我们会在本文讨论了一个Web3欺诈场景，诈骗者通过伪造的智能合约锁定潜在受害者，然后悄悄盗取受害者的数字资产，如NFT代币。我们把这个诈骗命名为“（Payzero）零支付”。

Web3是一个让诈骗者可以快速获利的平台，他们通过不同的在线资产货币化方法寻求快速获利。Web3与Web2的不同之处在于，它的用户既是数字资产的诈骗者，而且还是数字资产的所有者。Web3用户不再使用传统的用户和密码认证方式。相反，用户拥有一对加密密钥并对消息进行签名。然后，使用签名来验证和验证用户操作。

与Web2相比，这增加了新的复杂性，因为新的攻击模式和认证机制可能难以理解。在Web2中，用户可以使用用户名和密码向大型在线服务提供商进行身份验证。然后，这些公司可以覆盖针对第三方应用程序的身份验证过程，让用户负责记住他们为这些服务提供商使用的用户名和密码。

在Web3中，最重要的凭证（钱包地址的私钥）由用户拥有。用户必须自己处理这些身份验证场景，这可能是一个复杂的过程，尤其是对新上手的攻击者来说。下图从身份验证的角度比较了Web2和Web3。

Web 2和Web3身份验证模型的比较

用户很难，甚至几乎不可能记住他们的加密密钥，因此助记词(助记词更容易记住或准确地记录下来)被用于备份和重新创建加密密钥。

虚假WalletConnect网络钓鱼页面

助记词（seed phrase），这组词汇读起来感觉毫无连贯性而言，却可以转变成一把钥匙，打开数字银行账户，或者进行在线认证。助记词通常是人类可读的单词序列，可以被记住或写下来。由于加密密钥很难记住，因此使用这些助记词来恢复密钥。在加密货币的世界里甚至有一种说法——“不是你的钥匙，就不是你的钱”，指的是托管钱包的风险(当私钥由第三方管理时)。助记词与密钥本身一样重要，因为它们足以创建密钥的副本。

然而，与任何新技术一样，它的复杂性可能会导致几个隐藏的漏洞。例如，通过提供虚假WalletConnect接口来获取助记词的网络钓鱼已经变得非常普遍。有几个诈骗是围绕着助记词演变而来的，比如通过助记词网络钓鱼或收集窃取的钱包，还有就是包括使用多重签名钱包，诈骗者在论坛上发布助记词，向用户寻求帮助。这些助记词将成为网上用户的漏洞，他们天真地认为，只要使用这些短语，他们就可以轻易地接管诈骗对象的钱包。虽然他们可能会为了测试目的而尝试将盗取的资金电汇到这个钱包中，但只有多个(即多重签名)密钥的原始所有者能够控制资金并将资金汇出去，因此这些“测试资金”将被困在钱包中。

Web3中存在很多被滥用的可能性，随着诈骗者迅速适应Web3技术，防御者必须跟上不断发展的滥用场景。

接下来，我们想讨论一个Web3欺诈场景，诈骗者通过虚假的智能合约锁定潜在受害者，然后在不付钱的情况下接管他们的数字资产，如NFT代币。

本质上，Payzero是一种欺诈方案，攻击者通常不向受害者支付其数字资产的任何费用，只是诱骗他们允许转移代币所有权。

一个典型的Payzero诈骗场景如下所示：

买家：打算接管代币的诈骗者；

卖家：潜在的受害者。

新的代币所有者：它可以是买家，也可以是诈骗者指定的第三方。

代币：NFT代币，它可以是任何ERC721、ERC1155和ERC20代币。一次欺诈事件可能导致多个代币丢失。

Payzero诈骗示例

在正常交易中，卖家将代币放置在各种代币市场（如Opensea）进行销售。当买家与卖家接触时，交易通过平台的智能合约进行，将资金和代币的所有权转移给新的所有者。

链上（On-chain）与链下（off-chain）市场

在链下市场中，NFT代币的所有者持有代币的所有权，直到与所有者进行交易。与此同时，在链上市场中，代币所有者将代币的所有权转移到市场的智能合约中，然后进行交易。

链上NFT交易示意图

链下NFT交易示意图

诈骗交易场景

想象有这样一个场景，受害者在Opensea等标记处列出他的代币。在欺诈交易场景中，买家（诈骗者）通常使用社交媒体或社交平台（如Twitter或Discord）接近受害者，并要求卖家将代币出售给买家。

在早期版本的诈骗（称为“SetApprovalForAll诈骗”）中，诈骗者会建议通过第三方网站进行交易。当受害者同意交易时，诈骗者可以获得NFT代币的所有权，因为受害者调用智能合约API并给予诈骗者操作许可。

由于这种情况已经发生了一段时间，许多用户已经意识到了这种诈骗，当他们被提供通过第三方进行交易时，他们变得非常谨慎。一些钱包还实施了解决签名欺诈问题的措施，如下图所示。

将签名诈骗的攻击性降到最低的措施

在Payzero诈骗中，数字资产(NFT代币)的所有者只是“同意”以零成本将数字资产出售给新所有者。通过同意此交易，用户将免费签署转让代币所有权。

所有者向买家免费出售数字资产

通过在区块链上使用启发式规则，我们记录了2022年8月至12月潜在的代币盗窃事件的数量。下图显示了执行Payzero诈骗次数最多的地址。

执行Payzero诈骗次数最多的钱包

下图显示了这五个地址触发的诈骗事件。从2022年8月到12月，发生了3000多起Payzero诈骗事件，涉及5000多个NFT（NFT的总价格约为3000 ETH或约360万美元）。

2022年8月至12月PayZero诈骗事件数量

同时，下图显示了前十大被盗金额事件。

前十大被盗金额事件

诈骗者一直在关注Web3的趋势，并迅速适应技术的变化。许多地下论坛出售的服务可以根据客户的需求定制新技术，甚至可以自动处理滥用过程的几乎所有部分。由于涉及大量资金，盗窃密码密钥和助记词的工具在地下广泛交易。此外，正在开发特定的恶意软件变体以获取加密资产。

地下服务正在迅速发展，提供从钓鱼套件和被盗数据分析工具（旨在搜索加密货币资产）到可用数字资产的自动验证等各种服务。

助记词钓鱼网站开发服务

OpenSea钓鱼网站售价600美元

助记词本身是地下论坛中的可交易产品，许多服务都是围绕助记词的收集或分析构建的。例如，我们发现能够从不同文本源提取助记词的代码售价为800美元。

从地下论坛出售的文本中提取助记词的代码

还有一些服务为用户提供了通过传统滥用被盗凭证来搜索助记词的能力。然后从各种应用程序（例如，从iCloud Notes）获取这些信息。

从iCloud Notes中提取助记词和私钥

甚至还有一个名为Deepchecker的全面服务，专门为Web3证书的自动验证而定制。该服务允许用户使用提供的助记词检查和监控钱包余额，它验证了与加密货币资产相关的1000多个不同来源。

用于验证加密货币资产的余额和价值的Deepchecker服务

总结

Web3技术的用户在与Web3交互时，必须对其资产的安全性承担个人责任。在Web3上签署交易非常容易，但缺点是，未经仔细验证的一次性签署可能会导致灾难性后果和重大财务损失。

诈骗者通常通过第三方网站提供链下交易来锁定潜在受害者，在第三方网站上，他们可以诱骗用户签署合同，允许这些诈骗者接管受害者的数字资产。自从MetaMask钱包在技术上解决了SetApprovalForAll权限问题以来，诈骗者一直在使用新的方法来欺骗用户放弃其资产的所有权，例如本文中讨论的PayZero方案。

幸运的是，目前已经有了应对措施，例如，多签名钱包（需要两个或更多签名才能签署交易）可以潜在地消除泄露助记词的影响。然而，对于用户来说，理解Web3的关键风险仍然很重要，在非托管钱包所有权中，资产所有者在其整个生命周期内对其资产的安全负全部责任，而在托管资产中，用户不仅拥有其资产，还面临更传统的风险，如黑客攻击、欺诈甚至监管机构本身的崩溃等等。

我们会在本文讨论了一个Web3欺诈场景，诈骗者通过伪造的智能合约锁定潜在受害者，然后悄悄盗取受害者的数字资产，如NFT代币。我们把这个诈骗命名为“（Payzero）零支付”。

Web3是一个让诈骗者可以快速获利的平台，他们通过不同的在线资产货币化方法寻求快速获利。Web3与Web2的不同之处在于，它的用户既是数字资产的诈骗者，而且还是数字资产的所有者。Web3用户不再使用传统的用户和密码认证方式。相反，用户拥有一对加密密钥并对消息进行签名。然后，使用签名来验证和验证用户操作。

与Web2相比，这增加了新的复杂性，因为新的攻击模式和认证机制可能难以理解。在Web2中，用户可以使用用户名和密码向大型在线服务提供商进行身份验证。然后，这些公司可以覆盖针对第三方应用程序的身份验证过程，让用户负责记住他们为这些服务提供商使用的用户名和密码。

在Web3中，最重要的凭证（钱包地址的私钥）由用户拥有。用户必须自己处理这些身份验证场景，这可能是一个复杂的过程，尤其是对新上手的攻击者来说。下图从身份验证的角度比较了Web2和Web3。

