感染你的計算機就像訪問新聞網站一樣容易。事實上，俄羅斯的許多惡意軟件都是通過新聞平臺和其他合法網站傳播的。雖然Web 攻擊目前還非常流行，但隨著瀏覽器安全性的提高，采用此方法進行的攻擊變得更加困難。以前，許多網絡攻擊者只是通過合法網站傳播漏洞。整個市場都是圍繞這個過程建立起來的，有專門的人員來運行。

　　那個時代，瀏覽器漏洞百出，用戶體驗不佳，普遍不安全。許多人使用他們習慣的瀏覽器，而不是選擇的瀏覽器或組織設置的默認瀏覽器，例如 Internet Explorer。通過插件（例如 Adobe Flash、Silverlight 和 Java）進行的攻擊也是感染用戶設備的最簡單和最常用的方法之一，現(xiàn)在它們已成為過去。

　　到2021年，瀏覽器將變得更加安全，其中一些瀏覽器將自動更新，無需用戶參與，而瀏覽器開發(fā)人員將繼續(xù)投資于漏洞評估。此外，隨著大量漏洞賞金程序的開發(fā)，將發(fā)現(xiàn)的漏洞出售給開發(fā)人員本身變得更容易，而不是在暗網上尋找買家，這也導致漏洞的價格上漲。

　　使用更安全的瀏覽器，網絡感染變得更具挑戰(zhàn)性，這導致網絡攻擊者慢慢將攻擊目標放在了別的地方。因此，以這種方式針對普通用戶而不是企業(yè)用戶已經變得過于昂貴并且在商業(yè)上不可行。

　　漏洞被大量利用

　　應用程序變得更加復雜，它們的架構更好。這從根本上改變了俄語地區(qū)網絡攻擊者的運作方式。

　　隨著漏洞價格的上漲，對客戶端的攻擊變得極其困難和昂貴?？蛻舳烁腥具^去嚴重依賴漏洞，整個團隊會尋找它們并針對特定漏洞編寫漏洞利用程序，針對不同的操作系統(tǒng)進行調整。大多數(shù)情況下，網絡攻擊者會利用 1日漏洞，他們檢查了開發(fā)人員最近推出的補丁，并針對已關閉的漏洞編寫了漏洞利用程序。然而，由于軟件更新周期（現(xiàn)在仍然）很長，用戶經常延遲更新他們的設備，因此留下了一個窗口，在此期間網絡攻擊者可以感染相當多的受害者。

　　一個典型的感染鏈是這樣的：攻擊者會攻擊一個合法的網站，因為在五年前，還沒有人認識到保護網站的重要性。黑客可以直接被攻破網站，也可以通過入侵擁有網站管理權限的人的賬戶來發(fā)起攻擊。攻擊者將集成一些代碼，它可能是頁面上的一個窗口，對用戶是不可見的。然后，由于目標將繼續(xù)使用該網站，它也會加載攻擊者控制的頁面。另一種選擇是攻擊橫幅廣告網絡，我們在無數(shù)網站上都可以看到橫幅廣告，而網站管理部門對廣告顯示內容沒有管理權。也可以簡單地購買并將流量導向特定的惡意頁面。最終，將用戶引導到一個由攻擊者控制的頁面，該頁面包含可以利用用戶瀏覽器中的一個漏洞的代碼。

　　上面說的是2016年流行的瀏覽器攻擊鏈，現(xiàn)在已經不可能了存在了

　　為達到攻擊目的，網絡犯罪組織為特定用戶組開發(fā)了漏洞利用工具包，并定制了下載到受害者設備的漏洞利用程序。運行漏洞后，攻擊者會選擇要下載到受感染設備的特定載荷。載荷通常會導致對計算機的遠程訪問。一旦被感染，該設備將根據它對網絡攻擊者的吸引力進行評估。之后，攻擊者將加載一個特定的漏洞利用程序來評估受感染設備的興趣，然后將特定的惡意軟件上傳到該設備。

