另一天。另一个黑客。有一天,它是黑色的帽子,在家庭仓库上制作头条线条。接下来,这是450万美国医院记录或12亿网络凭证的盗窃。关联的世界处于围攻,当前网络安全方法正在恶化 - 正如头条新闻所证明的那样。

为什么网络罪犯获胜?

今天的网络安全范式是反应周期:当威胁暴露时,分析了威胁,并设计了反应措施,从数周到年份变化。麻烦的是,攻击者可以轻松地重用以前的恶意软件,修改它们,并创建一个全新的威胁,绕过新更新的安全措施。

攻击者可以简单地从以前的恶意软件复制代码,例如漏洞,解密器或模块(键盘,后门等),并将它们包含在他们正在开发的新恶意软件中。或者,攻击者可以模仿由操作成功所需的其他恶意软件执行的操作方法(例如,持久性方法)。

通过重用代码和方法,黑客获得鞋面。新恶意软件更便宜,更易于开发,而查找和禁用所需的工具只会变得更加昂贵。一直致力于捍卫者需要覆盖一系列不断增长的潜在目标,每个目标都有自己的一组弱点。对于网络攻击者所花费的每一美元,IT安全行业花费了数百美元。这种经济不平衡是网络犯罪,网络恐怖主义和网络战争的跳板。因此,代码和方法重用已成为当今恶意软件开发的DNA结构的内在部分。

过去一年中,在过去一年中使用的许多恶意软件,既是间谍活动的高级持续威胁(APTS)和网络犯罪,也可以作为重用代码和方法的素质示例 - BlackPos,Mask,Snake和Zberp到名称一些。

臭名昭着,但不是原始网络攻击

BlackPos是2013年12月从目标和内蒙古斯百货商店窃取目标和内蒙古斯百货商店的恶意软件。攻击者重复使用BlackPos恶意软件的早期变体的整个代码,稍微修改以处理目标中使用的特定POS软件。BlackPOS模型的另一个变体于2014年4月返回,窃取了来自家庭仓库零售链的甚至更大的信用卡。

面具于2014年2月透露,是一个攻击31个国家的大(且可能的国家赞助)恶意软件操作,涵盖了超过380名独一无二的受害者。恶意软件使用复杂的植入物,该植入物在目标上执行大量监视功能。Mask在Java运行时环境和Adobe Flash Player中重用已知的漏洞。

2014年3月,蛇(Aka Turla,Uroburos)披露的展示透露,在欧洲联盟,欧洲联盟,基于几种相似之处,欧洲联盟的国家的政府和军​​事组织瞄准了政府和军事组织,假人被认为是工作Agent.BTZ的创造者,渗透到美国国防部2008年。

最近重复使用现象的例子是Zberp,这在2014年上半年袭击了世界各地的450个金融机构。Zberp使攻击者能够窃取SSL证书和FTP帐户凭据等信息,并允许攻击者远程访问受感染的目标。它从宙斯,臭名昭着的银行恶意软件和Carberp中重用了代码和方法,这是2010年发现的另一个主要的银行恶意软件。重复使用的方法包括隐写术,它隐藏图片中的恶意代码,API挂钩,其代码从Carberp复制,只有略微修改。

底线是,只要我们向网络犯罪分子提供重用和回收代码的机会,黑客就会成为财务意义。直到黑客被迫从头开始造成攻击链,他们将继续赢得胜利。在其中呈现挑战。

Shlomi Boutnaru是CTO的CTO,并拥有十年的网络安全体验。以前的Coe(卓越中心)Cyber​​&Security Matrix的经理,他管理了矩阵的整个网络安全操作,包括安全产品的开发和集成,对恶意代码分析和渗透测试。在此之前,他在Elite以色列军事单位(情报和IAF)中服务。他是以色列和国外领先机构信息安全的讲师。