根據(jù)Forescout公司下屬的Vedere Labs的研究����,進(jìn)入2022年,過(guò)去幾年最大的兩個(gè)威脅正在趨同:勒索軟件攻擊和物聯(lián)網(wǎng)攻擊����。這種新的融合威脅被稱為R4IoT�����。R4IoT是一種新型惡意軟件,它在IT網(wǎng)絡(luò)上將IoT入口點(diǎn)和與勒索軟件相關(guān)的橫向移動(dòng)和加密結(jié)合在一起���,從而對(duì)IT和OT網(wǎng)絡(luò)造成廣泛影響��。R4IoT的最終目標(biāo)是利用暴露和易受攻擊的物聯(lián)網(wǎng)設(shè)備(例如IP攝像頭)獲得初步立足點(diǎn)��,然后在 IT 網(wǎng)絡(luò)中部署勒索軟件����,并利用糟糕的運(yùn)營(yíng)安全實(shí)踐來(lái)控制關(guān)鍵任務(wù)流程�����。很明顯���,勒索軟件是一種威脅��。根據(jù)身份盜竊資源中心的數(shù)據(jù)�,勒索軟件攻擊在2020年和2021 年翻了一番��。2016年����,Mirai僵尸網(wǎng)絡(luò)入侵了超過(guò)145,000臺(tái)物聯(lián)網(wǎng)設(shè)備�����,發(fā)起了前所未有的1Tbps分布式拒絕服務(wù)(DDoS) 攻擊���。
在過(guò)去幾年中,勒索軟件攻擊變得更加復(fù)雜�����,將數(shù)據(jù)泄露與加密相結(jié)合�����,以最大限度地提高其收益�����。復(fù)雜的勒索軟件系列像公司一樣運(yùn)作��。勒索軟件即服務(wù)-RaaS��,已將這些攻擊商品化��,因此勒索軟件團(tuán)伙可以針對(duì)任何組織���。同時(shí)���,數(shù)字化轉(zhuǎn)型趨勢(shì)一直在推動(dòng)物聯(lián)網(wǎng)設(shè)備的快速采用以及IT和OT網(wǎng)絡(luò)的融合。
IT/OT融合在某種程度上也代表了一個(gè)嚴(yán)重的漏洞�����,因?yàn)槔账鬈浖臀锫?lián)網(wǎng)攻擊也融合在一起�。R4IoT展示了“物聯(lián)網(wǎng)勒索軟件”的概念驗(yàn)證。如果物聯(lián)網(wǎng)設(shè)備遭到入侵���,攻擊者可能會(huì)轉(zhuǎn)向IT或OT設(shè)備�����,這可能會(huì)影響物理系統(tǒng)����。易受攻擊的物聯(lián)網(wǎng)設(shè)備(例如IP 攝像機(jī))可被用作初始接入點(diǎn)�,正是IT/OT融合促成了這種橫向移動(dòng)。
R4IoT演示了這些攻擊如何泄露數(shù)據(jù)并在IT環(huán)境中部署加密軟件����。對(duì)OT環(huán)境的攻擊針對(duì)廣泛存在的TCP/IP堆棧漏洞�,因此它們不需要特定的操作系統(tǒng)或設(shè)備類型���,也不需要修改這些設(shè)備上的固件��。
自R4IoT誕生以來(lái)����,已經(jīng)發(fā)生了幾起事件表明威脅行為者利用物聯(lián)網(wǎng)設(shè)備進(jìn)行初始訪問(wèn)�����。例如���,研究人員發(fā)現(xiàn)了DeadBolt的多種勒索方法�,該勒索軟件針對(duì)暴露在互聯(lián)網(wǎng)上的QNAP和Asusto 網(wǎng)絡(luò)附加存儲(chǔ) (NAS) 設(shè)備��,并為受害者和供應(yīng)商本身提供贖金支付選項(xiàng)����。發(fā)現(xiàn)其他勒索軟件組利用VoIP設(shè)備中的0-day遠(yuǎn)程代碼執(zhí)行漏洞。最后����,發(fā)現(xiàn)復(fù)雜的遠(yuǎn)程訪問(wèn)木馬ZuoRAT最初以路由器為目標(biāo)���,然后枚舉并橫向移動(dòng)到受害者網(wǎng)絡(luò)中的工作站�。
如何控制R4IoT?有多種方法可以減輕勒索軟件對(duì)物聯(lián)網(wǎng)的影響,以最大限度地降低這種威脅的風(fēng)險(xiǎn)���。例如�����,以下是基于NIST網(wǎng)絡(luò)安全框架的三個(gè)緩解步驟��,可應(yīng)用于勒索軟件攻擊:
●識(shí)別和保護(hù)– 勒索軟件家族往往非?;钴S��,同時(shí)發(fā)生大量攻擊����。例如,Conti在 2021年發(fā)起了400多次攻擊��。分析如此大量的攻擊可以揭示哪些漏洞正在被利用���,以便可以修復(fù)或緩解它們�。
●檢測(cè)——勒索軟件威脅行為者使用的大多數(shù)戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 都是眾所周知的���,并且可以在網(wǎng)絡(luò)上檢測(cè)到�����。例如����,Cobalt Strike和惡意PowerShell腳本等工具是這些攻擊的最愛(ài)��。
●響應(yīng)與恢復(fù)– 根據(jù)FireEye的說(shuō)法����,勒索軟件攻擊的平均停留時(shí)間為五天。盡管勒索軟件攻擊非常有效���,但它們并不是完全自動(dòng)化的�,這通常會(huì)在數(shù)據(jù)加密之前為事件響應(yīng)和恢復(fù)留出時(shí)間�����。
以下是緩解R4IoT的一些其他實(shí)用和基本步驟:
●創(chuàng)建設(shè)備清單– 發(fā)現(xiàn)您的連接設(shè)備,并根據(jù)公司網(wǎng)絡(luò)安全策略對(duì)其進(jìn)行分類和評(píng)估�����。
●網(wǎng)絡(luò)監(jiān)控和威脅搜尋——獲得資產(chǎn)和通信清單的可見(jiàn)性��,以監(jiān)控威脅和漏洞指標(biāo)�。
●網(wǎng)絡(luò)分段– 應(yīng)用上下文感知分段策略以最小化初始訪問(wèn)的爆炸半徑�����。
●自動(dòng)執(zhí)行策略– 跨解決方案集成以實(shí)現(xiàn)風(fēng)險(xiǎn)的自動(dòng)緩解����。
結(jié)論很明確:隨著物聯(lián)網(wǎng)設(shè)備經(jīng)常成為網(wǎng)絡(luò)犯罪分子的目標(biāo),組織的攻擊面正在增加���。因此�����,除了上述傳統(tǒng)的網(wǎng)絡(luò)衛(wèi)生實(shí)踐之外�����,緩解措施應(yīng)根據(jù)顯示當(dāng)前目標(biāo)設(shè)備類型的最新威脅情報(bào)優(yōu)先考慮這種增加的攻擊面�����。一個(gè)好的開(kāi)始方法是關(guān)注您的IP攝像頭和 NAS�,即R4IoT概念驗(yàn)證中使用的確切設(shè)備類型,現(xiàn)在正被威脅者利用�。
原文鏈接
https://securityboulevard.com/2022/09/when-ransomware-meets-iot-whats-next/
來(lái)源:網(wǎng)空閑話
在線咨詢
在線咨詢
0371-63319761