2021 年第二季度,91.5% 的恶意软件通过加密连接到达

守望者 的最新报告显示,2021 年第二季度通过加密连接到达的恶意软件达到惊人的 91.5%。这比上一季度大幅增加,这意味着任何不在外围检查加密 HTTPS 流量的组织都将丢失 9/ 10 个恶意软件。

恶意软件加密连接

研究人员还发现了惊人的激增 无文件恶意软件 威胁、勒索软件的急剧增长和网络攻击的大幅增加。

“由于世界上大部分地区仍然坚定地采用移动或混合劳动力模式,传统的网络边界并不总是考虑到网络安全防御方程,”说 科里·纳克雷纳, 首席安全官在 守望者.

“虽然强大的外围防御仍然是分层安全方法的重要组成部分, 端点保护 (EPP) 和终点检测和响应 (EDR) 变得越来越重要。”

恶意软件正在使用 PowerShell 工具绕过强大的保护

AMSI.Disable.A 首次出现在第一季度的顶级恶意软件部分,并在本季度立即飙升,在总量上排名第二,并在整体加密威胁方面排名第一。这个恶意软件家族使用 电源外壳 Windows 中利用各种漏洞的工具,但使其特别有趣的是其规避技术。

AMSI.Disable.A 使用能够在 PowerShell 中禁用反恶意软件扫描接口 (AMSI) 的代码,使其能够绕过脚本安全检查,而其恶意软件负载未被检测到。

无文件威胁激增,变得更加规避

仅在 2021 年的前六个月,来自 PowerShell 等脚本引擎的恶意软件检测量就已达到去年脚本发起攻击总量的 80%,这本身就比前一年大幅增加。按照目前的速度,2021 年无文件恶意软件检测量有望同比翻一番。

尽管主要转向远程劳动力,但网络攻击仍在蓬勃发展

守望者 设备检测到网络攻击大幅增加,比上一季度增长 22%,达到 2018 年初以来的最高水平。第一季度发生了近 410 万次网络攻击。

在接下来的一个季度,这个数字又增加了 100 万——描绘了一个积极的过程,突出了维护周边安全以及以用户为中心的保护的重要性。

勒索软件报复性地反击

虽然从 2018 年到 2020 年,端点上的勒索软件检测总量呈下降趋势,但这种趋势在 2021 年上半年被打破,因为六个月的总量略低于 2020 年的全年总量。

如果在 2021 年剩余时间里,每日勒索软件检测量保持不变,那么今年的数量将比 2020 年增长 150% 以上。

大型游戏勒索软件攻击日蚀“霰弹枪爆炸”式攻击

2021 年 5 月 7 日的殖民管道攻击清楚地表明,勒索软件作为一种威胁将继续存在。作为本季度最严重的安全事件,此次漏洞突显出网络犯罪分子不仅将最重要的服务(例如医院、工业控制和基础设施)置于他们的十字准线中,而且似乎正在加大对这些高价值目标的攻击力度好。

旧服务继续被证明是有价值的目标

与之前季度报告中常见的一到两个新签名不同,WatchGuard 在第二季度的前 10 名网络攻击中有四个全新的签名。

值得注意的是,最近的一个漏洞是流行的 Web 脚本语言 PHP 中的 2020 年漏洞,但其他三个根本不是新漏洞。其中包括 20ll 的 Oracle GlassFish Server 漏洞、2013 年病历应用程序 OpenEMR 中的 SQL 注入漏洞以及 2017 年 Microsoft Edge 中的远程代码执行 (RCE) 漏洞。虽然过时了,但如果不打补丁,所有这些仍然会带来风险。

基于 Microsoft Office 的威胁持续流行

在第二季度,10 种最广泛的网络攻击列表中新增了一个,并且首次亮相就位居榜首。签名1133630就是上面提到的影响微软浏览器的2017 RCE漏洞。

尽管它可能是一个古老的漏洞并在大多数系统中打了补丁(希望如此),但如果攻击者能够在他们之前获得补丁,那些尚未打补丁的漏洞将被粗鲁唤醒。事实上,一个非常相似的高严重性 RCE 安全漏洞,被追踪为 CVE-2021-40444,在本月早些时候成为头条新闻,当时它在针对 Windows 10 计算机上的 Microsoft Office 和 Office 365 的针对性攻击中被积极利用。

当涉及到恶意软件时,基于 Office 的威胁继续流行,这就是为什么我们仍然在野外发现这些久经考验的攻击。幸运的是,它们仍然被久经考验的 IPS 防御检测到。

网络钓鱼域名伪装成合法的、被广泛认可的域名

最近针对目标的恶意软件的使用有所增加 微软交换 服务器和通用电子邮件用户在高度敏感的位置下载远程访问木马 (RAT)。这很可能是因为第二季度是远程工作者和学习者连续第二个季度回到混合办公室和学术环境或以前正常的现场活动行为。

在任何情况下 - 或位置 - 强 安全意识 并建议监视不一定直接连接到连接设备的设备上的传出通信。




分享这个