Web 2和Web3身份验证模型的比较

用户很难，甚至几乎不可能记住他们的加密密钥，因此助记词(助记词更容易记住或准确地记录下来)被用于备份和重新创建加密密钥。

虚假WalletConnect网络钓鱼页面

助记词（seed phrase），这组词汇读起来感觉毫无连贯性而言，却可以转变成一把钥匙，打开数字银行账户，或者进行在线认证。助记词通常是人类可读的单词序列，可以被记住或写下来。由于加密密钥很难记住，因此使用这些助记词来恢复密钥。在加密货币的世界里甚至有一种说法——“不是你的钥匙，就不是你的钱”，指的是托管钱包的风险(当私钥由第三方管理时)。助记词与密钥本身一样重要，因为它们足以创建密钥的副本。

然而，与任何新技术一样，它的复杂性可能会导致几个隐藏的漏洞。例如，通过提供虚假WalletConnect接口来获取助记词的网络钓鱼已经变得非常普遍。有几个诈骗是围绕着助记词演变而来的，比如通过助记词网络钓鱼或收集窃取的钱包，还有就是包括使用多重签名钱包，诈骗者在论坛上发布助记词，向用户寻求帮助。这些助记词将成为网上用户的漏洞，他们天真地认为，只要使用这些短语，他们就可以轻易地接管诈骗对象的钱包。虽然他们可能会为了测试目的而尝试将盗取的资金电汇到这个钱包中，但只有多个(即多重签名)密钥的原始所有者能够控制资金并将资金汇出去，因此这些“测试资金”将被困在钱包中。

Web3中存在很多被滥用的可能性，随着诈骗者迅速适应Web3技术，防御者必须跟上不断发展的滥用场景。

接下来，我们想讨论一个Web3欺诈场景，诈骗者通过虚假的智能合约锁定潜在受害者，然后在不付钱的情况下接管他们的数字资产，如NFT代币。

本质上，Payzero是一种欺诈方案，攻击者通常不向受害者支付其数字资产的任何费用，只是诱骗他们允许转移代币所有权。

一个典型的Payzero诈骗场景如下所示：

买家：打算接管代币的诈骗者；

卖家：潜在的受害者。

新的代币所有者：它可以是买家，也可以是诈骗者指定的第三方。

代币：NFT代币，它可以是任何ERC721、ERC1155和ERC20代币。一次欺诈事件可能导致多个代币丢失。

Payzero诈骗示例

在正常交易中，卖家将代币放置在各种代币市场（如Opensea）进行销售。当买家与卖家接触时，交易通过平台的智能合约进行，将资金和代币的所有权转移给新的所有者。

链上（On-chain）与链下（off-chain）市场

在链下市场中，NFT代币的所有者持有代币的所有权，直到与所有者进行交易。与此同时，在链上市场中，代币所有者将代币的所有权转移到市场的智能合约中，然后进行交易。

链上NFT交易示意图

链下NFT交易示意图

诈骗交易场景

想象有这样一个场景，受害者在Opensea等标记处列出他的代币。在欺诈交易场景中，买家（诈骗者）通常使用社交媒体或社交平台（如Twitter或Discord）接近受害者，并要求卖家将代币出售给买家。

在早期版本的诈骗（称为“SetApprovalForAll诈骗”）中，诈骗者会建议通过第三方网站进行交易。当受害者同意交易时，诈骗者可以获得NFT代币的所有权，因为受害者调用智能合约API并给予诈骗者操作许可。

由于这种情况已经发生了一段时间，许多用户已经意识到了这种诈骗，当他们被提供通过第三方进行交易时，他们变得非常谨慎。一些钱包还实施了解决签名欺诈问题的措施，如下图所示。

将签名诈骗的攻击性降到最低的措施

在Payzero诈骗中，数字资产(NFT代币)的所有者只是“同意”以零成本将数字资产出售给新所有者。通过同意此交易，用户将免费签署转让代币所有权。

所有者向买家免费出售数字资产

通过在区块链上使用启发式规则，我们记录了2022年8月至12月潜在的代币盗窃事件的数量。下图显示了执行Payzero诈骗次数最多的地址。

执行Payzero诈骗次数最多的钱包

下图显示了这五个地址触发的诈骗事件。从2022年8月到12月，发生了3000多起Payzero诈骗事件，涉及5000多个NFT（NFT的总价格约为3000 ETH或约360万美元）。

2022年8月至12月PayZero诈骗事件数量

同时，下图显示了前十大被盗金额事件。

前十大被盗金额事件

诈骗者一直在关注Web3的趋势，并迅速适应技术的变化。许多地下论坛出售的服务可以根据客户的需求定制新技术，甚至可以自动处理滥用过程的几乎所有部分。由于涉及大量资金，盗窃密码密钥和助记词的工具在地下广泛交易。此外，正在开发特定的恶意软件变体以获取加密资产。

地下服务正在迅速发展，提供从钓鱼套件和被盗数据分析工具（旨在搜索加密货币资产）到可用数字资产的自动验证等各种服务。

助记词钓鱼网站开发服务

OpenSea钓鱼网站售价600美元

助记词本身是地下论坛中的可交易产品，许多服务都是围绕助记词的收集或分析构建的。例如，我们发现能够从不同文本源提取助记词的代码售价为800美元。

从地下论坛出售的文本中提取助记词的代码

还有一些服务为用户提供了通过传统滥用被盗凭证来搜索助记词的能力。然后从各种应用程序（例如，从iCloud Notes）获取这些信息。

从iCloud Notes中提取助记词和私钥

甚至还有一个名为Deepchecker的全面服务，专门为Web3证书的自动验证而定制。该服务允许用户使用提供的助记词检查和监控钱包余额，它验证了与加密货币资产相关的1000多个不同来源。

用于验证加密货币资产的余额和价值的Deepchecker服务

总结

Web3技术的用户在与Web3交互时，必须对其资产的安全性承担个人责任。在Web3上签署交易非常容易，但缺点是，未经仔细验证的一次性签署可能会导致灾难性后果和重大财务损失。

诈骗者通常通过第三方网站提供链下交易来锁定潜在受害者，在第三方网站上，他们可以诱骗用户签署合同，允许这些诈骗者接管受害者的数字资产。自从MetaMask钱包在技术上解决了SetApprovalForAll权限问题以来，诈骗者一直在使用新的方法来欺骗用户放弃其资产的所有权，例如本文中讨论的PayZero方案。

幸运的是，目前已经有了应对措施，例如，多签名钱包（需要两个或更多签名才能签署交易）可以潜在地消除泄露助记词的影响。然而，对于用户来说，理解Web3的关键风险仍然很重要，在非托管钱包所有权中，资产所有者在其整个生命周期内对其资产的安全负全部责任，而在托管资产中，用户不仅拥有其资产，还面临更传统的风险，如黑客攻击、欺诈甚至监管机构本身的崩溃等等。

2022年11月底，OpenAI发布了用于其大型语言模型（LLM）的新界面ChatGPT，这立即引发了人们对AI及其可能用途的关注。这就意味着，ChatGPT也可以被应用到现代网络攻击，因为代码生成可以帮助技术不太熟练的攻击者毫不费力地发动网络攻击。

在上一篇文章《爆火出圈的chatGPT如何在逆向和恶意软件分析中发挥作用》中，我们描述了ChatGPT如何成功地进行了完整的感染流程，从创建令人信服的鱼叉式钓鱼电子邮件到运行能够接受英语命令的反向shell。目前的问题是，这是否只是一个假设的威胁，或者是否已经有攻击者使用OpenAI技术进行恶意攻击了。

CPR对几个主要地下黑客社区的分析表明，已经有攻击者使用OpenAI开发恶意工具了。正如我们所怀疑的，一些示例清楚地表明，许多使用OpenAI的攻击者根本没有开发技能。尽管我们在本报告中介绍的工具非常基础，但基于AI的工具改在成复杂的威胁只是时间问题。

示例1：创建Infostealer

2022年12月29日，一个名为“ChatGPT——恶意软件的好处”的帖子出现在一个流行的地下黑客论坛上。该帖子的发布者透露，他正在使用ChatGPT进行实验，以重现在那些被报道过的攻击技术。为此，他分享了一个基于Python的窃取器的代码，它搜索常见的文件类型，将它们复制到Temp文件夹中的一个随机文件夹中，将它们压缩并上传到硬编码的FTP服务器。

攻击者展示他如何使用ChatGPT创建infostealer

我们对示例的分析证实了攻击者的说法，这确实是一个很简单的窃取器，它在整个系统中搜索12种常见的文件类型，如MS Office文档、PDF和图像。如果发现任何感兴趣的文件，恶意软件会将这些文件复制到一个临时目录中，将其压缩并通过网络发送。值得注意的是，攻击者并没有对文件进行加密或安全地发送，因此这些文件也可能落入第三方手中。

这个攻击者使用ChatGPT创建的第二个示例是一个简单的Java代码片段。它下载PuTTY(一种非常常见的SSH和telnet客户端)，并使用Powershell在系统上秘密运行它。当然，可以修改此脚本以下载和运行任何程序，包括常见的恶意软件家族。

证明他如何创建Java程序下载PuTTY，并使用Powershell运行它

该攻击者之前的论坛也共享过几个脚本，比如后利用阶段的自动化，以及一个试图钓鱼获取用户凭据的c++程序。此外，他还积极分享SpyNote的破解版本，这是一款Android RAT恶意软件。因此，总的来说，他似乎是一个以技术为导向的攻击者，他的帖子旨在向技术能力较弱的攻击者展示如何利用ChatGPT进行恶意攻击，并提供他们可以立即使用的真实示例。

