Dan Swinhoe

雖然企業(yè)組織可以采取諸多措施來(lái)確保員工安全地遠(yuǎn)程辦公，但形形色色的威脅分子已經(jīng)在趁疫情危機(jī)大肆作亂。攻擊者在加大力度，通過(guò)以新冠疫情為主題的電子郵件、應(yīng)用程序、網(wǎng)站和社交媒體來(lái)傳播惡意軟件。本文細(xì)述了威脅分子用來(lái)攻擊企業(yè)組織的潛在威脅途徑和手法。

1.網(wǎng)絡(luò)釣魚電子郵件

電子郵件是個(gè)人和組織面臨的頭號(hào)威脅途徑，將來(lái)也會(huì)如此。網(wǎng)絡(luò)犯罪分子長(zhǎng)期以來(lái)利用全球事件實(shí)施網(wǎng)絡(luò)釣魚活動(dòng)以提高命中率，新冠疫情也不例外。

網(wǎng)絡(luò)安全公司Digital Shadows聲稱，暗網(wǎng)市場(chǎng)正在使用電子郵件附件來(lái)兜售新冠疫情網(wǎng)絡(luò)釣魚工具，該附件被偽裝成新冠病毒爆發(fā)分布圖，售價(jià)從200美元到700美元不等。

這些電子郵件的主題形形色色：從特定行業(yè)的分析師報(bào)告、官方政府健康建議的詳細(xì)信息、提供口罩的賣家，到非常時(shí)期運(yùn)營(yíng)和物流方面的其他信息，不一而足。這些電子郵件中含有的攻擊載荷包括勒索軟件、鍵盤記錄程序、遠(yuǎn)程訪問(wèn)木馬和竊取信息的工具等。

Proofpoint的威脅研究和檢測(cè)高級(jí)主管Sherrod DeGrippo說(shuō)：“我們的威脅研究團(tuán)隊(duì)已觀察到無(wú)數(shù)的新冠疫情惡意電子郵件活動(dòng)，許多活動(dòng)利用恐慌來(lái)說(shuō)服潛在的受害者點(diǎn)擊郵件。犯罪分子發(fā)送大批的電子郵件，每次數(shù)量從十幾封到2萬(wàn)多封不等，這股勢(shì)頭呈上升趨勢(shì)。最初我們每天全球范圍內(nèi)看到大概一起活動(dòng)，現(xiàn)在每天看到三四起?！?/p>

DeGrippo說(shuō)，Proofpoint的安全團(tuán)隊(duì)發(fā)現(xiàn)的電子郵件中70%左右在傳遞惡意軟件，其余大多數(shù)旨在通過(guò)Gmail或Office 365等虛假的登錄頁(yè)面竊取受害者的登錄信息。Proofpoint聲稱，與新冠疫情有關(guān)的電子郵件誘餌的累積總量現(xiàn)在是該公司迄今為止見(jiàn)過(guò)的由單一主題聯(lián)合而成的最龐大的攻擊類型。

NCSC、世界衛(wèi)生組織（WHO）及其他組織已公開(kāi)發(fā)布警告，防范佯稱來(lái)自官方機(jī)構(gòu)的虛假電子郵件。聲稱來(lái)自疾病控制和預(yù)防中心（CDC）的各種網(wǎng)絡(luò)釣魚郵件一直在到處流傳。

BAE Systems聲稱，發(fā)送以新冠疫情為主題的電子郵件的威脅組織包括：攻擊印度政府的Transparent Tribe（又叫APT36）、與俄羅斯有關(guān)聯(lián)的Sandworm/OlympicDestroyer和Gamaredon團(tuán)伙等。

2.惡意應(yīng)用程序

雖然蘋果在其App Store中對(duì)與新冠疫情有關(guān)的應(yīng)用程序作了限制，谷歌從Play商店刪除了一些應(yīng)用程序，但惡意應(yīng)用程序仍可能對(duì)用戶構(gòu)成威脅。 DomainTools發(fā)現(xiàn)的個(gè)別網(wǎng)站敦促用戶下載一款A(yù)ndroid應(yīng)用程序，該應(yīng)用程序提供了有關(guān)新冠疫情的跟蹤和統(tǒng)計(jì)信息，包括熱圖。然而，該應(yīng)用程序?qū)嶋H上隱藏著攻擊Android的勒索軟件（現(xiàn)名為COVIDLock）。勒索信要求在48小時(shí)內(nèi)支付100美元的比特幣;若不支付，揚(yáng)言要清除聯(lián)系人資料、照片和視頻以及手機(jī)內(nèi)存中的數(shù)據(jù)。據(jù)稱已發(fā)現(xiàn)了解鎖令牌。

DomainTools聲稱，與新冠疫情有關(guān)的域名以前用于分發(fā)與色情有關(guān)的惡意軟件。DomainTools的高級(jí)安全工程師兼惡意軟件研究員Tarik Saleh在博文中說(shuō)：“這種攻擊活動(dòng)由來(lái)已久，表明這個(gè)新冠疫情騙局是該惡意軟件的幕后主使采取的一項(xiàng)新舉措和新嘗試。”

Proofpoint還發(fā)現(xiàn)一起攻擊活動(dòng)要求用戶像SETI@Home項(xiàng)目那樣捐贈(zèng)計(jì)算能力，不過(guò)專門用于新冠疫情研究，結(jié)果卻發(fā)現(xiàn)實(shí)際上通過(guò)BitBucket傳播了竊取信息的惡意軟件。

