Dark background with blue code overlay
博客

互联网现状/安全性:年度回顾

Akamai blue wave

Written by

Akamai

December 08, 2021

前言

2021 年是如此不平凡的一年。尽管目前世界各地在不同程度上迎来了重新开放,但 2020 年几乎全面过渡到虚拟化世界的影响却仍在持续。许多大公司都在转向混合办公模式,也就是将在家与去公司办公两种形式结合在一起。有些公司甚至为员工提供了永久的远程办公机会。无可否认,新冠疫情已经影响了我们工作、娱乐、休闲以及办理银行业务等各个方面。在电视剧《老友记》里,罗斯在搬沙发上楼时大喊“Pivot”(表示“绕着中心转动”,亦有“战略转向”之意)的经典场景迅速成为当年流行文化中的热梗,而在 21 世纪 20 年代,这一口号又因众多企业、个人,甚至是犯罪分子,而再度回归。

我们的年度回顾报告本身也进行了“战略转向”,本期报告不再采用 PDF 格式的完整出版物形式,而是在这里 —— 在焕然一新的 Akamai 博客上分享。这份年度报告的目的是回顾和盘点我们在过去一年中所发布的内容,我们选择在博客上直接分享,让大家可以更方便地一键访问相应报告或者博文。

言归正传,下面是我们的 2021 年度回顾!

2020 年 10 月

去年 10 月的大部分内容都与 Or Katz 的 JavaScript 混淆研究有关。Katz 的第一篇博文 《抓得住我的话,就试试吧》 介绍了这项技术。虽然人们并不认为这种技术的复杂度很高或者规避性很强,但如果不去实际呈现网页并评估内容,就很难确定相应网页恶意与否。在《双重 JavaScript 混淆骗局的故事》中, Katz 进一步阐述了这项技术,概述了这项技术如何用于多种类型的骗局,比如网络钓鱼和 Magecart 式攻击。他还介绍了在当时一个活跃的网络钓鱼诈骗中观察到的双重混淆与加密的示例。在 《网络钓鱼 JavaScript 混淆技术飞速发展》中,Katz 展示了这种攻击技术的使用日渐飙升的态势,为他这次研究画上了圆满的句号。“我们观察到,在 2019 年 11 月至 2020 年 8 月这 10 个月期间,钓鱼网站使用混淆技术的情况持续增加,这段期间内的增幅达到 70% 以上。”

2020 年 11 月

Larry Cashdollar 发现了一起感染事件:有一名恶意攻击者在他现有的 WordPress 安装页面之上添加了一个商店,随后 Cashdollar 根据自己的发现撰写了 《可建立 SEO 商店的 WordPress 恶意软件》一文。该恶意软件重写了 index.php 文件,并添加了一个函数来检查查询参数是否包含一个特定字符串。如果发现了这个字符串,就会提供一个不同的网站。“攻击者很快就猜出了我的凭据,而在获得凭据之后,攻击者立刻利用其访问权限上传了一个受到恶意软件感染的插件。”

我们观察到请求标头的顺序不对,而且 User-Agent 字符串企图伪装成 Googlebot(摘自《可建立 SEO 商店的 WordPress 恶意软件》博文) 我们观察到请求标头的顺序不对,而且 User-Agent 字符串企图伪装成 Googlebot(摘自《可建立 SEO 商店的 WordPress 恶意软件》博文)

2020 年 12 月

2020 年 12 月,我们一直绷得紧紧的神经终于有机会得到放松。我们不知道 2021 年会怎样,但在 2020 年 12 月 11 日第一支新冠病毒疫苗获得紧急使用授权时,我们都感觉重大的转变即将到来。虚拟派对和虚拟家庭聚会成为这一年节日的特色。从网络安全的视角来看,2020 年同样充满挑战,因为几乎所有员工都转为远程办公。企业安全边界达到了前所未有的模糊程度,而这带来了错综复杂的问题。 Katz 回顾了网络钓鱼 趋势对于这前所未有的一年造成了怎样的影响。

2021 年 1 月

我们都挂起了 2021 年的日历,通过这样的方式寄托辞旧迎新的心愿。然而,尽管关键工作人员已经开始普遍接种疫苗,大多数人仍然是在家中迎来新的一年。Steve Ragan 注意到,犯罪分子采用了一种 瞄准热门游戏玩家的新型攻击。他指出,游戏玩家不仅要应对网络层面的事件,如 DDoS 和撞库攻击,还要应对针对个人发起的其他攻击。“最近,我注意到一位《我的世界》玩家被一个诈骗者盯上了,后者通过 Discord 聊天服务索要赎金。要求非常简单,要么支付大约相当于 20 美元的游戏币 SkyBlock Gems,要么就面临 DDoS 攻击。受害者惊慌失措,也不想惊动自己的父母来讨论如何应对这一威胁,于是按要求支付了赎金。尽管如此,诈骗者还是发起了一次 DDoS 攻击,导致受害者的网络瘫痪,直至第二天才恢复正常,这充分证明了犯罪分子没有什么信誉可言。”