示例2：创建加密工具

2022年12月21日，一位名叫USDoD的攻击者发布了一个Python脚本，他强调这是他创作的第一个脚本。

被称为USDoD的攻击者发布的多层加密工具

当另一名攻击者评论代码的风格类似于openAI代码时，USDoD证实openAI给了他一个“很好的帮助，以一个很好的范围完成脚本。”

确认多层加密工具是使用Open AI创建的

我们对脚本的分析验证了它是一个执行加密操作的Python脚本。更具体地说，它实际上是不同签名、加密和解密功能的大杂烩。乍一看，该脚本似乎是良性的，但它实现了多种不同的功能：

脚本的第一部分生成用于签名文件的加密密钥（具体使用椭圆曲线密码和曲线ed25519）；

脚本的第二部分包括一些函数，这些函数使用硬编码的密码以混合模式同时使用Blowfish和Twofish算法对系统中的文件进行加密。这些函数允许用户加密特定目录或文件列表中的所有文件。

该脚本还使用RSA密钥，使用PEM格式的证书，MAC签名和blake2哈希函数来比较哈希值等。

需要注意的是，加密函数的所有解密对应项也都在脚本中实现。该脚本包括两个主要函数：一个用于加密单个文件并将消息认证码（MAC）附加到文件末尾，另一个加密硬编码路径并解密其作为参数接收的文件列表。

当然，上述所有代码都可以良性使用。然而，可以很容易地修改此脚本，以完全加密某人的计算机，而无需任何用户交互。例如，如果脚本和语法问题得到解决，它可能会将代码变成勒索软件。

虽然USDoD似乎不是一个开发人员，技术技能有限，但他是地下社区中一个非常活跃且声望很高的成员。USDoD从事各种非法活动，包括出售被入侵公司和被盗数据库的访问权。USDoD最近共享的一个著名被盗数据库据称是泄露的InfraGard数据库。

USDoD之前涉及发布InfraGard数据库的非法活动

示例3：使用ChatGPT进行欺诈活动

另一个使用ChatGPT进行欺诈活动的示例是在2022年新年前夕发布的，它展示了一种不同类型的网络犯罪活动。虽然前两个示例更多地关注于面向恶意软件的ChatGPT使用，但本示例显示了一个标题为“滥用ChatGPT创建暗网市场脚本”的讨论。在这篇文章中，攻击者展示了使用ChatGPT创建暗网市场是多么容易。该市场在地下非法经济中的主要作用是提供一个平台，用于自动交易非法或被盗物品，如被盗账户或支付卡，恶意软件，甚至毒品和弹药，所有支付都使用加密货币。为了说明如何使用ChatGPT实现这些目的，攻击者发布了一段代码，该代码使用第三方API来获取最新的加密货币(门罗币、比特币和以太坊)价格，作为暗网市场支付系统的一部分。

攻击者使用ChatGPT创建暗网市场脚本

2023年初，几个攻击者在其他地下论坛上展开了讨论，讨论的重点是如何将ChatGPT用于欺诈攻中。其中大部分集中于使用另一种OpenAI技术（DALLE2）生成随机艺术品，并通过Etsy等合法平台在线销售。在另一个示例中，攻击者解释如何为特定主题生成电子书或短章节(使用ChatGPT)，并在网上销售这些内容。

地下论坛中关于如何使用ChatGPT进行欺诈活动的多个线程

总结

现在就认定ChatGPT功能是否会成为暗网攻击者最喜欢的新工具还为时过早。然而，生成恶意代码的新趋势已经出现。

2022年11月底，OpenAI发布了用于其大型语言模型（LLM）的新界面ChatGPT，这立即引发了人们对AI及其可能用途的关注。这就意味着，ChatGPT也可以被应用到现代网络攻击，因为代码生成可以帮助技术不太熟练的攻击者毫不费力地发动网络攻击。

在上一篇文章《爆火出圈的chatGPT如何在逆向和恶意软件分析中发挥作用》中，我们描述了ChatGPT如何成功地进行了完整的感染流程，从创建令人信服的鱼叉式钓鱼电子邮件到运行能够接受英语命令的反向shell。目前的问题是，这是否只是一个假设的威胁，或者是否已经有攻击者使用OpenAI技术进行恶意攻击了。

CPR对几个主要地下黑客社区的分析表明，已经有攻击者使用OpenAI开发恶意工具了。正如我们所怀疑的，一些示例清楚地表明，许多使用OpenAI的攻击者根本没有开发技能。尽管我们在本报告中介绍的工具非常基础，但基于AI的工具改在成复杂的威胁只是时间问题。

示例1：创建Infostealer

2022年12月29日，一个名为“ChatGPT——恶意软件的好处”的帖子出现在一个流行的地下黑客论坛上。该帖子的发布者透露，他正在使用ChatGPT进行实验，以重现在那些被报道过的攻击技术。为此，他分享了一个基于Python的窃取器的代码，它搜索常见的文件类型，将它们复制到Temp文件夹中的一个随机文件夹中，将它们压缩并上传到硬编码的FTP服务器。

攻击者展示他如何使用ChatGPT创建infostealer

我们对示例的分析证实了攻击者的说法，这确实是一个很简单的窃取器，它在整个系统中搜索12种常见的文件类型，如MS Office文档、PDF和图像。如果发现任何感兴趣的文件，恶意软件会将这些文件复制到一个临时目录中，将其压缩并通过网络发送。值得注意的是，攻击者并没有对文件进行加密或安全地发送，因此这些文件也可能落入第三方手中。

这个攻击者使用ChatGPT创建的第二个示例是一个简单的Java代码片段。它下载PuTTY(一种非常常见的SSH和telnet客户端)，并使用Powershell在系统上秘密运行它。当然，可以修改此脚本以下载和运行任何程序，包括常见的恶意软件家族。

证明他如何创建Java程序下载PuTTY，并使用Powershell运行它

该攻击者之前的论坛也共享过几个脚本，比如后利用阶段的自动化，以及一个试图钓鱼获取用户凭据的c++程序。此外，他还积极分享SpyNote的破解版本，这是一款Android RAT恶意软件。因此，总的来说，他似乎是一个以技术为导向的攻击者，他的帖子旨在向技术能力较弱的攻击者展示如何利用ChatGPT进行恶意攻击，并提供他们可以立即使用的真实示例。

示例2：创建加密工具

2022年12月21日，一位名叫USDoD的攻击者发布了一个Python脚本，他强调这是他创作的第一个脚本。

被称为USDoD的攻击者发布的多层加密工具

当另一名攻击者评论代码的风格类似于openAI代码时，USDoD证实openAI给了他一个“很好的帮助，以一个很好的范围完成脚本。”

确认多层加密工具是使用Open AI创建的

我们对脚本的分析验证了它是一个执行加密操作的Python脚本。更具体地说，它实际上是不同签名、加密和解密功能的大杂烩。乍一看，该脚本似乎是良性的，但它实现了多种不同的功能：

脚本的第一部分生成用于签名文件的加密密钥（具体使用椭圆曲线密码和曲线ed25519）；

脚本的第二部分包括一些函数，这些函数使用硬编码的密码以混合模式同时使用Blowfish和Twofish算法对系统中的文件进行加密。这些函数允许用户加密特定目录或文件列表中的所有文件。

该脚本还使用RSA密钥，使用PEM格式的证书，MAC签名和blake2哈希函数来比较哈希值等。

需要注意的是，加密函数的所有解密对应项也都在脚本中实现。该脚本包括两个主要函数：一个用于加密单个文件并将消息认证码（MAC）附加到文件末尾，另一个加密硬编码路径并解密其作为参数接收的文件列表。

当然，上述所有代码都可以良性使用。然而，可以很容易地修改此脚本，以完全加密某人的计算机，而无需任何用户交互。例如，如果脚本和语法问题得到解决，它可能会将代码变成勒索软件。

虽然USDoD似乎不是一个开发人员，技术技能有限，但他是地下社区中一个非常活跃且声望很高的成员。USDoD从事各种非法活动，包括出售被入侵公司和被盗数据库的访问权。USDoD最近共享的一个著名被盗数据库据称是泄露的InfraGard数据库。

USDoD之前涉及发布InfraGard数据库的非法活动

示例3：使用ChatGPT进行欺诈活动

另一个使用ChatGPT进行欺诈活动的示例是在2022年新年前夕发布的，它展示了一种不同类型的网络犯罪活动。虽然前两个示例更多地关注于面向恶意软件的ChatGPT使用，但本示例显示了一个标题为“滥用ChatGPT创建暗网市场脚本”的讨论。在这篇文章中，攻击者展示了使用ChatGPT创建暗网市场是多么容易。该市场在地下非法经济中的主要作用是提供一个平台，用于自动交易非法或被盗物品，如被盗账户或支付卡，恶意软件，甚至毒品和弹药，所有支付都使用加密货币。为了说明如何使用ChatGPT实现这些目的，攻击者发布了一段代码，该代码使用第三方API来获取最新的加密货币(门罗币、比特币和以太坊)价格，作为暗网市场支付系统的一部分。

攻击者使用ChatGPT创建暗网市场脚本

2023年初，几个攻击者在其他地下论坛上展开了讨论，讨论的重点是如何将ChatGPT用于欺诈攻中。其中大部分集中于使用另一种OpenAI技术（DALLE2）生成随机艺术品，并通过Etsy等合法平台在线销售。在另一个示例中，攻击者解释如何为特定主题生成电子书或短章节(使用ChatGPT)，并在网上销售这些内容。

