垂钓者、量级和核是犯罪分子最常用的攻击工具,用于从僵尸网络到勒索软件的各种有效载荷。攻击套件实际上只是恶意参与者进入大门的一种手段。一旦他们的有效载荷被安装,有效载荷对罪犯来说是独一无二的,而且投放的有效载荷对商业运作有着深远的影响。
攻击工具的流行和攻击者青睐的技术经常变化。就在几年前,黑洞还是最受欢迎的开发工具,直到它的作者德米特里•“大肚子”•费多托夫被捕。在他被捕后的几年里,对黑洞的使用减少了。尽管《大腹便便》(Paunch)上月被判入狱7年,但开发工具包的作者们在衍生品交易中仍保持警惕,毫不气馁。
在ForcePoint首席安全分析师卡尔·伦纳德说,钓鱼已经成为流行的恶意软件编写者在过去的数个月。“这是迅速与攻击代码,新的更新。许多安全厂商不知道这件事,并没有设备,以防止它,”伦纳德说。
恶意软件作者试图混淆代码。非常高级的恶意软件作者会使用协议级别的操纵作为有效载荷,将漏洞的碎片发送给终端用户,这样防火墙就不会意识到这是一个漏洞,”Leonard说。
凡漏洞利用工具包都需要一个人去一个网站,并越来越受到损害,现在犯罪分子进一步前进了一大步。
“三或四个星期前,我们发现了一个名为威胁从网络漏洞安装Samsam。Samsam的参与者们考虑将基于网络的漏洞与勒索软件结合起来,这样就为使用类似网络蠕虫的勒索软件进行更有针对性的攻击打开了大门,”思科塔罗斯(Cisco Talos)的安全拓展经理克雷格威廉姆斯(Craig Williams)说。
“如果你有系统和文件进行加密或文件共享将成为加密的,这是一个巨大的冲击。医院的数十名最近被攻击,对一些人来说已经采取这些天才能恢复。这意味着大量的停机时间,重新安排大手术。严格地讲,它把生命置于危险境地,”威廉姆斯说。
通过他们的网络在黑暗的网络,邪恶的演员被告知新的利用被看到在野外,使他们意识到甚至零日的弱点在一般公众面前。伦纳德说:“在负责任的披露下,研究人员将向供应商确认使用了一个全新的开发脚本。然后供应商发布一个可以应用到业务的补丁。”
然而,企业却在努力快速地应用这些补丁。犯罪分子可以轻易地访问攻击包的复杂程度危及商业运作,并使安全团队超速努力加快补丁过程。
保持所有补丁最新的是业务连续性键停机时间对业务运营的一个最大的影响。
“你必须完全承担系统的操作的重建,并确保所有的子系统没有类似的感染,”在确定搜索CEO托德·费恩曼说。
思杰威胁情报和安全漏洞管理的高级经理乔伊Peloquin,说,超越停机时间漏洞利用工具包构成了对企业的另一个威胁:收集凭证。
“这可以说是一个更大的威胁。如果他们能够记录按键域凭据,它们可能登录并利用环境中的权利和特权优势。这可能会导致数据泄露和企业开放留给在这一点上几乎所有的威胁,” Peloquin说。
“这个行业最好不要编写有漏洞的软件,但我们知道这不会发生,”Leonard说。
威廉姆斯表示同意。“软件本身在构建时必须考虑到安全性,”他说。“需要记住的一件事是,这些家伙真的、真的很擅长制造新的漏洞。”
安德鲁Wertkin,CTO,的BlueCat
正如解决安全威胁的通常情况一样,没有什么灵丹妙药。“多种策略是必要的,”BlueCat首席技术官Andrew Wertkin说。
“有传统的端点管理,利用众所周知的漏洞,可能有补丁,并保持防护最新的,” Wertkin继续。
因为企业正在处理一个不断扩展的网络和更多的设备可能没有终点的保护,“他们需要确保任何众所周知的漏洞,他们使用的都是补丁制作,” Wertkin说。此外,还有一些需要使用许多其他层。
沃特金说:“DNS被攻击工具包本身或有效载荷用来寻找可疑行为。产生了一些差异,它们通常具有相似的模式。沃特金还建议,“去网站看看互联网网关的IP地址是什么。”
虽然有各种各样的IT安全解决方案,“在这个世界上的,我们只是阻止我们知道是坏的,我们没有保护自己。企业需要一个适当的安全架构,他们可以有一个可疑的和基于行为分析,” Wertkin说。
攻击者,虽然,积极性都很高。大多数情况下,他们有一个具体的目标,拉维Devireddy,联合创始人兼首席技术官E8保安说。鉴于这些攻击并不总是随机的,Devireddy说,“这些工具,技术和程序将进行调整和具体的组织。它的用户定制该公司“。
Devireddy说,犯罪分子知道应用软件补丁可能会造成干扰,并不是每个人都在更新他们的补丁。“这是一个耗时的过程。自动化越来越多,但这需要时间。服务器端补丁需要重新启动,这会对业务产生影响,”他继续说道。
然后,恶意行为者使用社会工程策略,将广告发送给经常在不知不觉中点击了欺诈链接的终端用户。”安全意识培训是安全的关键部分。罪犯可以很容易地识别工作人员和雇员,知道谁在哪里工作。他们针对人群开展了非常具体和有效的活动。”
Feinman说,其他更新的检测方法包括从客户的角度进行检测。如果你从客户端进行检查,那么你就是在从外到内进行测试。你会看到一些这样的活动,一些妥协的迹象。”
有沙盒技术和解决方案,将允许你做实时测试,费恩曼说。“一旦你有一个公知的标识,这些系统可以被配置和隔离。该测试可以在实时环境中运行,却没有一个能够走出去,感染其它系统“。
不幸的是,一些开发工具包确实会检查它们是否在虚拟环境中运行,这一事实对安全从业者构成了挑战。“开发工具包不会传播和祈祷,”Peloquin说。
“当一个接触时,该用户是在一个门下车,并有保安在那门剖析发生。如果它检测到一个沙箱,它不会执行一个有效载荷,所以它可以变成捶痣的游戏,” Peloquin说。
企业可以从威胁情报中受益,但。“如果我们有合作伙伴共享威胁情报,我们就可以出人头地的威胁和块和管理,” Peloquin说。
这个故事,“的漏洞利用工具包的扩大景观”最初发表方案 。