Cashdollar 还深入研究了 KashmirBlack 僵尸网络如何成为攻击武器。“KashmirBlack CVE-2018-9206 漏洞会扫描包含 85 个唯一路径的列表,我认为这份列表是由该僵尸网络的创造者整理的,可能是借助 Google Dork 收集的,也可能源自其自身既往的漏洞利用经验。它会发出 POST 请求来检查这些路径的有效性,进而上传文件。随后,该脚本会检查其上传的攻击媒介文件 sssp.php 是否存在于相应的上传文件/目录中。”

2021 年 2 月

我们很多人在 2020 年都做过这样一件事:扩展家里的本地 Wi-Fi 网络,保证无线信号覆盖家里的每一层,从而确保在家里的每个角落都能接入互联网,Assaf Vilmovski 也想这么做。但是他最后放弃了这一想法,所以他有了一台额外的路由器来做点儿研究。Vilmovski 使用 D-Link DAP-1360 并在 硬件版本为 A1、固件版本为 2.5.5 的这款路由器中存在的一个漏洞,具体涉及到 Web 接口的 ping 功能。

在这一年的 2 月份,英国还开展了更大规模的新冠病毒疫苗接种,犯罪分子也没有错过这个机会。他们将新冠病毒疫苗接种机会作为诱饵,针对最脆弱的人群发起了网络钓鱼攻击活动。Ragan 盘点并解析了既往的新冠疫情骗局,包括 英国国家卫生署 (NHS) 警告公众警惕的一个 大规模疫苗接种骗局。

Katz 深入研究了袭击 英国银行的一次新网络钓鱼攻击,这次攻击成功绕过了 2FA。攻击者 Kr3pto 是一个网络钓鱼工具包开发人员,他构建并销售针对金融机构和其他品牌的独特工具包。“Akamai 追踪了超过 7600 个使用 Kr3pto 工具包部署的域,发现该攻击者滥用了 8 个不同的银行品牌,并使用商业 Web 托管来扩展各种网络钓鱼活动,以规避检测。”

Evyatar Saias 和 Chad Seaman 共同开展了一项研究,分析了一个已知加密挖矿僵尸网络活动中的 一款恶意软件。该恶意软件当时已经开始利用比特币区块链交易,以隐藏自己的备用 C2 IP 地址。这种方法可以简单而有效地突破恶意软件防范措施。“一个长期运行的加密挖矿僵尸网络活动的运营者最近开始发挥创意,在比特币区块链上伪装他们的备用 C2 IP 地址。”

2021 年 3 月

3 月份, 我们发布了第一份 SOTI 研究报告, 在此报告中,我们回顾了 2020 年,并探讨了 2020 年发生的一些技术转变。我们不仅讨论了全世界的趋势,还介绍了攻击者针对我们自己的系统发起的攻击,以提供具体的示例。我们稍微透露一些内幕,带读者看看在动荡多变的一年里,Akamai 如何利用自家产品抵御攻击、保护自身。

Akamai 使用的其中一个关键防御层是 Enterprise Threat Protector,它利用 Akamai 的研究和数据并结合第三方数据,以识别恶意域,并在 DNS 和 HTTP 级别对其进行阻止。它可以应对犯罪分子使用的几种关键手段,包括渗透、命令和控制 (C2) 以及网络钓鱼。

3 月 4 日,Cashdollar 还发现了 另一个正在作恶的 Go 语言加密货币矿工 恶意程序。“加密货币挖矿恶意软件将继续演变,并利用最新的软件漏洞。命令注入和远程代码执行这样的软件漏洞将继续受到网络犯罪分子的重视,以便通过您的 CPU 周期获利。”

Seaman 探讨了 Akamai 客户最近遇到的一连串攻击,这些攻击利用了一种称为 33 号 协议或数据报拥塞控制协议 (DCCP) 的网络协议。DCCP 是一种对攻击者可靠,而对普通用户不可靠的网络协议。“在我观察到的针对 Akamai 客户的攻击中,100% 的流量均由 DCCP-Request 数据包构成。这些数据包本质上是 DCCP 协议变体的 SYN 泛洪攻击”。