地下论坛中关于如何使用ChatGPT进行欺诈活动的多个线程

总结

现在就认定ChatGPT功能是否会成为暗网攻击者最喜欢的新工具还为时过早。然而，生成恶意代码的新趋势已经出现。

我们可能或多或少都知道一些如何避免网络钓鱼的方法，比如注意拼写错误或其他会提醒我们诈骗者存在的错误。然而，这个建议只对传统的网络钓鱼技术有帮助。中间人(MitM)网络钓鱼攻击则表明攻击者可以绕过传统防御。

MitM网络钓鱼攻击是一种最先进的网络钓鱼攻击类型，能够攻击双因素身份验证(2FA)，同时避免许多基于内容的网络钓鱼检测引擎。MitM攻击不是显示目标登录页面的欺骗版本，而是使用反向代理服务器将原始登录页面直接中继到用户的浏览器。

截至2022年11月，多起网络钓鱼攻击使用MitM策略来攻击商业电子邮件帐户，并成功窃取组织的机密信息。有几个流行的MitM网络钓鱼工具包，让黑客只需点击几下即可轻松发起他们自己的MitM钓鱼攻击。

这些工具包不断扩展其功能集，同时变得更加直观和易于使用。许多人已经采用了复杂的伪装技术，使他们能够逃避传统网络钓鱼检测系统的检测。因此，我们预计这些MitM网络钓鱼攻击的流行率将在不久的将来继续上升。 

你可以通过高级URL过滤实时阻止MitM钓鱼页面，从而免受本文中讨论的攻击。

传统的网络钓鱼攻击

钓鱼攻击的目的是建立一个虚假的登录页面，诱使用户输入登录凭证。

在传统的网络钓鱼攻击中，攻击者通常会创建自己的网络钓鱼页面来模仿合法的登录页面。他们可能会将其托管在新创建的域上，破坏合法域并将其网络钓鱼页面托管在该域上，或者使用现有的SaaS平台托管其网络钓鱼内容。

“网络钓鱼工具包”简化了创建和部署网络钓鱼攻击的过程，提供了一套标准程序或脚本，这样即使是没有经验的攻击者也可以发起自己的网络钓鱼攻击。这些工具通常使用模板化的网页，模仿目标公司的实际登录页面。基于web的网络钓鱼即服务(PhaaS)平台的攻击服务则更进一步，如Caffeine(如图1所示)和Robin Banks，通过提供易于使用的界面，允许攻击者配置和部署网络钓鱼攻击。

网络钓鱼即服务(PhaaS)平台Caffeine的主页于2022年10月首次公布

在传统的网络钓鱼攻击中，网络钓鱼页面通常直接托管在恶意或受损的服务器上，且不一定是合法登录页面的完美副本。例如，如果攻击者要创建一个模仿GitHub登录的网络钓鱼页面，他们可能不想重新创建围绕核心登录功能的所有其他功能，例如“忘记我的密码”链接。

专家或细心的观察者可能会注意到合法的GitHub登录页面和欺骗的钓鱼页面之间的细微差异，并意识到欺骗的页面是非法的。下图显示了钓鱼页面与原始目标登录页面的不同之处。

类似地，基于内容的自动网络钓鱼预防引擎可能会注意到这些非法登录页面包含可疑内容的迹象（例如断开的链接或拼写错误），并将其标记为可能的网络钓鱼网站。 

左图：网络钓鱼攻击中使用的假冒Microsoft登录页面示例，右图：截至2022年11月21日的原始Microsoft登录页面

即使有这些缺陷，这些网络钓鱼活动中的收件人数量之多意味着一些目标仍然可能成为这些攻击的受害者。双因素身份验证（2FA），也称为多因素身份验证，已成为一种日益流行的添加额外安全层以防止成功的网络钓鱼攻击的方式。 

双因素身份验证实际应用的一个例子是，除了要求用户名和密码外，合法的登录网站还要求额外的身份验证形式，例如发送到用户注册电子邮件地址的一次性密码(OTP)。即使攻击者通过成功的钓鱼攻击获得了受害者的用户名和密码，他们也无法以该用户身份登录，因为他们无法检索在恶意登录尝试期间发送的OTP。

MitM网络钓鱼攻击

MitM网络钓鱼攻击是一种绕过基于内容的防御和双因素身份验证的新型网络钓鱼攻击。与传统的网络钓鱼攻击不同，MitM攻击显示的是合法登录页面的独立但虚假的版本，它向用户显示的内容与他们在合法登录页面上看到的内容完全相同。MitM服务器没有托管合法登录页面的副本，而是简单地获取合法站点上呈现的内容并将其转发给最终用户，如下图所示。

换句话说，MitM服务器充当目标和合法登录页面之间的代理。当目标将其凭据输入到代理页面时，MitM服务器将凭据存储起来，并将其转发到合法的登录页面，从而成功登录。从受害者的角度来看，一切看起来就像他们登录到了合法页面。

此外，这两个连接(MitM服务器到合法站点，受害者到MitM服务器)都是通过HTTPS协议提供的，因此受害者将根据web浏览器地址栏中的挂锁图标看到连接是“安全的”。

MitM网络钓鱼攻击的可视化表示

由于显示给目标的内容与他们在合法登录页面上看到的内容完全相同，这种基于代理的方法使受害者更难从视觉上辨别出可疑的事情正在发生，并且使基于内容的网络钓鱼检测引擎很难注意到任何可疑的事情。

MitM网络钓鱼攻击就像通过隐藏得很好的镜子观看原画。 MitM攻击除了上述好处外，还有其他几个好处。例如，如果用户设置了双因素身份验证，这种基于代理的方法允许MitM服务器自动绕过这个双因素身份验证。 在MitM服务器将用户名和密码转发到合法站点后，合法站点将按照其正常行为向其客户端发送OTP。如果被欺骗，目标将在MitM网络钓鱼页面中输入一次性密码。这允许MitM服务器将密码中继到合法站点，从而完全完成登录尝试。 

此时，MitM服务器将从合法站点接收一个真实的会话cookie。这种持久的登录允许受害者继续正常浏览网站（尽管仍然通过攻击者的web服务器），从而进一步保持网络钓鱼攻击的合法性。

真实发生的MitM网络钓鱼攻击

在撰写本文时，黑客可以使用几个工具轻松地部署他们自己的MitM网络钓鱼攻击。与传统的钓鱼套件类似，这些MitM钓鱼套件提供了一组脚本，或者在某些情况下，甚至是图形用户界面（GUI），使攻击者可以轻松配置和发起MitM钓鱼攻击。

接下来，我们将介绍一些流行的MitM钓鱼工具包。这些工具包都采用了将原始登录页面传递给受害者浏览器的核心策略，但它们在实现细节和附加功能(例如，隐身和TLS证书生成)方面有所不同。 例如Evilginx2，生成唯一的标记化URL(又名“诱饵”)，必须直接访问以显示钓鱼内容。对任何其他路径的请求都会导致重定向到良性站点。

1.Evilginx2 ，2018年7月(2017年5月发布的第一个版本)首次发布，功能丰富的MitM钓鱼工具包，具有易于使用的命令行界面。具有内置隐藏功能。生成URL中必须存在的唯一令牌（诱饵），此工具的命令行界面如下图所示。

2.Modlishka ，2019年1月发布，自动化几个配置步骤和攻击后的操作，例如使用被盗的会话cookie启动一个插入指令的Chrome实例。

3.Muraena，2019年5月发布，barebones MitM工具包。与其他自动创建TLS证书的工具包不同，Muraena要求攻击者提供自己的证书。

4.EvilnoVNC， 2022年9月发布，使用真实的web浏览器在攻击服务器上渲染登录页面，并通过VNC将内容提供给受害者的浏览器。

5.EvilProxy，2022年9月发布，MitM网络钓鱼攻击的网络钓鱼即服务平台。提供一个易于使用的GUI，攻击者可以设置和管理他们自己的MitM网络钓鱼活动。

使用Evilginx2命令行界面来启动和执行MitM钓鱼攻击的屏幕截图

在今年之前，与MitM相关的策略已经被用来成功地模拟大型软件组织，暴露数亿用户的个人数据，并从新兴初创公司窃取数百万美元。然而，这些攻击并不一定使用网络钓鱼本身作为其主要攻击载体。现在，基于MitM的网络钓鱼攻击已经开始占据中心位置。

2022年中MitM网络钓鱼活动

2022年7月，微软报告了一起使用Evilginx2窃取目标微软证书的网络钓鱼活动。该活动向潜在受害者发送电子邮件，促使他们下载一个重要的附件。在打开附件并通过一系列重定向路由之后，受害者将到达如下图所示的MitM钓鱼页面。在攻击者成功拦截身份验证cookie后，他们会登录到受攻击的Outlook帐户，并不断搜索与金融相关的电子邮件和附件，以寻找欺诈的机会。

MitM凭证窃取页面，这是微软在2022年7月报告的一部分

为了避免被发现，该活动使用了各种隐藏技术，以确保只有当受害者通过原始HTML附件导航到页面时，钓鱼内容才会加载。到微软的威胁情报文章发表时，在几个月的时间里，已有超过10000个组织成为了这次活动的目标。