3.惡意域名

傳播新冠疫情信息的新網(wǎng)站正迅速冒出來(lái)。然而，其中許多網(wǎng)站也會(huì)是毫無(wú)戒心的受害者的陷阱。Recorded Future聲稱，過(guò)去幾周每天都有數(shù)百個(gè)與新冠疫情有關(guān)的域名被注冊(cè)。Checkpoint建議，與新冠疫情有關(guān)的域名是惡意域名的可能性比同期注冊(cè)的其他域名高出50%。

NCSC聲稱，一些虛假網(wǎng)站冒充美國(guó)疾病控制中心（CDC），并創(chuàng)建類似CDC官方網(wǎng)址的域名，要求“密碼和資助虛假疫苗的比特幣捐款”。

Reason Security和Malwarebytes都報(bào)告了一個(gè)新冠疫情熱圖網(wǎng)站用于傳播惡意軟件。該網(wǎng)站隱藏著AZORult惡意軟件，可竊取登錄信息、支付卡號(hào)、cookie及其他基于瀏覽器的敏感數(shù)據(jù)，并將這些信息上傳至一臺(tái)指揮和控制服務(wù)器。該惡意軟件還尋找加密貨幣錢包，未經(jīng)授權(quán)獲取屏幕截圖，并從被感染的機(jī)器收集設(shè)備信息。

4.不安全的端點(diǎn)和最終用戶

由于大量員工、甚至整個(gè)公司的員工長(zhǎng)時(shí)期遠(yuǎn)程辦公，端點(diǎn)及使用端口的人員帶來(lái)的風(fēng)險(xiǎn)隨之增加。如果員工沒(méi)有定期更新系統(tǒng)，則其在家使用的設(shè)備會(huì)變得更岌岌可危。

長(zhǎng)時(shí)間在家辦公還可能鼓勵(lì)用戶將影子應(yīng)用程序下載到設(shè)備上，或無(wú)視他們?cè)谵k公室通常會(huì)遵守的政策。減少出差可能減小了員工在邊境遇到安全問(wèn)題的機(jī)會(huì)，但如果他們實(shí)際上待在家里，這只是減小了連接到不安全的WiFi網(wǎng)絡(luò)或丟失設(shè)備的威脅。那些外出在咖啡館辦公的人（一些人也許會(huì)這樣）可能仍很容易遇到設(shè)備盜竊或丟失（即中間人攻擊）。

國(guó)際信息技術(shù)資產(chǎn)管理者協(xié)會(huì)建議注銷并跟蹤帶回家的所有IT資產(chǎn);企業(yè)應(yīng)下達(dá)政策和建議，明確如何在家使用IT資產(chǎn)（如果人們習(xí)慣與家人共享設(shè)備更是如此），提醒用戶遵守連接到公共WiFi方面的政策，并確保他們根據(jù)需要不斷更新軟件。

5.供應(yīng)商和第三方的漏洞

企業(yè)生態(tài)系統(tǒng)中的每個(gè)合作伙伴、客戶和服務(wù)提供商都可能遇到與企業(yè)同樣的所有問(wèn)題。要與企業(yè)的第三方生態(tài)系統(tǒng)的重要成員保持聯(lián)絡(luò)，確保他們?cè)诓扇〈胧?，為遠(yuǎn)程員工隊(duì)伍確保安全。

6.攻擊醫(yī)療機(jī)構(gòu)

在過(guò)去幾天中，美國(guó)伊利諾伊州公共衛(wèi)生部門官網(wǎng)遭到勒索軟件的攻擊，而美國(guó)衛(wèi)生和福利部（HHS）也遭到了未遂的DDoS攻擊。規(guī)模不一的醫(yī)療機(jī)構(gòu)可能比平時(shí)受到更大的壓力，這可能是工作人員對(duì)點(diǎn)擊的內(nèi)容比較松懈。

伺機(jī)作案的犯罪分子或企圖破壞業(yè)務(wù)運(yùn)營(yíng)的不法分子更有可能將矛頭對(duì)準(zhǔn)醫(yī)療部門。醫(yī)療部門的CISO或?yàn)獒t(yī)療部門服務(wù)的CISO應(yīng)提醒工作人員對(duì)可疑的鏈接和文件保持警惕，確保業(yè)務(wù)系統(tǒng)可抵御DDoS攻擊。

大規(guī)模遠(yuǎn)程辦公的安全優(yōu)先事項(xiàng)

比特梵德公司的全球網(wǎng)絡(luò)安全研究人員Liviu Arsene建議企業(yè)組織采取以下步驟，以確保安全穩(wěn)定的遠(yuǎn)程辦公：

· 增加并發(fā)VPN連接的數(shù)量，以容納所有遠(yuǎn)程員工。

· 安裝并支持會(huì)議軟件，以確保穩(wěn)定的語(yǔ)音連接和視頻連接。

· 確保所有員工都有有效的登錄信息，不會(huì)在30天內(nèi)過(guò)期，因?yàn)檫h(yuǎn)程辦公時(shí)更改過(guò)期的Active Directory登錄信息可能很困難。

· 下達(dá)已接受的應(yīng)用程序和協(xié)作平臺(tái)方面的規(guī)定和準(zhǔn)則，以便員工知道哪些得到批準(zhǔn)和支持、哪些沒(méi)有。

· 為部署更新制定逐步部署程序，因?yàn)橥瑫r(shí)將所有更新發(fā)給通過(guò)VPN連接的員工可能造成帶寬擁塞，并影響進(jìn)出的流量。

· 為所有端點(diǎn)啟用磁盤加密，以減小中招設(shè)備上數(shù)據(jù)丟失的風(fēng)險(xiǎn)。

作者簡(jiǎn)介：Dan Swinhoe是《CSO Online》雜志的英國(guó)編輯。

原文網(wǎng)址

https：//www.csoonline.com/article/3532825/6-ways-attackers-are-exploiting-the-covid-19-crisis.html