　　由于此類瀏覽器攻擊不再可行，也不再易于執(zhí)行，因此不再需要各種不同的播放器。這包括專門購買和引導流量到具有漏洞利用的特定頁面的組織、開發(fā)和銷售漏洞利用包的組織、購買特定設備訪問權的組織。

　　當然，客戶端軟件中的漏洞仍然存在，只是現(xiàn)在它們不在瀏覽器中，而是在各種類型的文檔中，比如PDF或Word，這些帶有宏選項的文檔通常通過電子郵件傳播。然而，這種變化使得攻擊和感染過程更加困難。與瀏覽器感染不同，當傳播隱藏在PDF或Word中的惡意文件時，攻擊者無法收到受害者的反饋或目標使用的設備的附加信息。另一方面，瀏覽器會自動報告軟件和插件的版本。這樣一來，隨著攻擊者轉而通過網絡釣魚郵件傳播惡意文件，追蹤用戶軟件的版本或攻擊的程度就變得更加困難。最重要的是，電子郵件服務器和Word等應用程序中的安全機制也加大了感染的難度，許多包含惡意文件的電子郵件在到達目標之前不會被攔截，而用戶在應用程序中會定期收到關于潛在危險附件的警告。

　　云服務器

　　通信和數(shù)據存儲需要基礎設施。

　　隨著組織在采用新 IT 服務方面取得進展，追隨相同趨勢和變化的網絡攻擊者也在不斷進步。遷移到云服務而不是常規(guī)服務器是一種新的攻擊趨勢。以前，網絡攻擊者會租用服務器，雖然通常不是以他們自己的名義，但非常合法。2016 年，針對與可疑活動相關的服務器的投訴更容易被忽略。當時，一些組織提供了可以忽略用戶投訴的防彈服務器。然而，隨著時間的推移，管理此類服務器變得越來越困難，利潤也越來越低。

　　網絡攻擊者還曾經攻擊組織的服務器，將它們用作中繼服務器，以迷惑調查人員，并使追蹤主要 C&C 中心變得更加困難。有時，網絡組織會將一些信息（例如，從受害者那里提取的數(shù)據）存儲在他們已攻破的服務器上。這種數(shù)據分布在各種平臺上的結構需要專門的人員來管理它。

　　云服務器的采用使網絡攻擊者的生活變得更輕松，現(xiàn)在，如果多次投訴導致帳戶被暫停，將數(shù)據轉移到新服務器只需兩分鐘。這也意味著團隊不再需要專門的管理員來管理服務器，這項任務外包給了云服務器提供商。

　　惡意軟件開發(fā)人員

　　也許最可怕的趨勢是網絡攻擊者很容易獲得新的有效惡意軟件，盡管 APT 攻擊者繼續(xù)將大量資金和資源投入到量身定制的惡意工具中，但網絡攻擊者選擇了更簡單、成本更低的方式，這不再包括開發(fā)自己的惡意軟件或漏洞。

　　開源惡意軟件越來越頻繁地出現(xiàn)在暗網上，老牌網絡組織免費向公眾發(fā)布源代碼已成為一種趨勢，這使得新玩家很容易開始他們的網絡犯罪活動。銀行木馬 Cerberus 的開發(fā)者于 2020 年 10 月發(fā)布了其惡意軟件的源代碼，而臭名昭著的同名勒索軟件的開發(fā)者 Babuk 則于 2021 年 9 月初發(fā)布了其勒索軟件代碼。

　　更糟糕的是，隨著滲透測試工具和服務的發(fā)展，黑市上出現(xiàn)了新的惡意工具。這些工具是為合法服務開發(fā)和使用的，例如評估客戶的安全基礎設施和成功網絡滲透的潛力。它們旨在出售給精心挑選的客戶群，這些客戶群只會將它們用于合法目的。例如網絡攻擊者最喜歡的 CobaltStrike，它的反編譯版本于 2020 年 11 月泄露，現(xiàn)在網絡攻擊者和 APT 組織都在使用它。其他包括 Bloodhound，另一個最受歡迎的網絡映射網絡犯罪工具，用于專門傳播的 Kali 和 Commando VM，用于利用漏洞的 Core Impact 和 Metaspoit Framework，在受感染計算機上使用 netscan.exe（softPerfect Network Scanner），以及用于遠程訪問的合法服務，例如 TeamViewer、AnyDesk 和 RMS/LMS。最重要的是，網絡攻擊者利用旨在幫助系統(tǒng)管理員的合法服務，例如允許遠程執(zhí)行程序的 PSexec。隨著遠程工作的增加，此類工具越來越受歡迎。