根据Palo Alto 网络高级URL过滤日志，他们的高级URL过滤服务早在2021年9月就已经开始阻止对攻击者域上托管的标记化钓鱼URL的网络流量（例如login[.]mcrsfts-passwdupdate[.]com/HMxVQmxZ）。

2022年底MitM网络钓鱼活动

2022年9月，另一个活动被发现使用MitM网络钓鱼策略窃取目标的GitHub登录凭据。几个域被用来模拟CircleCI登录页面，提示受害者使用GitHub凭据登录。

ci[.]com.2022年9月GitHub钓鱼活动的示例登录页面，点击“登录GitHub”，用户会看到一个MitM凭证窃取页面，它反映了GitHub的实际登录页面。

上图中网页链接到的MitM凭证窃取页面，该网页不托管在网络钓鱼服务器上，而是从GitHub本身转发

对于已经设置了基于OTP的双因素身份验证的目标，MitM服务器还会提示他们输入OTP，然后将其转发到GitHub，从而允许成功登录。从那里，攻击者将通过快速创建个人访问令牌(pat)或将他们自己的SSH密钥添加到受害者的帐户来坚持他们的访问权限。这样，即使受害者更改了用户名和密码，攻击者也可以继续访问被泄露的帐户。

Dropbox在2022年11月成为MitM网络钓鱼攻击的受害者，攻击者可以攻击并复制130个私人存储库。这表明，这些MitM网络钓鱼攻击已经在实际活动中产生了重大影响。在Dropbox对这次攻击的回应中，他们计划将双因素身份验证协议从OTP转移到WebAuthn，这是一种更能抵御网络钓鱼的双因素身份验证形式。

最近几周，Palo Alto 的高级URL过滤服务检测到更多的MitM钓鱼URL，像Microsoft 365这样的企业登录是主要目标。

-r-us[.]co[.]uk.，Palo Alto 的高级URL过滤服务检测到以Microsoft为目标的MitM网络钓鱼页面

microsoftonlinesupport[.]cf.高级URL过滤服务检测到的针对Microsoft 365的MitM网络钓鱼页面

随着MitM网络钓鱼工具包越来越受欢迎，并继续扩展其功能集，MitM网络钓鱼攻击的流行程度也会增加。事实上，Evilginx 3.0预计很快就将发布，同时还将提供如何成功执行MitM网络钓鱼攻击的在线课程。

总结 

MitM网络钓鱼攻击已经在现实世界中造成了严重破坏，随着MitM网络钓鱼工具包的不断普及，预计其流行程度将会上升。因此，对于各类组织来说，保护自己免受这类网络钓鱼攻击变得越来越重要。

目前，终端用户可以采取的保护自己免受MitM网络钓鱼攻击的措施包括:

1.在输入任何凭证之前验证URL的有效性，例如，确保一个URL真的是“github[.]com”，而不是“github-impersonator[.]org”。

2.使用密码管理器存储和输入凭据，如果你发现自己处于密码管理器无法识别的网站上的MitM钓鱼页面，密码管理器将在输入凭据之前发出警告。

3.使用最先进的MFA方法，如硬件安全密钥或网络认证双因素身份验证。

4.使用高级URL过滤服务的用户可以通过产品的内嵌网络钓鱼URL检测(包括本文中提到的MitM网络钓鱼URL)免受MitM网络钓鱼攻击。高级URL过滤会实时分析网络流量，在攻击到达目标之前阻止攻击。这样，即使MitM钓鱼攻击使用隐藏的URL(如Evilginx2的情况)，高级URL过滤也可以在凭证被盗之前阻止攻击。

我们可能或多或少都知道一些如何避免网络钓鱼的方法，比如注意拼写错误或其他会提醒我们诈骗者存在的错误。然而，这个建议只对传统的网络钓鱼技术有帮助。中间人(MitM)网络钓鱼攻击则表明攻击者可以绕过传统防御。

MitM网络钓鱼攻击是一种最先进的网络钓鱼攻击类型，能够攻击双因素身份验证(2FA)，同时避免许多基于内容的网络钓鱼检测引擎。MitM攻击不是显示目标登录页面的欺骗版本，而是使用反向代理服务器将原始登录页面直接中继到用户的浏览器。

截至2022年11月，多起网络钓鱼攻击使用MitM策略来攻击商业电子邮件帐户，并成功窃取组织的机密信息。有几个流行的MitM网络钓鱼工具包，让黑客只需点击几下即可轻松发起他们自己的MitM钓鱼攻击。

这些工具包不断扩展其功能集，同时变得更加直观和易于使用。许多人已经采用了复杂的伪装技术，使他们能够逃避传统网络钓鱼检测系统的检测。因此，我们预计这些MitM网络钓鱼攻击的流行率将在不久的将来继续上升。 

你可以通过高级URL过滤实时阻止MitM钓鱼页面，从而免受本文中讨论的攻击。

传统的网络钓鱼攻击

钓鱼攻击的目的是建立一个虚假的登录页面，诱使用户输入登录凭证。

在传统的网络钓鱼攻击中，攻击者通常会创建自己的网络钓鱼页面来模仿合法的登录页面。他们可能会将其托管在新创建的域上，破坏合法域并将其网络钓鱼页面托管在该域上，或者使用现有的SaaS平台托管其网络钓鱼内容。

“网络钓鱼工具包”简化了创建和部署网络钓鱼攻击的过程，提供了一套标准程序或脚本，这样即使是没有经验的攻击者也可以发起自己的网络钓鱼攻击。这些工具通常使用模板化的网页，模仿目标公司的实际登录页面。基于web的网络钓鱼即服务(PhaaS)平台的攻击服务则更进一步，如Caffeine(如图1所示)和Robin Banks，通过提供易于使用的界面，允许攻击者配置和部署网络钓鱼攻击。

网络钓鱼即服务(PhaaS)平台Caffeine的主页于2022年10月首次公布

在传统的网络钓鱼攻击中，网络钓鱼页面通常直接托管在恶意或受损的服务器上，且不一定是合法登录页面的完美副本。例如，如果攻击者要创建一个模仿GitHub登录的网络钓鱼页面，他们可能不想重新创建围绕核心登录功能的所有其他功能，例如“忘记我的密码”链接。

专家或细心的观察者可能会注意到合法的GitHub登录页面和欺骗的钓鱼页面之间的细微差异，并意识到欺骗的页面是非法的。下图显示了钓鱼页面与原始目标登录页面的不同之处。

类似地，基于内容的自动网络钓鱼预防引擎可能会注意到这些非法登录页面包含可疑内容的迹象（例如断开的链接或拼写错误），并将其标记为可能的网络钓鱼网站。 

左图：网络钓鱼攻击中使用的假冒Microsoft登录页面示例，右图：截至2022年11月21日的原始Microsoft登录页面

即使有这些缺陷，这些网络钓鱼活动中的收件人数量之多意味着一些目标仍然可能成为这些攻击的受害者。双因素身份验证（2FA），也称为多因素身份验证，已成为一种日益流行的添加额外安全层以防止成功的网络钓鱼攻击的方式。 

双因素身份验证实际应用的一个例子是，除了要求用户名和密码外，合法的登录网站还要求额外的身份验证形式，例如发送到用户注册电子邮件地址的一次性密码(OTP)。即使攻击者通过成功的钓鱼攻击获得了受害者的用户名和密码，他们也无法以该用户身份登录，因为他们无法检索在恶意登录尝试期间发送的OTP。

MitM网络钓鱼攻击

MitM网络钓鱼攻击是一种绕过基于内容的防御和双因素身份验证的新型网络钓鱼攻击。与传统的网络钓鱼攻击不同，MitM攻击显示的是合法登录页面的独立但虚假的版本，它向用户显示的内容与他们在合法登录页面上看到的内容完全相同。MitM服务器没有托管合法登录页面的副本，而是简单地获取合法站点上呈现的内容并将其转发给最终用户，如下图所示。

换句话说，MitM服务器充当目标和合法登录页面之间的代理。当目标将其凭据输入到代理页面时，MitM服务器将凭据存储起来，并将其转发到合法的登录页面，从而成功登录。从受害者的角度来看，一切看起来就像他们登录到了合法页面。

此外，这两个连接(MitM服务器到合法站点，受害者到MitM服务器)都是通过HTTPS协议提供的，因此受害者将根据web浏览器地址栏中的挂锁图标看到连接是“安全的”。

MitM网络钓鱼攻击的可视化表示

由于显示给目标的内容与他们在合法登录页面上看到的内容完全相同，这种基于代理的方法使受害者更难从视觉上辨别出可疑的事情正在发生，并且使基于内容的网络钓鱼检测引擎很难注意到任何可疑的事情。

MitM网络钓鱼攻击就像通过隐藏得很好的镜子观看原画。 MitM攻击除了上述好处外，还有其他几个好处。例如，如果用户设置了双因素身份验证，这种基于代理的方法允许MitM服务器自动绕过这个双因素身份验证。 在MitM服务器将用户名和密码转发到合法站点后，合法站点将按照其正常行为向其客户端发送OTP。如果被欺骗，目标将在MitM网络钓鱼页面中输入一次性密码。这允许MitM服务器将密码中继到合法站点，从而完全完成登录尝试。 

此时，MitM服务器将从合法站点接收一个真实的会话cookie。这种持久的登录允许受害者继续正常浏览网站（尽管仍然通过攻击者的web服务器），从而进一步保持网络钓鱼攻击的合法性。

