BEC隨著遠程辦公地增加呈直線上升

　　從 2014 年到現(xiàn)在，研究人員已經(jīng)確定了 170700 多個直接由尼日利亞 BEC 攻擊者發(fā)起的惡意軟件樣本，該數(shù)據(jù)集是整個網(wǎng)絡(luò)安全行業(yè)中最全面的 BEC 攻擊指標(biāo) （IoC） 集合。這些樣本在針對超過 226 萬次網(wǎng)絡(luò)釣魚攻擊中被觀察到。

　　隨著時間的推移，研究人員已采取措施從該數(shù)據(jù)集中分析攻擊趨勢，以增強網(wǎng)絡(luò)防御者的能力。研究人員觀察到，2014 年至 2017 年期間，Pony、LokiBot 和 AgentTesla 等信息竊取程序的使用率穩(wěn)步增長。隨后，隨著工具可用性的下降，行業(yè)檢測率和攻擊者的技術(shù)技能均有所提高，近年來有所下降。因此，從 2018 年到 2020 年，研究人員見證了 RAT 的快速采用，其中最受歡迎的是 NanoCore、Adwind、Remcos、Netwire 和尼日利亞開發(fā)的 HWorm 變體，稱為 WSH RAT。

　　然而，雖然研究人員看到 SilverTerrier 攻擊者繼續(xù)穩(wěn)步增長和采用 RAT，但對 2020 年到 2021 年上半年的分析發(fā)現(xiàn)，考慮全球生態(tài)系統(tǒng)對其活動的影響也很重要。在新冠疫情爆發(fā)前，每年強調(diào)新工具是有意義的，因為網(wǎng)絡(luò)犯罪論壇上面向攻擊者銷售的工具經(jīng)常發(fā)生變化。盡管在整個大流行期間這種情況在一定程度上持續(xù)存在，但現(xiàn)實情況是，在過去一年半的時間里，研究人員沒有觀察到 BEC 攻擊者對新工具有任何重大功能突破。相反，研究人員的分析顯示，這些攻擊者通常選擇堅持使用具有展示能力和性能的已知工具。在此過程中，他們將注意力集中在調(diào)整和調(diào)整其傳播活動以適應(yīng)不斷變化的全球環(huán)境。

　　如果從技術(shù)的角度考慮大流行的影響，許多人會覺得，全球大部分勞動力都轉(zhuǎn)向了遠程工作。根據(jù)雇主的規(guī)模和資源，員工開始利用 VPN 解決方案、雇主提供或個人計算設(shè)備以及家庭互聯(lián)網(wǎng)連接。這些發(fā)展極大地改變了企業(yè)網(wǎng)絡(luò)安全保護的應(yīng)用方式，比過去十年中的發(fā)展都要大。此外，這種轉(zhuǎn)變甚至可能影響員工的風(fēng)險承受能力。例如，增加對網(wǎng)絡(luò)釣魚電子郵件的懷疑，因為他們的工作設(shè)備現(xiàn)在已連接到家庭網(wǎng)絡(luò)。結(jié)果，BEC 攻擊者看到全球攻擊面發(fā)生了巨大變化，因此需要改變他們的傳播主題和技術(shù)。

　　在 2019 年，經(jīng)?？吹?BEC 攻擊者將新的惡意軟件載荷構(gòu)建為可移植的可執(zhí)行文件（。exe 文件），并使用具有商業(yè)主題（如發(fā)票或交貨通知）的網(wǎng)絡(luò)釣魚活動傳播它們。當(dāng)時，微軟Office文件格式有時也會被利用，增加了一層復(fù)雜性和模糊性。開發(fā)這些文檔時最常用的兩種技術(shù)包括CVE-2017-11882的利用代碼或嵌入惡意宏。在這兩種情況下，這些文檔在打開時都旨在從在線資源中調(diào)用、下載和運行惡意載荷。然而，在研究人員 2019 年分析的所有樣本中，只有 3.5% 使用了宏，只有 3.6% 使用了 CVE-2017-11882 技術(shù)。

　　早在2020年1月，釣魚誘餌就開始使用與大流行相關(guān)的主題，隨著主題的改變，目標(biāo)受眾和傳播數(shù)據(jù)包也發(fā)生了變化。雖然可移植的可執(zhí)行文件仍然很流行，但研究人員觀察到 Microsoft Word 和 Excel 文檔的數(shù)量顯著增加。到今年年底，帶有嵌入式宏的Microsoft Office文檔保持在3.5%的穩(wěn)定水平，但使用熟悉且文檔齊全的CVE-2017-11882的文檔攀升至13.5%。

　　幸運的是，CVE-2017-11882現(xiàn)在是一個存在了4年的漏洞，它的有效性和使用會隨著時間的推移而減弱，這是有道理的。相反，宏具有更持久的存在，因為它們相對容易編碼，并依賴于毫無戒心的受害者啟用它們。在回顧我們2021年上半年的遙測數(shù)據(jù)時，我們的初步發(fā)現(xiàn)顯示，只有很少數(shù)量的惡意軟件樣本使用了CVE技術(shù)，而69%的惡意軟件樣本現(xiàn)在是帶有嵌入式宏的Office文檔。