2021 年 4 月

在美国,4 月通常是缴税月。因此,不出所料,犯罪分子将目标对准了将那些想要在截止日期之前完成税务申报的纳税人。 Ragan 深入研究了每年这段时间 前后的犯罪活动趋势。“每年这段时间前后的压力和紧迫性使得受害者人群极易受到各类攻击的影响。除了网络钓鱼之外,犯罪分子还会借每年的纳税季机会集中精力发起其他类型的攻击,包括本地文件包含 (LFI)、SQL 注入 (SQLi) 和撞库。”

从纯粹的人类层面上来说,2021 年 4 月是一个重要的月份 —— 从这个月开始,美国所有成年人都有资格接种新冠病毒疫苗。

2021 年 5 月

Akamai 长期以来都是 Verizon 的《数据泄露调查报告》(DBIR) 的积极贡献者,今年也不例外。 Martin McKeay 深入研究了 今年的报告所涵盖的内容,以及一些最重要的发现,包括新冠疫情对于流量和攻击模式的影响。“Verizon 团队的工作给了我很多启发,尤其是他们多年来建立的合作伙伴关系。我们的下一期《互联网现状/安全性:针对金融行业的网络钓鱼》报告体现了我们自身的承诺,即与其他企业紧密合作,从而提供尽可能出色的研究。”

此外,我们还在 5 月份发布了第一期完整的 《互联网现状/安全性:针对金融行业的网络钓鱼》报告。这份报告的亮点在于,其中的研究和数据由威胁情报公司 WMC Global 提供,并重点分析了金融服务行业。基于 Web 的攻击和应用程序攻击的数量在 2020 年居高不下,并且丝毫没有在短期内下降的迹象。Akamai 在全球范围内观测到 6,287,291,470 次 Web 攻击,其中 736,071,428 次仅针对金融服务行业。此外,这份报告还以 Ex-Robotos 网络钓鱼工具包为例,探究了“网络钓鱼攻击即服务”。

soti-may.jpg

Cashdollar 继续其研究,并发现了一个 罗马尼亚的加密挖矿恶意软件感染。“虽然加密挖矿恶意软件并不是什么新鲜事物,但发现一个与我过去所看到的恶意软件都不一样、采用不当打包方式的 tar 包仍然很有意思。这个挖矿恶意程序会安装 XMRig 和 Perl DDoS IRC Bot v1.0,使用与目前已报告的其他加密挖矿恶意软件相似的 Rootkit 来隐藏其 加密货币挖矿活动。”

2021 年 6 月

进入 6 月,2021 年过去了一半,我们发布了新一期 《SOTI 研究:疫情期间的游戏业》报告。游戏是全世界许多人忘却现实烦恼的避风港,包括我们自己的团队成员,在封锁高峰期更是如此。虽然游戏业遭遇的 DDoS 攻击有所减少,但该行业在 2020 年的总体攻击流量增幅依然超过其他行业。

soti-june.jpg

2020 年是充满动荡的一年 —— 我们不能忽视这一点。当所有人都待在家里,适应“新常态”,试图在疫情期间平衡工作、学习和日常生活时,许多人将游戏作为人际交往的渠道和手段。犯罪分子同样如此。没错:虽然他们是恶意的,但他们仍然是人。他们会互相交谈、玩游戏,在某些情况下,这种社交纽带意味着,他们会在不同程度上协调他们的攻击行动。

在此期间,Akamai 开始制作新网站并推出我们的新博客。Julia Tetrud 和她的团队成员们不辞劳苦地工作,帮我们手动执行迁移,并将先前的 SIRT 博客整合到新的 Akamai 博客,他们值得敬佩。

2021 年 7 月

Ryan Barnett 探索了一项 针对 Kaseya 的 供应链勒索软件攻击。7 月 2 日, Kaseya 公布了一起主动攻击(该攻击针对的是使用其 VSA 产品的客户),并敦促所有本地客户关闭 Kaseya VSA。攻击者是 REvil 勒索软件团体的成员,他们利用了身份验证绕过和任意命令执行漏洞 (CVE-2021-30116),使他们能够向目标系统分发勒索软件加密程序。为了协助防御者, Kaseya 发布了多个 与勒索软件攻击有关的 IOC。

2021 年 8 月

恶意软件研究有许多挑战。其中一项挑战是经过混淆的代码和被蓄意破坏的二进制文件。为了应对这样的挑战,Akamai SIRT 团队使用 C 语言编写了一个小工具,可以自动修复被蓄意破坏的二进制文件。他们还计划开放该项目的源代码,让其他研究人员也可以使用这个工具,并根据需要改进和扩展该工具的功能。在《UPX 打包造成的麻烦》中,Akamai SIRT 团队详细介绍了他们的项目, 及其工作原理