真实发生的MitM网络钓鱼攻击

在撰写本文时，黑客可以使用几个工具轻松地部署他们自己的MitM网络钓鱼攻击。与传统的钓鱼套件类似，这些MitM钓鱼套件提供了一组脚本，或者在某些情况下，甚至是图形用户界面（GUI），使攻击者可以轻松配置和发起MitM钓鱼攻击。

接下来，我们将介绍一些流行的MitM钓鱼工具包。这些工具包都采用了将原始登录页面传递给受害者浏览器的核心策略，但它们在实现细节和附加功能(例如，隐身和TLS证书生成)方面有所不同。 例如Evilginx2，生成唯一的标记化URL(又名“诱饵”)，必须直接访问以显示钓鱼内容。对任何其他路径的请求都会导致重定向到良性站点。

1.Evilginx2 ，2018年7月(2017年5月发布的第一个版本)首次发布，功能丰富的MitM钓鱼工具包，具有易于使用的命令行界面。具有内置隐藏功能。生成URL中必须存在的唯一令牌（诱饵），此工具的命令行界面如下图所示。

2.Modlishka ，2019年1月发布，自动化几个配置步骤和攻击后的操作，例如使用被盗的会话cookie启动一个插入指令的Chrome实例。

3.Muraena，2019年5月发布，barebones MitM工具包。与其他自动创建TLS证书的工具包不同，Muraena要求攻击者提供自己的证书。

4.EvilnoVNC， 2022年9月发布，使用真实的web浏览器在攻击服务器上渲染登录页面，并通过VNC将内容提供给受害者的浏览器。

5.EvilProxy，2022年9月发布，MitM网络钓鱼攻击的网络钓鱼即服务平台。提供一个易于使用的GUI，攻击者可以设置和管理他们自己的MitM网络钓鱼活动。

使用Evilginx2命令行界面来启动和执行MitM钓鱼攻击的屏幕截图

在今年之前，与MitM相关的策略已经被用来成功地模拟大型软件组织，暴露数亿用户的个人数据，并从新兴初创公司窃取数百万美元。然而，这些攻击并不一定使用网络钓鱼本身作为其主要攻击载体。现在，基于MitM的网络钓鱼攻击已经开始占据中心位置。

2022年中MitM网络钓鱼活动

2022年7月，微软报告了一起使用Evilginx2窃取目标微软证书的网络钓鱼活动。该活动向潜在受害者发送电子邮件，促使他们下载一个重要的附件。在打开附件并通过一系列重定向路由之后，受害者将到达如下图所示的MitM钓鱼页面。在攻击者成功拦截身份验证cookie后，他们会登录到受攻击的Outlook帐户，并不断搜索与金融相关的电子邮件和附件，以寻找欺诈的机会。

MitM凭证窃取页面，这是微软在2022年7月报告的一部分

为了避免被发现，该活动使用了各种隐藏技术，以确保只有当受害者通过原始HTML附件导航到页面时，钓鱼内容才会加载。到微软的威胁情报文章发表时，在几个月的时间里，已有超过10000个组织成为了这次活动的目标。

根据Palo Alto 网络高级URL过滤日志，他们的高级URL过滤服务早在2021年9月就已经开始阻止对攻击者域上托管的标记化钓鱼URL的网络流量（例如login[.]mcrsfts-passwdupdate[.]com/HMxVQmxZ）。

2022年底MitM网络钓鱼活动

2022年9月，另一个活动被发现使用MitM网络钓鱼策略窃取目标的GitHub登录凭据。几个域被用来模拟CircleCI登录页面，提示受害者使用GitHub凭据登录。

ci[.]com.2022年9月GitHub钓鱼活动的示例登录页面，点击“登录GitHub”，用户会看到一个MitM凭证窃取页面，它反映了GitHub的实际登录页面。

上图中网页链接到的MitM凭证窃取页面，该网页不托管在网络钓鱼服务器上，而是从GitHub本身转发

对于已经设置了基于OTP的双因素身份验证的目标，MitM服务器还会提示他们输入OTP，然后将其转发到GitHub，从而允许成功登录。从那里，攻击者将通过快速创建个人访问令牌(pat)或将他们自己的SSH密钥添加到受害者的帐户来坚持他们的访问权限。这样，即使受害者更改了用户名和密码，攻击者也可以继续访问被泄露的帐户。

Dropbox在2022年11月成为MitM网络钓鱼攻击的受害者，攻击者可以攻击并复制130个私人存储库。这表明，这些MitM网络钓鱼攻击已经在实际活动中产生了重大影响。在Dropbox对这次攻击的回应中，他们计划将双因素身份验证协议从OTP转移到WebAuthn，这是一种更能抵御网络钓鱼的双因素身份验证形式。

最近几周，Palo Alto 的高级URL过滤服务检测到更多的MitM钓鱼URL，像Microsoft 365这样的企业登录是主要目标。

-r-us[.]co[.]uk.，Palo Alto 的高级URL过滤服务检测到以Microsoft为目标的MitM网络钓鱼页面

microsoftonlinesupport[.]cf.高级URL过滤服务检测到的针对Microsoft 365的MitM网络钓鱼页面

随着MitM网络钓鱼工具包越来越受欢迎，并继续扩展其功能集，MitM网络钓鱼攻击的流行程度也会增加。事实上，Evilginx 3.0预计很快就将发布，同时还将提供如何成功执行MitM网络钓鱼攻击的在线课程。

总结 

MitM网络钓鱼攻击已经在现实世界中造成了严重破坏，随着MitM网络钓鱼工具包的不断普及，预计其流行程度将会上升。因此，对于各类组织来说，保护自己免受这类网络钓鱼攻击变得越来越重要。

目前，终端用户可以采取的保护自己免受MitM网络钓鱼攻击的措施包括:

1.在输入任何凭证之前验证URL的有效性，例如，确保一个URL真的是“github[.]com”，而不是“github-impersonator[.]org”。

2.使用密码管理器存储和输入凭据，如果你发现自己处于密码管理器无法识别的网站上的MitM钓鱼页面，密码管理器将在输入凭据之前发出警告。

3.使用最先进的MFA方法，如硬件安全密钥或网络认证双因素身份验证。

4.使用高级URL过滤服务的用户可以通过产品的内嵌网络钓鱼URL检测(包括本文中提到的MitM网络钓鱼URL)免受MitM网络钓鱼攻击。高级URL过滤会实时分析网络流量，在攻击到达目标之前阻止攻击。这样，即使MitM钓鱼攻击使用隐藏的URL(如Evilginx2的情况)，高级URL过滤也可以在凭证被盗之前阻止攻击。

云泄露通常源于配置错误的存储服务或暴露的凭据，越来越多的攻击专门针对云计算服务，以窃取相关凭据并非法访问云基础设施。这些攻击的目的就是使目标组织付出经济或其他方面的代价。

本文重点介绍了两个云计算凭据被攻击的示例。虽然初始访问阶段很重要，但我们将重点关注攻击期间执行的攻击后操作，并分享这两种针对云基础设施的攻击流程。攻击流程显示了攻击者如何滥用窃取的计算凭据来寻找各种攻击方法(如加密挖掘、数据窃取等)，并以意想不到的方式滥用云服务。

为了检测下面描述的攻击，由Amazon Web Services (AWS)和Google cloud概述的云日志记录和监控最佳实践是必不可少的，因为它们提供了对云基础设施级别活动的可见性。这强调了遵循Amazon Web Services和Google Cloud日志记录和监控最佳实践的重要性。

Palo Alto Networks通过Cortex XDR for cloud和Prisma cloud帮助组织解决云安全问题，Cortex XDR for cloud可检测云计算凭据被盗等云攻击，Prisma cloud以最少的权限管理身份授权。

云工作的关键原则

在深入研究之前，我们应该了解在云计算中工作的一个非常基本和重要的规则。实体(无论是人还是计算工作负载)都需要合法和相关的凭据才能在基础设施级访问云环境。凭据用于身份验证(验证实体的标识)和授权(验证实体被允许做什么)。

作为一种最佳实践，当计算工作负载在云中执行API调用(例如，查询存储服务)时，工作负载的相关凭据应该仅专用于它。它们还应该仅供该工作负载或人员使用，而不能供其他任何人使用。

正如我们将在这两个示例中看到的，有助于降低云计算凭据攻击风险的一个重要安全原则是最低权限访问。特别是，这意味着与这些凭据相关联的权限应该缩小到使用它们的代码实际所需的最小权限集。这限制了攻击者在计算凭据被盗用时可以采取的行动。

攻击示例1：AWS Lambda凭据受攻击导致网络钓鱼攻击

攻击者可以通过窃取Lambda的凭据来执行代表Lambda函数的API调用，这允许攻击者可以在云环境中执行多个API调用并枚举不同的服务，如下图所示。虽然由于缺乏权限，大多数API调用都不被允许，但该攻击导致了由攻击者创建的AWS简单电子邮件服务（SES）发起的网络钓鱼攻击。

攻击者使用受攻击的Lambda函数的凭据枚举云环境

这种网络钓鱼攻击不仅给组织带来了意想不到的成本，也使其他组织面临额外的风险。

在本示例中，受害者没有活跃的SES，如果有，攻击者可能会滥用它来对受害者的组织发起攻击，或者他们甚至可以使用合法的电子邮件帐户进行网络钓鱼攻击。

由于组织使用的云服务种类繁多，因此很难预测云攻击将在何处结束。从云计算到网络钓鱼并不是只有一个实现方法。

攻击流

攻击者能够窃取Lambda的环境变量并将它们导出到攻击设备(AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, AWS_SESSION_TOKEN)。