　　如今，要了解網絡攻擊者使用什么樣的工具，只需了解滲透測試人員在市場上部署和提供的工具就足夠了。

　　從本質上講，惡意軟件開發(fā)市場已經非常成熟，開展網絡犯罪活動比以往任何時候都容易。與此同時，對企業(yè)攻擊變得更加困難。

　　攻擊組織變得越來越小

　　這些結構性轉變（漏洞成本上升、遷移到云服務器、已開發(fā)的高級攻擊工具的可訪問性）導致網絡組織變得越來越小。本質上，攻擊鏈已經優(yōu)化，許多功能已經外包，團隊變得更加小。

　　現(xiàn)在已經不再需要管理物理網絡的系統(tǒng)管理員了，云服務管理是一項簡單的任務。網絡犯罪組織也基本上停止了開發(fā)自己的惡意軟件。以前，大型網絡犯罪集團會投資于自己的惡意軟件，因此至少需要兩名開發(fā)人員負責惡意軟件的不同部分（例如客戶端和服務器端），現(xiàn)在他們只需要一名操作人員。如果不需要開發(fā)人員，那么測試人員也不需要。

　　為惡意網站購買流量已經轉變?yōu)橘徺I數(shù)據，訪問不同組織、賬戶信息等，這些服務也被外包了。

　　因此，一個網絡犯罪組織要想在2021年成功運行，就需要管理人員、網絡訪問專家以及負責提取和兌現(xiàn)被盜資金的金融專家。

　　2016年和2021年的網絡犯罪集團的變化情況

　　攻擊目標的改變

　　2016 年，俄羅斯的銀行相繼遭到黑客攻擊。經過這件事之后，類似攻擊的網絡攻擊組織已經被打擊的差不多了，目前這些網絡組織已經轉向了攻擊其他行業(yè)的目標。然而，到2018年，他們意識到以組織為目標更有利可圖，使用勒索軟件、竊取工具或遠程訪問工具從網絡內部竊取資金。

　　2020年，針對俄羅斯金融機構的案件有所下降，包括銀行軟件在內的事件幾乎都沒有發(fā)生。

　　網絡攻擊者將目標轉向西方組織并非出于意識形態(tài)原因。首先，針對歐洲和美國的組織營收性更高。例如，對于國際公司，贖金從 70 萬美元起，最高可達 700 萬美元。

　　同時，攻擊目標向西方轉移并不意味著俄羅斯公司不再受到來自國內黑客的攻擊。因為黑客仍然受語言的限制，用他們的母語準備網絡釣魚電子郵件和文檔要容易得多。這是俄語黑客在攻擊俄羅斯公司時的唯一優(yōu)勢。

　　就行業(yè)而言，攻擊目標不再局限于金融機構。僵尸網絡的出現(xiàn)創(chuàng)造了一個網絡訪問市場，來自各行各業(yè)的公司在沒有特定目標的情況下被攻擊，隨后通過暗網出售對這些公司的訪問權限。疫情也在推動這一趨勢方面發(fā)揮了作用，企業(yè)將大部分基礎設施搬到了網上，并向遠程工作人員開放，導致更大的攻擊面和更多的方式，攻擊原本受到更好保護的網絡。通常情況下，勒索軟件的運營者會選擇那些唾手可得的目標，另一個重點是擁有或運營加密貨幣的組織和用戶：加密交易所、加密錢包等都是誘人的目標。

　　發(fā)展趨勢

　　目前暗網上已經不再出售真正有價值的漏洞（例如 0 日漏洞），盡管如此，在暗網上仍有許多關于購買現(xiàn)成賬戶、訪問登錄、DDoS攻擊、進入目標組織的需求，只要需要，攻擊者仍然可以毫不費力地找到這些服務。