微软发布Bi

  • 时间:
  • 浏览:49
  • 来源:it300
微软发布Bi

微软第23次双年度安全情报报告(SIR)主要关注三个主题:Gamarue(又名仙女座)僵尸网络的破坏,黑客方法的演变以及勒索软件。它借鉴了自2017年2月以来微软全球房地产的数据分析,其中包括每月扫描4000亿封电子邮件,4500亿次身份验证和超过18亿次Bing网页扫描;以及从12亿Windows设备收集的遥测数据,这些设备选择与微软共享威胁数据。

值得注意的是,微软将机器学习(ML)人工智能应用于此数据以调整自己的安全软件。由于基于ML的端点保护的效率依赖于所采用的算法和来自的数据池的大小据了解,Windows Defender有可能成为一种越来越有效的保护工具。

Gamarue

Gamarue是世界上最大的僵尸网络之一。从2011年开始,它已经发展到五个活跃版本,并参与分发Petya和Cerber勒索软件,Kasidet(又名Neutrino机器人),Lethic垃圾邮件机器人以及窃取恶意软件的数据,如Ursnif,Carberp和Fareit。

[123 ]与ESET合作,自2015年12月以来,微软一直在研究Gamarue基础设施和44,000个相关恶意软件样本。收集了1,214个CC域和IP,464个不同僵尸网络和80多个恶意软件系列的详细信息,并将其交给执法机构。世界。 2017年11月29日,Gamarue的C C se断路器被断开并被一个下沉孔取代。

自中断以来,下沉孔已经收集了2300万个受感染设备的IP地址。微软已经看到Gamarue感染设备的数量逐月减少,从2017年12月的约1700万减少到2018年1月的1400万,2月减少不到1200万。微软网络安全企业集团高级主管约翰尼康斯坦塔斯告诉安全周刊,“该团队联系了互联网服务供应商,执法机构和公司,并向他们介绍了受感染的IP。这些组织可以识别受感染的个人设备并组织缓解措施。 - 这可以减少仍然连接到水槽的受感染设备的数量。“微软不使用botnet直接警告受感染的用户;但ESET评论说,“至少不会对受到侵害的PC造成新的伤害。”

黑客路线

过去几年 - 尤其是因为引入了机器学习技术 - 安全保护得到改善,直接黑客攻击变得更加困难和耗时。虽然仍然受到资源充足的行为者(如民族国家附属团体)的雇佣,但黑客一般将注意力转移到“低悬的果实”上。 SIR描述了其中三条路线:社交工程,安全性较差的云应用以及滥用合法软件平台功能。

社交工程攻击在很大程度上与网络钓鱼攻击同义。 SIR指出“大量基于网络钓鱼的e2017年年底,网络钓鱼是基于Office 365的电子邮件威胁的第一大威胁载体(50%)。“有多种工具可用于帮助检测网络钓鱼,但是一些学者怀疑甚至机器学习技术都无法解决问题。

微软强调用户意识培训的价值。虽然用户通常被称为“最薄弱环节”,但他们也是第一道防线。每个训练有素的用户实际上都是一个人的防火墙。

第二个低悬的成果是云应用程序安全性很差。“我们研究了其中的30个,”Konstantas说,“看着安全他们采用的措施。首先,您需要标头安全性,以防止像cookie中毒或接管会话的跨站点脚本。然后,您还希望加密终端设备和云之间的数据,最后加密静态数据。“

微软发现大约79%的存储应用程序和86%的协作应用程序没有他们可能有三个中的一个或两个,“她继续道,”但不是全部三个。这是一个大问题,因为你正在谈论对手可以访问的潜在有价值的公司数据,以及恶意软件感染可能会回到设备。“

影子IT加剧了这个问题 - 公司甚至不知道工作人员正在使用这些不安全的应用程序。“这里的缓解,”她说,“专注于可以应用所有三秒的云访问安全代理(CASB)urity测量流量进入云端,可以监控云中发生的事情,并可以识别员工正在使用的未经批准的云应用程序。“

第三个悬而未决的成果就是滥用SIR只给出了一个例子:2017年10月和11月对DDE的利用。在一个引用的例子中,附加的Word文档能够通过DDE下载并运行恶意有效载荷,例如Locky勒索软件。

]

然而,令人惊讶的是,没有提到PowerShell的滥用。从武器化的办公室附件中激活的PowerShell越来越多地被黑客用来提供“无文件”攻击。迈克菲2017年第四季度威胁报告 - 本周也发布 - 报道,“2017年,迈克菲实验室看到PowerShell恶意软件在增长随着威胁类别逐渐成为网络犯罪分子的首选工具箱,第四季度为267%,同比增长432%。脚本语言是不可抗拒的,因为攻击者试图在Microsoft Office文件中使用它来执行第一阶段的攻击。“2017年12月的金龙行动是黑客使用PowerShell的一个例子。

勒索软件

毫无疑问,勒索软件是SIR 23中讨论的第三个主要话题。去年将永远铭记为三个特定全球勒索软件爆发的一年:WannaCry,NotPetya和Bad Rabbit。其中前两个使用被称为EternalBlue的漏洞迅速变得全球化;一个NSA'武器'被暗影经纪人偷走并公开发布。

其中一个令人不安的方面e爆发是微软已经修补了EternalBlue使用的漏洞从机器传播到机器。 Konstantas向SecurityWeek证实,第一个微软知道WannaCry中使用的EternalBlue漏洞是Shadow Brokers发布的;也就是说,美国国家安全局没有告知微软该漏洞利用已被Shadow Brokers在进入公共领域之前窃取。这表明了Microsoft处理严重漏洞的速度,以及大量用户利用可用补丁的缓慢程度。 Konstantas确认Azure客户受到自动保护。

根据SIR,2017年最常遇到的三种勒索软件是Android LockScreen,WannaCry和Cerber。锁屏幕很有趣,因为当用户同步手机或下载Android应用程序(通常是从Google Play商店外部通过Windows进行侧载)时,Android恶意软件会跨越Windows设备。

该报告有五个主要建议应对勒索软件的威胁:备份数据;采用多层安全防御措施;升级到最新软件并执行明智的修补;隔离或淘汰无法修补的计算机;并管理和控制特权凭证。来自Thycotic的一项新调查显示了许多组织在管理特权帐户方面的差距。

没有提到第六个可能的建议 - 如果感染了勒索软件,请立即访问NoMoreRansom项目网站。这个项目汇总了kn拥有自己的勒索软件解密器,受害者可能无法通过支付赎金的风险选项来恢复加密文件。目前,微软似乎并不是该项目的合作伙伴。

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01