一篇文章了解2020年需要关注的网络威胁，文末福利！

然而，DNS 攻击的关键在于它们不直接针对图书馆员，而是针对图书馆员。 图书管理员没有带您到目标图书的正确存储位置，而是带您到一个完全不同的地方。

更糟糕的是，您甚至可能不知道自己访问了错误的网站。

这样，一旦您毫无戒心地到达恶意服务器，您就会立即成为恶意攻击者摆布的受害者。 恶意攻击者可能会尝试安装恶意软件，收集您的用户名和密码，或暗中充当恶意网站和合法网站之间的中间人，并拦截您出于其他目的（即身份盗用、勒索...）访问的所有数据。

Sea Turtle（“海龟”）是由控制 TLD（顶级域）的组织发起的 DNS 劫持示例。 案件中的恶意攻击者利用多个系统漏洞控制了整个域的域名服务器。

这允许恶意攻击者对从 DNS 请求返回的 IP 地址施加控制。 设置恶意名称服务器后，它可以选择何时将对特定域名的请求发送到合法或恶意站点。

Sea Turtle（“海龟”）攻击流程图

此外，作为 Sea Turtle 攻击的一部分，网络邮件服务器的 DNS 记录被更改。 恶意攻击者因此可以拦截用户与 web 邮件系统的连接，使他们不仅可以捕获用户的凭据，还可以读取 web 邮件系统和用户之间传递的所有数据。

DNS劫持是一种间接攻击案例。 对于隐藏在幕后的恶意攻击者来说，他们真正的目标不是特定的组织，而是整个互联网基础设施。

2020年形势分析

“海龟”DNS 劫持行动背后的人今年并没有放慢脚步。 Talos 团队发现的新细节还表明，自我们对 Sea Turtle 的初步发现以来，这些恶意行为者已经重新集结，并针对新的基础设施发起了更具攻击性的攻击。

许多恶意行为者一旦被发现就会暂时放慢攻击速度，但这个组织非常明目张胆。 针对这种情况，我们建议重点关注DNS安全技术和多因素认证技术，实施更严格的身份认证流程。

远程访问木马 (RAT)

让我们想象一下……

您在一家即将发布新产品的知名科技公司工作。 产品发布前，您必须严格保密相关机密信息。 但不幸的是，有人黑进了公司的系统，窃取了这款新产品的敏感数据。

恶意行为者可以使用许多潜在的强大武器来窃取公司数据。 下载程序、管理工具和信息窃取程序往往是此类攻击的重要原因。

但在上述攻击场景中威胁邮件 要比特币 视频，恶意攻击者通常会借助名为“RAT”的远程控制木马程序发起攻击。

如何利用RAT发起恶意攻击？

作为一种工具，RAT 用途极为广泛。 如果恶意攻击者的目标是窃取财务数据，他们可以使用 RAT 从受感染的计算机上获取银行信息，或者安装键盘记录器来获取信用卡号码。

RAT 程序的组成部分

许多 RAT 可以访问用户保存和缓存的密码，一旦知道用户名和密码，恶意攻击者就可以尝试登录共享服务器。

请记住，大多数 RAT 程序都可以访问受感染系统的命令行。 通过适当的管理权限，恶意攻击者可以控制 RAT，允许它执行恶意攻击者计划执行的任何操作，例如安装和删除文件或安装键盘记录程序。

RAT 渗透系统的方式没有什么特别之处。 RAT 的分布方式与其他类型的恶意软件大致相同：它们通过电子邮件与其他常见攻击媒介一起传播，通过植入程序植入系统，并设置为漏洞利用工具的有效负载。

2020年形势分析

Talos 去年夏天发现，攻击者一直在针对政府实体、金融服务组织、信息技术服务提供商和咨询公司的各种恶意软件分发活动中使用 RevengeRAT 和 Orcus RAT。

一些独特的策略、技术和程序 (TTP) 与这些活动相关，包括：

随着网络犯罪分子继续扩大其用例范围，RAT 今年将构成威胁。

隐藏在加密流量中的威胁

一旦恶意攻击者成功入侵目标组织，他们最不想看到的就是他们的流量被网络监控工具监控。 当今的许多威胁都会使用加密流量来应对。

从恶意攻击的角度来看，威胁加密的手段也很多。 从命令和控制 (C2) 通信到数据窃​​取，恶意行为者使用加密来隐藏恶意流量。

银行木马加密它窃取的数据

如何检测恶意加密流量？

流量指纹技术是捕获恶意加密流量的方法之一。 该技术监视网络上的加密数据包并查找与已知恶意活动相匹配的攻击模式。

但是由于恶意攻击者可以轻松地将随机或虚拟数据包嵌入到他们的流量中以掩盖可能的指纹，因此这种技术不足以捕获所有恶意加密的流量。 在这种情况下，为了准确识别恶意流量，您需要借助其他检测技术，例如可以识别更复杂的恶意连接的机器学习算法。

威胁仍可能找到逃避某些机器学习检测方法的方法，因此我们建议采用结合多种技术的分层方法。

2020年形势分析

通过加密流量发起的威胁继续增长。 根据思科收集的数据，思科 Stealthwatch 检测到的所有威胁事件中有 63% 是在加密流量中发现的。

由于整个行业不太可能放弃使用 https 技术，因此企业切不可掉以轻心，因为这很可能成为一些网络犯罪分子会尝试并有效利用的一种策略。

Office 365 网络钓鱼攻击

现代办公离不开Office 365，我们可以随时通过Outlook邮件与同事交流。

殊不知，或许我们的对话已经被恶意入侵者掌握了，因为他们已经成功扰乱了Office 365在企业中的正常使用。 简而言之，他们拦截并回复您发送给同事的电子邮件（例如 xxx@cisco.com）。

