RSA大会：2023年最危险的五种新型网络攻击技术

SANS研究所的网络专家揭示了包括网络罪犯和民族国家行为者在内的攻击者正在使用的五种最危险的新攻击技术。它们是在旧金山RSA会议的一个会议上展示的，SANS分析师小组在会上探讨了新兴的策略、技术和程序(TTP)，并建议组织如何为它们做好准备。SANS研究所是一家领先的网络安全培训、认证、学位和资源公司，旨在为网络安全专业人员提供实用技能和知识。

该会议名为“五种最危险的新型攻击技术”，四位著名的SANS小组成员提供了可操作的见解，以帮助安全领导者了解并领先于不断变化的威胁。演讲者涵盖的五个新兴网络攻击媒介是对抗性人工智能、ChatGPT支持的社会工程、针对第三方开发人员、SEO和付费广告攻击。

1、对抗性人工智能攻击

随着像ChatGPT这样的大型语言模型(LLM)的爆炸式增长，防御者应该期望攻击者——即使是非常非技术的攻击者——利用这些AI工具加速他们的漏洞利用和零日发现。SANS的攻击性操作课程负责人Steven Sims强调的攻击技术，他也是一名长期的漏洞研究人员和漏洞开发人员。

Sims演示了他可以轻松地让ChatGPT发现零日漏洞。他演示了他使用的一些提示，将它指向一段容易受到最近曝光的SigRed DNS缺陷的代码，并让它探索该代码以找到该缺陷，就好像它是一个零日缺陷一样。

此外，他还演示了他用来获取ChatGPT的提示，以帮助他为一个简单的勒索软件编写代码。尽管ChatGPT确实在系统中内置了一些保护措施来拒绝开发勒索软件代码，但他还是能够通过将这些部分分解成离散的部分来说服它。

“从防守的角度来看，基本上你无能为力。抱歉，”Sims告诉观众。“防御深度很重要。专家缓解措施很重要。了解它是如何工作的很重要。编写自己的人工智能和机器学习以更多地了解它很重要。这些事情真的是你所能做的，因为它就在那里，而且很神奇。”

2、ChatGPT支持的社会工程攻击

根据SANS研究员Heather Mahalik的说法，对于ChatGPT驱动的社会工程，威胁行为者正在利用生成人工智能来利用人类风险——针对个别员工的弱点来破坏他们广泛的组织网络，包括他们的家人。Mahalik说，这种发展意味着用户现在比以往任何时候都更容易受到攻击，只要错误点击恶意文件，不仅整个公司都会面临直接风险，而且受害者的生计也会受到威胁。这种扩大的攻击面要求组织在其企业的每个结构中培养网络警惕文化，以确保员工认识到与ChatGPT相关的攻击。

Heather Mahalik还是Cellebrite数字情报总监和数字取证和事件响应负责人，她警告说，除了AI的技术攻击用途外，预计今年攻击者将大幅增加对AI的使用，使他们的社会工程和模仿尝试变得高度可信。她通过与儿子一起进行的一项社会工程实验来说明她的观点，促使ChatGPT编写令人信服的文本——使用表情符号——这会让他们听起来像一个9岁的女孩试图让她的儿子告诉她他的地址。“它可以用来针对你组织中的人，”她说。“我选择以我儿子为目标，因为我试图让一切都变得非常有风度，并表明我们都是可以攻击的。”

3、针对第三方开发者的攻击

开发人员是一个极具吸引力的目标，因为他们通常在IT和业务系统中拥有更高的权限，他们使用的系统可以被破坏以毒害软件供应链，并且他们倾向于在比普通用户更安全的机器上工作使他们能够每天试验代码和发布软件。事实上，任何组织中第一个暴露于这些恶意组件的人是开发人员。

SANS的Johannes Ullrich博士强调说，第三个值得探索的最危险的攻击技术是第三方开发人员攻击(也称为软件供应链攻击)，主要是针对第三方软件开发人员的针对性攻击的兴起，目的是通过供应链渗透企业网络技术学院。这在2022 LastPass漏洞中发挥了重要作用，威胁参与者利用第三方软件漏洞绕过现有控制并访问特权环境。Ullrich说，对于跨部门的组织来说，这次攻击强调了与软件开发人员有效合作以调整安全架构、共享威胁情报和导航不断发展的攻击技术的重要性。

4、搜索引擎优化(SEO)攻击

正如普通企业利用搜索引擎优化(SEO)来提高某些术语的排名以营销他们的产品并将流量吸引到创收网站一样，坏人也会求助于SEO。在搜索引擎优化 (SEO) 中毒攻击中，对手首先破坏合法网站，然后将特定关键字注入用户可能通常通过其首选搜索引擎搜索的网站。注入关键字的目的是确保当用户使用关键字搜索某些内容时，受感染的网站会出现在搜索引擎结果附近或顶部。

Red Canary数字情报高级主管兼SANS讲师Katie Nickels解释说，在他们的案例中，他们使用它来提高其充满恶意软件的网站的排名，以便让更多的受害者按照他们的方式行事。她说，随着安全防御者通过阻止网络钓鱼尝试等更好地阻止对恶意网站的出站点击，攻击者正在通过水坑攻击引诱他们进行调整。

“所以，想象一下你们中的一些人从事市场营销，并且您正在使用搜索引擎优化来使您公司的结果名列前茅，”Nickels解释道。“好吧，对手做同样的事情，但为了邪恶，对吧?他们使用关键字和其他SEO技术来确保他们的结果，他们的恶意网站位于这些搜索引擎结果的顶部。”

Nickels举了一个GootLoader攻击的例子，该攻击通过使用SEO传播来提高“法律协议”搜索的排名，以针对搜索轻松下载法律文档模板的毫无戒心的用户。

5、恶意利用广告的攻击

类似于营销人员如何利用通过SEO的自然搜索技术和利用广告的付费搜索技术，网络犯罪分子也在做同样的事情。Nickels表示，偷渡式攻击也同样受到恶意广告( malvertising )活动的推动，这些活动人为地提高某些关键字的网站排名。

“有趣的是，我实际上并没有计划这个，但恶意广告昨天才作为一种新技术添加到MITRE ATT&CK 中，”她说。

她在这个案例中举出的例子是一款名为Blender的免费3D图形软件的相似活动。“搜索那个，你会得到几个广告和几个结果，”她说。“第一个广告，很糟糕。第二个，如果我点击那个，那也会进入一个恶意网站。第三个应该是合法的，对吧?不，在这种情况下，第三个广告也是恶意的。直到该关键字的第四个结果是您获得了合法的软件网站。”

除了这些高排名的挑战，她解释说，相似的网站与实际的Blender网站几乎相同，因为坏人非常擅长模仿这样的某些网站。

她指出，虽然搜索引擎优化攻击和恶意广告都不是全新的技术，但她将它们放在列表首位的原因是今年这些攻击越来越普遍。

参考资源

1、https://www.darkreading.com/attacks-breaches/sans-lists-top-5-most-dangerous-cyberattacks-in-2023

2、https://www.csoonline.com/article/3694892/5-most-dangerous-new-attack-techniques.html

转载来源：网空闲话