当凭据被窃取后，攻击者通过以下步骤发起攻击：

WHOAMI - 2022-05-20T20:35:49 UTC

攻击从GetCallerIdentity命令开始，该命令相当于whoami，因为它提供了与凭据相关联的实体的信息。从响应中，攻击者可以获得其他信息，例如被盗的帐户ID和凭据类型。但是，它们不能确定与身份相关联的任何权限。

IAM枚举- 2022-05-20T20:35:55 UTC

攻击的下一个阶段是身份和访问管理(IAM)枚举，IAM被认为是攻击的最佳途径。通过获得对IAM的访问权，攻击者可以提升权限并获得受害者帐户的持久性。

IAM枚举包括两个API调用，由于缺乏权限而被拒绝：

ListAttachedRolePolicies

ListRolePolicies

可以假设，攻击者注意到缺少权限，因此仅在两个命令后终止IAM枚举（可能是为了避免产生不必要的噪音）。

通用枚举2022-05-20T20:39:59 UTC

在枚举IAM失败后，攻击者开始对不同区域的不同服务进行枚举。这种技术的噪音很大，因为攻击者试图了解目标帐户的体系结构，更重要的是，获得可能存在于云帐户中的敏感信息的访问权。

执行的一些主要服务和API调用包括：

存储枚举

ListBucketsGetBucketCorsGetBucketInventoryConfigurationGetBucketPublicAccessBlockGetBucketMetricsConfigurationGetBucketPolicyGetBucketTagging

EC2枚举

GetConsoleScreenshotGetLaunchTemplateDataDescribeInstanceTypesDescribeBundleTasksDescribeInstanceAttributeDescribeReplaceRootVolumeTasks

网络枚举

DescribeCarrierGatewaysDescribeVpcEndpointConnectionNotificationsDescribeTransitGatewayMulticastDomainsDescribeClientVpnRoutesDescribeDhcpOptionsGetTransitGatewayRouteTableAssociations

日志记录枚举

GetQueryResultsGetBucketLoggingGetLogRecordGetFlowLogsIntegrationTemplateDescribeLogGroupsDescribeLogStreamsDescribeFlowLogsDescribeSubscriptionFiltersListTagsLogGroup

备份枚举

GetPasswordDataGetEbsEncryptionByDefaultGetEbsDefaultKmsKeyIdGetBucketReplicationDescribeVolumesDescribeVolumesModificationsDescribeSnapshotAttributeDescribeSnapshotTierStatusDescribeImages

SES枚举

GetAccountListIdentities

通用枚举

DescribeRegionsDescribeAvailabilityZonesDescribeAccountAttributes

后门2022-05-20T20:43:22 UTC

在枚举IAM失败时，攻击者试图通过执行CreateUser命令创建一个新用户(未成功)。

从云计算到网络钓鱼攻击2022-05-20T20:44:40 UTC

由于枚举期间的大多数API调用导致权限被拒绝，因此攻击者能够成功枚举SES。因此，攻击者通过滥用云电子邮件服务发起了钓鱼攻击，其中包括执行VerifyEmailIdentity和UpdateAccountSendingEnabled等命令。

逃避检测2022-05-20T23:07:06 UTC

最后，攻击者试图通过执行DeleteIdentity命令删除SES标识来隐藏他的一些活动。

其他情况分析

此攻击的一个非常重要的攻击指标（IoC）是IP地址50.82.94[.]112。

来自Lambda函数的API调用通常使用为Lambda生成的凭据（包括AccessKeyId）从其IP执行。因此，具有该AccessKeyId的每个API调用都被认为是Lambda函数。然而，在攻击过程中，攻击者能够窃取Lambda的凭据，从而允许攻击者冒充Lambda。

因此，IP是关键的IoC，因为它是检测冒充Lambda的方法。攻击者使用窃取的凭据来模拟和执行代表Lambda函数的API调用，但是他们是从一个未连接到Lambda的IP地址执行的，该IP地址也不属于云环境。

攻击示例2：部署加密挖矿的Google Cloud应用程序引擎服务帐户受攻击

攻击者能够窃取Google Cloud应用程序引擎服务帐户(SA)的凭据，攻击者有许多方法可以实现这一点，这些方法不一定与云服务提供商中的任何漏洞有关。例如，在许多示例中，用户将凭据存储在不安全的位置，或者使用容易猜到或强行设置的密码。

在本示例中，被盗窃的SA是默认SA，它具有高权限的角色(项目编辑器)。这允许攻击者发起攻击，最终创建了多个用于加密挖掘的核心CPU虚拟机（VM），如下图所示。

攻击者滥用受攻击的App Engine SA来分配多个云示例进行窃取攻击

当攻击者在受害者的环境中启动数千个虚拟机时，将显著增加其预期成本。即使有人在短时间内注意到在他们的环境中发生了这样的攻击，它仍然会产生严重的攻击后果。

攻击流

谷歌应用引擎是Google Cloud完全管理的无服务器平台，服务账户是令牌。当用户创建一个App Engine示例时，云提供商创建一个默认SA，并将其附加到创建的App Engine上。

此应用程序引擎默认SA在项目中具有编辑功能。编辑器具有很高权限，这是攻击者能够发起攻击的关键，编辑器允许执行高权限的API调用，例如：

启动计算工作负载；

FW (Firewall)规则修改；

创建SA密钥；

权限升级2022-06-16T12:21:17.624 UTC

这次攻击一开始是为了升级权限。如上所述，默认情况下，应用程序引擎的SA对项目具有编辑权限。凭借这些权限，攻击者试图通过将以下对象添加到IAM策略中来添加计算/管理功能：

正如我们所看到的，SA域前缀中的appspot表示该SA属于App Engine服务。

允许任何2022-06-16T12:21:29.406 UTC

接下来，攻击者修改了项目级别的FW规则。首先，攻击者试图创建一个子网（名为default）。然后，攻击者将以下规则添加到该子网中：

此操作进一步推进了攻击者挖掘加密货币的目标，为了实现无限制的加密货币挖掘，攻击者删除了对网络级别的任何限制。

注意优先级字段是很重要的。通过将其设置为零，攻击者的规则被设置为最高优先级，这意味着它将按照现有FW规则的顺序首先生效。

挖矿攻击2022-06-16T12:21:38.916 UTC

安装完成后，攻击的主要阶段就开始了，在多个区域启动虚拟机。

虽然攻击者可以创建高CPU设备，但在本示例中，攻击者反而创建了一个配备了四个高性能GPU(例如nvidia-tesla-p100)的标准虚拟机(例如n1-standard-2)：

总的来说，在这次攻击中创建了超过1600个虚拟机。

后门2022-06-16T13:25:56.037 UTC

攻击者假设用于攻击的SA密钥会被检测到并被删除，因此通过执行google.iam.admin.v1.CreateServiceAccountKey API调用创建了多个SA密钥供以后使用。

其他情况分析

就像我们讨论的第一个示例一样，IP是一个重要的IoC。在这种情况下，攻击是从多个IP（总共九个不同的IP）发起的，其中一些是活动的Tor出口节点。

同样，我们希望从云环境中的IP使用App Engine的SA，它绝对不应该从Tor出口节点使用。

修改防火墙规则是此类攻击中常用的技术，许多组织强制执行拒绝访问活动挖矿池的网络流量规则，因此攻击者必须修改防火墙规则来实现他们的目标。

最后，通过编辑名为default的网络，攻击者试图逃避检测。除非禁用此选项，否则默认情况下，将使用默认网络创建每个新项目。攻击者似乎试图利用这一点，从而避免创建自己的网络。

总结：窃取计算令牌是一个日益严重的威胁

窃取计算工作负载的令牌是上述两个攻击示例的共同点，虽然上述两个示例都涉及无服务器服务，但此攻击向量与所有计算服务都相关。

需要强调的是，这种类型的攻击可能来自不同的攻击路径，包括应用程序漏洞或零日漏洞(如Log4Shell)，而不仅仅来自错误配置或糟糕的云安全态势管理(CSPM)。

为了处理此类攻击，云审计日志对于检测和调查与响应(IR)都至关重要。对于无法安装代理的无服务器工作负载，云审计监控更为关键，因此更难阻止此类攻击。

AWS和Google Cloud提供的日志记录和监控最佳实践为如何防止此类情况提供了明确的指导。AWS GuardDuty服务还可以帮助检测和警告类似的攻击，例如从另一个AWS帐户使用的EC2示例凭据。另一种预防方法是为Lambda配置接口端点策略，限制Lambda仅在VPC内使用。

Palo Alto Networks的用户可以通过以下方式免受计算令牌盗窃

Cortex XDR for cloud，通过将来自云主机、云流量和审计日志的活动与端点和网络数据集成，为安全团队还原完整事件过程。

Prisma Cloud帮助组织管理身份授权，解决了在云环境中管理IAM的安全挑战。Prisma Cloud IAM安全功能自动计算跨云服务提供商的有效权限，检测过度许可的访问，并建议奖权限降到最低。