恶意行为者用来获取 Office 365 帐户访问权限的方法通常是暴力破解，这会产生连锁反应。

网络钓鱼攻击通常携带看似来自 Microsoft 的电子邮件。 此电子邮件包含登录请求，包括重置密码的提醒，如果他们最近登录过该帐户，或者该帐户存在需要他们注意的问题。 该电子邮件还包含一个 URL，电子邮件的读者可能会点击该 URL 以解决所提到的问题。

在成功的Office 365钓鱼攻击中，用户输入的登录信息被恶意攻击者窃取。 整个虚假网页上没有任何有用的信息，只是提醒用户登录信息有误，或者将用户重定向回真实的Office 365登录页面。

示例 Office 365 网络钓鱼电子邮件

完成这一系列动作后，大部分用户都不会知道自己的登录信息被盗了。

使情况复杂化的是，恶意攻击者通常使用一种称为“会话劫持”的策略，在这种策略中，攻击者会回复已进入受感染收件箱的电子邮件，如上述攻击场景。 删除他们的恶意负载。

2020年形势分析

根据 ESG 代表思科进行的一项新研究，超过 80% 的受访者提到他们的企业使用 Office 365 等 SaaS 电子邮件服务。但是，仍有 43% 的受访者表示，在使用此类服务​​后，他们需要使用一系列辅助安全技术来支持他们的邮件防御系统。

根据 Verizon 的 2019 年数据泄露调查报告，网络钓鱼是迄今为止最成功的威胁媒介。 网络钓鱼是去年近三分之一 (32%) 数据泄露的主要攻击武器。

社交媒体和在线黑市

您有没有想过网络犯罪发生在 Internet 的隐蔽角落，需要复杂的软件和广泛的授权才能访问它？ 这并非总是如此。

社交网络上开始出现网络犯罪活动！

2019 年初，Talos 研究人员发现多个拥有数十万成员的网络犯罪组织使用 Facebook 作为其活动的公共平台。 这些团体通过社交媒体平台与其他犯罪分子联系，共享和出售工具、技术和窃取的数据，有时还会互相勒索。

更重要的是，有些已经存在了至少八年！

网络安全研究员布赖恩·克雷布斯最近曝光了 120 个性质相似的在线群组，共有约 30 万成员。 虽然这些团体名义上已经停止活动，但从 Talos 在 2019 年向 Facebook 报告的团体数量来看，这似乎并未影响此类活跃成员的增长。

而社交媒体平台不仅成为不法分子讨论犯罪计划的重要场所，也成为不法分子买卖工具（包括如何发动攻击的培训）的市场。

2020年形势分析

2019年底，我们在Facebook上快速搜索了几个明显的群名，比如“Spampprofessional（垃圾邮件专家）”、“Spamand hacker（垃圾邮件和黑客）”，发现这些群依然存在，而且每天都有好几个新的发帖记录。 作为网络安全社区，我们不仅会继续向Facebook报告这些团体的存在，还会与Facebook联手取得更多突破。

数字勒索骗局

有一天，你突然收到一封邮件，邮件的标题是你的用户名和密码，邮件正文让你心慌：发件人在邮件中说他入侵了一个色情网站，发现你访问了这个网站？ ！

然后骗子会告诉你，他们已经控制了你的显示器和网络摄像头，记录了你的个人资料和色情内容，并同步了这两个流。

更让你不安的是，诈骗者还声称他们已经通过你的社交媒体账户和电子邮件收集了你所有的联系信息。 在邮件的最后，他们还巧妙地暗示：如果他把视频发给联系人，你会多么尴尬。

接下来，骗子会说他们不厚道，删除这个内容并不难，只需要支付价值 1000 美元的比特币就可以让它全部消失。

这看起来像是勒索，但也有虚张声势的成分。

在这种情况下，电子邮件声称的内容是错误的：它们没有侵入任何网站、控制您的网络摄像头或窃取任何联系人，而是巧妙地利用了人类情感和内心的复杂性。 深深的愧疚。

此外威胁邮件 要比特币 视频，还有另一群网络钓鱼活动，其目标是通过吸引大量收件人来帮助勒索者获利。 为了增加真实性，它们在电子邮件中包含真实的用户名和/或密码。 事实上，勒索者的真正意图是利用之前窃取的数据牟利。

这些电子邮件还包含大量技术术语。 这并不是说远程访问您的桌面或网络摄像头是不可能的（但确实会发生），但根据诈骗者描述的方式，他们想要访问您的桌面或网络摄像头的可能性很小。

2020年形势分析

数字勒索在今天仍然是一种常见的攻击方式，因为即使是赔率也能获利。 下图向我们展示了最近的一起数字勒索案例。

最近的数字勒索电子邮件示例

思科专家建议

思科“零信任”安全解决方案可保护对整个企业员工、工作负载和工作场所的访问。 是一种全面的安全方法，可保护跨网络、端点、应用程序和云的所有访问。 点击“阅读原文”，了解完整的安全解决方案。

免费试用

/ 免费为您的网络进行安全检查 /

/ 免费试用电子邮件安全解决方案/

/ 免费试用 Cisco Endpoint Security

用于端点软件的 AMP/

更多思科网络安全系列报告