这都是关于机器人的:研究2020年的主要趋势
自从组织被迫转换他们的网络以支持大量的远程工作人员以来,相当多的注意力都集中在路由器、dvr和工人们安装在家庭网络中的其他联网设备的安全性(或缺乏安全性)上。2020年上半年,FortiGuard实验室(FortiGuard Labs)的威胁研究人员发现了大量证据,表明网络犯罪分子正将远程工作人员的安全防护不力的设备和网络作为攻击目标,以建立进入公司网络的后门。
尽管网络犯罪分子一直致力于利用对COVID-19的恐惧,通过恶意电子邮件和网络活动损害终端用户设备,但攻击者也一直热衷于利用基于消费者的物联网产品的新旧漏洞。例如,到2020年的前6个月,针对一些消费级路由器和物联网设备的入侵检测尝试一直是IPS检测的首选。
然而,IPS检测只是攻击格局的一部分。仅仅因为IPS设备被触发并不一定意味着该设备已经被攻破或发生了漏洞。的检测僵尸网络活动是一个更准确的评估网络危害。
一旦被感染,物联网设备通常会与远程主机通信,并且可以收集并关联这些流量,从而更好地了解网络范围内正在发生的事情。从僵尸网络流量评估中收集到的信息应该引起IT团队的深切关注。
了解当前的威胁情况
在僵尸网络活动方面,Mirai和gho0st是被检测到的最普遍的僵尸网络。Mirai于2016年首次发射,Gh0st于2014年首次被发现。僵尸网络往往比大多数恶意软件有更长的寿命;Mirai一直在进出自发行以来就进入了前10名.然而,这些僵尸网络移动到列表的顶端并在那里停留了几个月的事实表明,攻击者已经成功地攻击了没有打补丁或其他保护的旧设备。
在当今流行驱动的威胁环境中,一个令人担忧的问题是,攻击者正在寻求利用内部系统的安全性,以在企业网络上获得立足点。网络犯罪分子可以通过破坏在家办公的员工用来连接企业网络的设备,或者攻击家庭网络上可以跟踪这些连接的设备来实现这一目标。通过利用这些设备在美国,犯罪分子能够快速组装大型僵尸网络,然后用来发起分布式拒绝服务攻击或分发恶意软件。
僵尸网络一旦就位,就很难被根除。每次僵尸网络数据被检查时,它所传达的主要教训是,对网络罪犯来说,普遍而持久的控制是一种宝贵的商品。
Mirai和Gh0st继续占据主导地位
2020年上半年,Mirai是全球最具主导地位的僵尸网络。在5月和6月,90%的注册僵尸网络活动的组织都检测到了这种病毒。攻击者越来越关注消费者物联网产品的老漏洞,受此推动,Mirai在5月初向家庭办公转型的高峰期占据了榜首位置。
在2020年的前四个月,Gh0st紧随Mirai之后。Gh0st的变体。大鼠在70%的组织检测到僵尸网络活动。攻击者还将Gh0st用于针对在家办公用户和应用程序的活动。特别值得关注的是,Gh0st是一个远程访问僵尸网络,它允许攻击者完全控制一个受感染的系统,例如记录击键、劫持实时网络摄像头和麦克风、下载和上传文件,以及执行其他非法活动。
僵尸网络的活动因地区而异
当比较全球区域和僵尸网络检测时,Mirai和Gh0st的流行是无处不在的。但即便如此,它们在全球的活动也不是统一的。例如,欧洲检测到与Mirai变体相关的流量的组织比例比亚洲高20%以上。然而,欧洲在“幽灵活动”方面排名第三。北美和大洋洲是鬼影活动最高的地方。
对其余前20个僵尸网络的分析揭示了一些更大的区域差异:
- 普什多僵尸网络和零访问僵尸网络在全世界15%到20%的组织中被发现。北美是普什多人活动最普遍的地区,紧随其后的是欧洲。
- 萨利和戈齐僵尸网络在非洲、亚洲和中东的流行程度至少是世界上其他任何地方的三倍。
- FinFisher和Zeus在亚洲尤其活跃。在亚洲,发现Finfisher的机构是其他任何地方的8倍。
- Emotet。Cridex是我们看到的唯一一个在拉丁美洲率先检测的僵尸网络。
造成这种差异的因素有很多,包括目标、基础设施、技术采用、安全配置和用户行为。关键是,那些不考虑地域差异的组织可能无法有效地抵御最有可能针对他们的攻击。
注意网络安全
威胁载体可以随时改变,因为敏捷和老练的罪犯随时准备利用任何机会。防御者不仅要面对他们网络上更多的漏洞,还要面对更多的漏洞在野外被积极利用.当网络发生变革时,无论是应对全球大流行还是数字创新的正常过程,这些变化都会成倍增加。
显而易见的是,修补和更新——或者至少——接近控制从未如此重要过。但要想真正有效,各组织还必须获得最新的威胁情报,以便提前得到警告和武装。安全解决方案必须与针对从数据中心、云、网络边界和家庭网络扩展的企业IT环境的最佳威胁防护集成。在这个前所未有的网络风险季节,必须覆盖所有基地。
所有物联网议程网络贡献者对其帖子的内容和准确性负责。观点是作者的,并不一定传达物联网议程的思想。