RSA大會：2023年最危險的五種新型網絡攻擊技術

SANS研究所的網絡專家揭示了包括網絡罪犯和民族國家行為者在內的攻擊者正在使用的五種最危險的新攻擊技術。它們是在舊金山RSA會議的一個會議上展示的，SANS分析師小組在會上探討了新興的策略、技術和程序(TTP)，并建議組織如何為它們做好準備。SANS研究所是一家領先的網絡安全培訓、認證、學位和資源公司，旨在為網絡安全專業人員提供實用技能和知識。

該會議名為“五種最危險的新型攻擊技術”，四位著名的SANS小組成員提供了可操作的見解，以幫助安全領導者了解并領先于不斷變化的威脅。演講者涵蓋的五個新興網絡攻擊媒介是對抗性人工智能、ChatGPT支持的社會工程、針對第三方開發人員、SEO和付費廣告攻擊。

1、對抗性人工智能攻擊

隨著像ChatGPT這樣的大型語言模型(LLM)的爆炸式增長，防御者應該期望攻擊者——即使是非常非技術的攻擊者——利用這些AI工具加速他們的漏洞利用和零日發現。SANS的攻擊性操作課程負責人Steven Sims強調的攻擊技術，他也是一名長期的漏洞研究人員和漏洞開發人員。

Sims演示了他可以輕松地讓ChatGPT發現零日漏洞。他演示了他使用的一些提示，將它指向一段容易受到最近曝光的SigRed DNS缺陷的代碼，并讓它探索該代碼以找到該缺陷，就好像它是一個零日缺陷一樣。

此外，他還演示了他用來獲取ChatGPT的提示，以幫助他為一個簡單的勒索軟件編寫代碼。盡管ChatGPT確實在系統中內置了一些保護措施來拒絕開發勒索軟件代碼，但他還是能夠通過將這些部分分解成離散的部分來說服它。

“從防守的角度來看，基本上你無能為力。抱歉，”Sims告訴觀眾。“防御深度很重要。專家緩解措施很重要。了解它是如何工作的很重要。編寫自己的人工智能和機器學習以更多地了解它很重要。這些事情真的是你所能做的，因為它就在那里，而且很神奇。”

2、ChatGPT支持的社會工程攻擊

根據SANS研究員Heather Mahalik的說法，對于ChatGPT驅動的社會工程，威脅行為者正在利用生成人工智能來利用人類風險——針對個別員工的弱點來破壞他們廣泛的組織網絡，包括他們的家人。Mahalik說，這種發展意味著用戶現在比以往任何時候都更容易受到攻擊，只要錯誤點擊惡意文件，不僅整個公司都會面臨直接風險，而且受害者的生計也會受到威脅。這種擴大的攻擊面要求組織在其企業的每個結構中培養網絡警惕文化，以確保員工認識到與ChatGPT相關的攻擊。

Heather Mahalik還是Cellebrite數字情報總監和數字取證和事件響應負責人，她警告說，除了AI的技術攻擊用途外，預計今年攻擊者將大幅增加對AI的使用，使他們的社會工程和模仿嘗試變得高度可信。她通過與兒子一起進行的一項社會工程實驗來說明她的觀點，促使ChatGPT編寫令人信服的文本——使用表情符號——這會讓他們聽起來像一個9歲的女孩試圖讓她的兒子告訴她他的地址。“它可以用來針對你組織中的人，”她說。“我選擇以我兒子為目標，因為我試圖讓一切都變得非常有風度，并表明我們都是可以攻擊的。”

3、針對第三方開發者的攻擊

開發人員是一個極具吸引力的目標，因為他們通常在IT和業務系統中擁有更高的權限，他們使用的系統可以被破壞以毒害軟件供應鏈，并且他們傾向于在比普通用戶更安全的機器上工作使他們能夠每天試驗代碼和發布軟件。事實上，任何組織中第一個暴露于這些惡意組件的人是開發人員。

SANS的Johannes Ullrich博士強調說，第三個值得探索的最危險的攻擊技術是第三方開發人員攻擊(也稱為軟件供應鏈攻擊)，主要是針對第三方軟件開發人員的針對性攻擊的興起，目的是通過供應鏈滲透企業網絡技術學院。這在2022 LastPass漏洞中發揮了重要作用，威脅參與者利用第三方軟件漏洞繞過現有控制并訪問特權環境。Ullrich說，對于跨部門的組織來說，這次攻擊強調了與軟件開發人員有效合作以調整安全架構、共享威脅情報和導航不斷發展的攻擊技術的重要性。

4、搜索引擎優化(SEO)攻擊

正如普通企業利用搜索引擎優化(SEO)來提高某些術語的排名以營銷他們的產品并將流量吸引到創收網站一樣，壞人也會求助于SEO。在搜索引擎優化 (SEO) 中毒攻擊中，對手首先破壞合法網站，然后將特定關鍵字注入用戶可能通常通過其首選搜索引擎搜索的網站。注入關鍵字的目的是確保當用戶使用關鍵字搜索某些內容時，受感染的網站會出現在搜索引擎結果附近或頂部。

Red Canary數字情報高級主管兼SANS講師Katie Nickels解釋說，在他們的案例中，他們使用它來提高其充滿惡意軟件的網站的排名，以便讓更多的受害者按照他們的方式行事。她說，隨著安全防御者通過阻止網絡釣魚嘗試等更好地阻止對惡意網站的出站點擊，攻擊者正在通過水坑攻擊引誘他們進行調整。

“所以，想象一下你們中的一些人從事市場營銷，并且您正在使用搜索引擎優化來使您公司的結果名列前茅，”Nickels解釋道。“好吧，對手做同樣的事情，但為了邪惡，對吧?他們使用關鍵字和其他SEO技術來確保他們的結果，他們的惡意網站位于這些搜索引擎結果的頂部。”

Nickels舉了一個GootLoader攻擊的例子，該攻擊通過使用SEO傳播來提高“法律協議”搜索的排名，以針對搜索輕松下載法律文檔模板的毫無戒心的用戶。

5、惡意利用廣告的攻擊

類似于營銷人員如何利用通過SEO的自然搜索技術和利用廣告的付費搜索技術，網絡犯罪分子也在做同樣的事情。Nickels表示，偷渡式攻擊也同樣受到惡意廣告( malvertising )活動的推動，這些活動人為地提高某些關鍵字的網站排名。

“有趣的是，我實際上并沒有計劃這個，但惡意廣告昨天才作為一種新技術添加到MITRE ATT&CK 中，”她說。

她在這個案例中舉出的例子是一款名為Blender的免費3D圖形軟件的相似活動。“搜索那個，你會得到幾個廣告和幾個結果，”她說。“第一個廣告，很糟糕。第二個，如果我點擊那個，那也會進入一個惡意網站。第三個應該是合法的，對吧?不，在這種情況下，第三個廣告也是惡意的。直到該關鍵字的第四個結果是您獲得了合法的軟件網站。”

除了這些高排名的挑戰，她解釋說，相似的網站與實際的Blender網站幾乎相同，因為壞人非常擅長模仿這樣的某些網站。

她指出，雖然搜索引擎優化攻擊和惡意廣告都不是全新的技術，但她將它們放在列表首位的原因是今年這些攻擊越來越普遍。

參考資源

1、https://www.darkreading.com/attacks-breaches/sans-lists-top-5-most-dangerous-cyberattacks-in-2023

2、https://www.csoonline.com/article/3694892/5-most-dangerous-new-attack-techniques.html

轉載來源：網空閑話