　　我們知道，新冠疫情推動了支持遠程工作的各種技術(shù)（云計算、視頻會議等）呈指數(shù)級發(fā)展。與此同時，研究人員也發(fā)現(xiàn)打包為 Office 文檔的惡意軟件驚人的增長曲線——從 2019 年的 7% 上升到 2020 年的 17%，再到 2021 年的 69%——值得進一步調(diào)查。深入研究后，研究人員發(fā)現(xiàn)，到2021年中期，打包成Office文檔的惡意軟件樣本的原始數(shù)量已經(jīng)達到或遠遠超過研究人員在前幾年觀察到的年度樣本數(shù)量。因此，研究人員仍然相信該趨勢還存在很大的增長空間。

　　與此同時，研究人員認(rèn)為，在2020年年中至2021年初期間，全球幾乎所有企業(yè)都修訂了其網(wǎng)絡(luò)安全態(tài)勢，改變了環(huán)境中的設(shè)備，重新構(gòu)建了網(wǎng)絡(luò)流量，并加強了網(wǎng)絡(luò)安全政策，以支持遠程工作。在分析威脅趨勢時，必須考慮這些變化的影響。這些調(diào)整在宏觀層面結(jié)合應(yīng)用，顯著改變了邊界（防火墻）和主機（端點）層面的攻擊可見性。例如，在企業(yè)工作環(huán)境中進行網(wǎng)絡(luò)安全分析后可能允許的附件在遠程工作環(huán)境中可能已被默認(rèn)阻止。根據(jù)實施情況，此類更改將降低網(wǎng)絡(luò)安全公司對攻擊的可見性。因此，幾乎不可能在大流行前和大流行后的攻擊活動之間進行比較，因為整個網(wǎng)絡(luò)安全行業(yè)的收集態(tài)勢發(fā)生了巨大變化。研究人員將這一經(jīng)驗應(yīng)用于研究人員對惡意 Office 文檔的觀察，并評估研究人員 2021 年 69% 的初步調(diào)查結(jié)果可能是由于過去一年收集狀況的變化而人為夸大的。

　　緩解BEC攻擊

　　政府層面

　　2018 年，F(xiàn)BI 發(fā)起了第一次針對 BEC 攻擊者的全球活動，稱為“WireWire 行動”。在六個月的時間里，通過與 Palo Alto Networks、FlashPoint、國家網(wǎng)絡(luò)取證培訓(xùn)聯(lián)盟 （NCFTA） 和其他幾個機構(gòu)的密切合作，執(zhí)法機構(gòu)能夠逮捕全球 74 名攻擊者。一年后，聯(lián)邦調(diào)查局發(fā)起了“連線行動”（Operation Rewired），在該行動中，全球又逮捕了281名攻擊者。其中包括與EFCC密切協(xié)調(diào)在尼日利亞被捕的167人。

　　2020 年 6 月，一名名為“Hushpuppi”的尼日利亞社交媒體網(wǎng)紅在迪拜被捕。他隨后被聯(lián)邦調(diào)查局起訴，盜竊了超過 2400 萬美元。

　　2020 年 11 月，國際刑警組織與 NFP 一起逮捕了三名尼日利亞攻擊者，他們被指控使用 26 個不同的惡意軟件家族在 150 多個國家/地區(qū)對受害者進行 BEC 活動。

　　企業(yè)預(yù)防措施

　　1.查看網(wǎng)絡(luò)安全策略，企業(yè)應(yīng)重點關(guān)注員工可以在連接到公司網(wǎng)絡(luò)的設(shè)備上下載和打開的文件類型（便攜式可執(zhí)行文件、帶有宏的文檔等）。此外，應(yīng)建立 URL 過濾規(guī)則以限制對以下類別域的默認(rèn)訪問：新注冊、內(nèi)容不足、動態(tài) DNS、停放和惡意軟件。

　　2.定期檢查郵件服務(wù)器配置、員工郵件設(shè)置和連接日志。重點關(guān)注識別員工郵件轉(zhuǎn)發(fā)規(guī)則和識別郵件服務(wù)器的外部或異常連接。如果可能，請考慮實施地理 IP 阻止。例如，小型本地企業(yè)不需要來自外國的登錄嘗試。

　　3.進行員工培訓(xùn)。常規(guī)網(wǎng)絡(luò)攻擊意識培訓(xùn)是其中的一個組成部分；但是，組織還應(yīng)考慮針對其銷售和財務(wù)組成部分進行量身定制的培訓(xùn)。

　　4.每年定期進行攻擊風(fēng)險評估，以測試組織控制并驗證環(huán)境中沒有發(fā)生未經(jīng)授權(quán)的活動。通過定期查看郵箱規(guī)則和用戶登錄模式，這些評估可以驗證控件是否按預(yù)期運行，以及是否在整個環(huán)境中有效阻止了不需要的行為。