《UPX 打包造成的麻烦》博文中的 UPX Magic 字节和经过篡改的 p_info 标头 《UPX 打包造成的麻烦》博文中的 UPX Magic 字节和经过篡改的 p_info 标头

2021 年 9 月

在这个季节变换的月份,Saias 探讨了 Kinsing 的 新演变, 其中涉及到它如何将 Windows 系统作为攻击目标。这个僵尸网络在不同的地理区域(包括美洲、欧洲和亚洲)高度活跃,因此引起了他和 Akamai SIRT 的关注。该僵尸网络一直使用相同的分布式 IP 地址 (194.38.20.199) 运行,已有超过六个月不需要轮换 IP 地址。过去,此攻击活动仅针对 Linux 机器。

大约在同一时期,Cashdollar 发现了大量用 Go 语言编写、以 UPX 打包的加密挖矿恶意软件,均以 Linux 系统为攻击目标。该恶意软件的主要战术是利用存在漏洞的系统和强度较低的管理凭证进行传播。在它们成功感染系统之后,就会利用受感染的系统进行加密挖矿。Cashdollar 根据该代码在他的终端上的输出将其检查的样本命名为“Capoae”。加密挖矿攻击活动依然在不断发展演变。Capoae 攻击活动利用多种漏洞和战术,充分暴露出这些恶意软件的运营者感染尽可能多的机器的野心。

2021 年 10 月

您知道吗?根据 API Evangelist 博客报道,第一个应用程序编程接口 (API) 实例 由 Salesforce.com 创建于 2000 年 2 月 7 日。这种原本相对简单的系统间通信方法如今已发展成为互联网流量的最大推动力量之一。

因此,我们决定在 《互联网现状/安全性:API:与每个人息息相关的攻击》中深入探究 API 的世界。与 5 月份一样,我们看到并理解了整个行业通力协作的价值所在 - 能够综合各方视角,描摹出更全面的趋势。在这份报告中,除了我们自己的研究之外,我们还与 Veracode 开展了合作,因为他们对应用程序安全领域的见解有助于我们进一步研究 API 和开发方面的挑战。

正如我们的数据所示,攻击者显然随时伺机而动,开发新的技术和攻击方法,而 API 功能就是他们的主要目标之一。虽然许多团队正致力于将安全性融入开发生命周期,但这个过程较为缓慢。这使得企业处境危险,在某些情况下,企业虽然已经了解到代码容易受到攻击,但考虑到这些代码对于业务有着至关重要的意义,因此不得不发布这些代码。

结论

回顾一年时光,回想发生过如此之多的事情总是令人感慨万千。但有一点始终不变:互联网的现状将不断变化,而我们的《互联网现状/安全性》报告也将不断发展进化。通过过去两年的时间,我们已经看到,互联网如今已成为大众日常生活中不可或缺的一部分,不论是学习、工作、零售、娱乐、交流还是银行业务,都与互联网息息相关。

整个行业的通力协作将成为我们勾勒出完整互联网状况的关键所在。未来,我们必将继续看到不断发展变化的威胁和问题,如果没有整个社区的合作,我们就没有能力去充分理解它们,解决它们则更是无从谈起。

在本文中,我们不敢妄加揣测,如果说 2020 年和 2021 年的经历教会了我们一些东西,那就是:任何事都有可能发生。只有时间才能展示一切。而此时此刻,我们惟愿各位度过一个平安健康的节日 —— 2022 年再会!

特别鸣谢:

编辑人员

编辑总监 Martin McKeay

高级技术作家兼总编 Amanda Goedde

高级技术作家兼编辑 Steve Ragan

高级数据科学家 Chelsea Tuttle

营销人员

项目管理 Georgina Morales Hampe

项目管理 Shivangi Sahu

研究人员

首席安全研究员 Ryan Barnett

安全情报响应团队,高级工程师(II 级)Larry Cashdollar

首席安全研究员 Or Katz

安全研究员 Evyatar Saias

安全情报响应团队,高级首席工程师(II 级)Chad Seaman

外部协作者

Veracode 首席研究官 Chris Eng

WMC Global 首席执行官 Ian Matthews

WMC Global 高级威胁搜寻人员 Jake Sloane

WMC Global 高级产品经理 Elizabeth Snead



Akamai blue wave

Written by

Akamai

December 08, 2021