了解如何使用Unit 42云事件响应服务(用于调查和响应攻击)和网络风险管理服务(用于在攻击发生前评估你的安全态势)，从而保护组织免受云环境攻击。

云泄露通常源于配置错误的存储服务或暴露的凭据，越来越多的攻击专门针对云计算服务，以窃取相关凭据并非法访问云基础设施。这些攻击的目的就是使目标组织付出经济或其他方面的代价。

本文重点介绍了两个云计算凭据被攻击的示例。虽然初始访问阶段很重要，但我们将重点关注攻击期间执行的攻击后操作，并分享这两种针对云基础设施的攻击流程。攻击流程显示了攻击者如何滥用窃取的计算凭据来寻找各种攻击方法(如加密挖掘、数据窃取等)，并以意想不到的方式滥用云服务。

为了检测下面描述的攻击，由Amazon Web Services (AWS)和Google cloud概述的云日志记录和监控最佳实践是必不可少的，因为它们提供了对云基础设施级别活动的可见性。这强调了遵循Amazon Web Services和Google Cloud日志记录和监控最佳实践的重要性。

Palo Alto Networks通过Cortex XDR for cloud和Prisma cloud帮助组织解决云安全问题，Cortex XDR for cloud可检测云计算凭据被盗等云攻击，Prisma cloud以最少的权限管理身份授权。

云工作的关键原则

在深入研究之前，我们应该了解在云计算中工作的一个非常基本和重要的规则。实体(无论是人还是计算工作负载)都需要合法和相关的凭据才能在基础设施级访问云环境。凭据用于身份验证(验证实体的标识)和授权(验证实体被允许做什么)。

作为一种最佳实践，当计算工作负载在云中执行API调用(例如，查询存储服务)时，工作负载的相关凭据应该仅专用于它。它们还应该仅供该工作负载或人员使用，而不能供其他任何人使用。

正如我们将在这两个示例中看到的，有助于降低云计算凭据攻击风险的一个重要安全原则是最低权限访问。特别是，这意味着与这些凭据相关联的权限应该缩小到使用它们的代码实际所需的最小权限集。这限制了攻击者在计算凭据被盗用时可以采取的行动。

攻击示例1：AWS Lambda凭据受攻击导致网络钓鱼攻击

攻击者可以通过窃取Lambda的凭据来执行代表Lambda函数的API调用，这允许攻击者可以在云环境中执行多个API调用并枚举不同的服务，如下图所示。虽然由于缺乏权限，大多数API调用都不被允许，但该攻击导致了由攻击者创建的AWS简单电子邮件服务（SES）发起的网络钓鱼攻击。

攻击者使用受攻击的Lambda函数的凭据枚举云环境

这种网络钓鱼攻击不仅给组织带来了意想不到的成本，也使其他组织面临额外的风险。

在本示例中，受害者没有活跃的SES，如果有，攻击者可能会滥用它来对受害者的组织发起攻击，或者他们甚至可以使用合法的电子邮件帐户进行网络钓鱼攻击。

由于组织使用的云服务种类繁多，因此很难预测云攻击将在何处结束。从云计算到网络钓鱼并不是只有一个实现方法。

攻击流

攻击者能够窃取Lambda的环境变量并将它们导出到攻击设备(AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, AWS_SESSION_TOKEN)。

当凭据被窃取后，攻击者通过以下步骤发起攻击：

WHOAMI - 2022-05-20T20:35:49 UTC

攻击从GetCallerIdentity命令开始，该命令相当于whoami，因为它提供了与凭据相关联的实体的信息。从响应中，攻击者可以获得其他信息，例如被盗的帐户ID和凭据类型。但是，它们不能确定与身份相关联的任何权限。

IAM枚举- 2022-05-20T20:35:55 UTC

攻击的下一个阶段是身份和访问管理(IAM)枚举，IAM被认为是攻击的最佳途径。通过获得对IAM的访问权，攻击者可以提升权限并获得受害者帐户的持久性。

IAM枚举包括两个API调用，由于缺乏权限而被拒绝：

ListAttachedRolePolicies

ListRolePolicies

可以假设，攻击者注意到缺少权限，因此仅在两个命令后终止IAM枚举（可能是为了避免产生不必要的噪音）。

通用枚举2022-05-20T20:39:59 UTC

在枚举IAM失败后，攻击者开始对不同区域的不同服务进行枚举。这种技术的噪音很大，因为攻击者试图了解目标帐户的体系结构，更重要的是，获得可能存在于云帐户中的敏感信息的访问权。

执行的一些主要服务和API调用包括：

存储枚举

ListBucketsGetBucketCorsGetBucketInventoryConfigurationGetBucketPublicAccessBlockGetBucketMetricsConfigurationGetBucketPolicyGetBucketTagging

EC2枚举

GetConsoleScreenshotGetLaunchTemplateDataDescribeInstanceTypesDescribeBundleTasksDescribeInstanceAttributeDescribeReplaceRootVolumeTasks

网络枚举

DescribeCarrierGatewaysDescribeVpcEndpointConnectionNotificationsDescribeTransitGatewayMulticastDomainsDescribeClientVpnRoutesDescribeDhcpOptionsGetTransitGatewayRouteTableAssociations

日志记录枚举

GetQueryResultsGetBucketLoggingGetLogRecordGetFlowLogsIntegrationTemplateDescribeLogGroupsDescribeLogStreamsDescribeFlowLogsDescribeSubscriptionFiltersListTagsLogGroup

备份枚举

GetPasswordDataGetEbsEncryptionByDefaultGetEbsDefaultKmsKeyIdGetBucketReplicationDescribeVolumesDescribeVolumesModificationsDescribeSnapshotAttributeDescribeSnapshotTierStatusDescribeImages

SES枚举

GetAccountListIdentities

通用枚举

DescribeRegionsDescribeAvailabilityZonesDescribeAccountAttributes

后门2022-05-20T20:43:22 UTC

在枚举IAM失败时，攻击者试图通过执行CreateUser命令创建一个新用户(未成功)。

从云计算到网络钓鱼攻击2022-05-20T20:44:40 UTC

由于枚举期间的大多数API调用导致权限被拒绝，因此攻击者能够成功枚举SES。因此，攻击者通过滥用云电子邮件服务发起了钓鱼攻击，其中包括执行VerifyEmailIdentity和UpdateAccountSendingEnabled等命令。

逃避检测2022-05-20T23:07:06 UTC

最后，攻击者试图通过执行DeleteIdentity命令删除SES标识来隐藏他的一些活动。

其他情况分析

此攻击的一个非常重要的攻击指标（IoC）是IP地址50.82.94[.]112。

来自Lambda函数的API调用通常使用为Lambda生成的凭据（包括AccessKeyId）从其IP执行。因此，具有该AccessKeyId的每个API调用都被认为是Lambda函数。然而，在攻击过程中，攻击者能够窃取Lambda的凭据，从而允许攻击者冒充Lambda。

因此，IP是关键的IoC，因为它是检测冒充Lambda的方法。攻击者使用窃取的凭据来模拟和执行代表Lambda函数的API调用，但是他们是从一个未连接到Lambda的IP地址执行的，该IP地址也不属于云环境。

攻击示例2：部署加密挖矿的Google Cloud应用程序引擎服务帐户受攻击

攻击者能够窃取Google Cloud应用程序引擎服务帐户(SA)的凭据，攻击者有许多方法可以实现这一点，这些方法不一定与云服务提供商中的任何漏洞有关。例如，在许多示例中，用户将凭据存储在不安全的位置，或者使用容易猜到或强行设置的密码。

在本示例中，被盗窃的SA是默认SA，它具有高权限的角色(项目编辑器)。这允许攻击者发起攻击，最终创建了多个用于加密挖掘的核心CPU虚拟机（VM），如下图所示。

攻击者滥用受攻击的App Engine SA来分配多个云示例进行窃取攻击

当攻击者在受害者的环境中启动数千个虚拟机时，将显著增加其预期成本。即使有人在短时间内注意到在他们的环境中发生了这样的攻击，它仍然会产生严重的攻击后果。

攻击流

谷歌应用引擎是Google Cloud完全管理的无服务器平台，服务账户是令牌。当用户创建一个App Engine示例时，云提供商创建一个默认SA，并将其附加到创建的App Engine上。

此应用程序引擎默认SA在项目中具有编辑功能。编辑器具有很高权限，这是攻击者能够发起攻击的关键，编辑器允许执行高权限的API调用，例如：

启动计算工作负载；

FW (Firewall)规则修改；

创建SA密钥；

权限升级2022-06-16T12:21:17.624 UTC

这次攻击一开始是为了升级权限。如上所述，默认情况下，应用程序引擎的SA对项目具有编辑权限。凭借这些权限，攻击者试图通过将以下对象添加到IAM策略中来添加计算/管理功能：

正如我们所看到的，SA域前缀中的appspot表示该SA属于App Engine服务。

允许任何2022-06-16T12:21:29.406 UTC

接下来，攻击者修改了项目级别的FW规则。首先，攻击者试图创建一个子网（名为default）。然后，攻击者将以下规则添加到该子网中：

此操作进一步推进了攻击者挖掘加密货币的目标，为了实现无限制的加密货币挖掘，攻击者删除了对网络级别的任何限制。

注意优先级字段是很重要的。通过将其设置为零，攻击者的规则被设置为最高优先级，这意味着它将按照现有FW规则的顺序首先生效。

挖矿攻击2022-06-16T12:21:38.916 UTC

安装完成后，攻击的主要阶段就开始了，在多个区域启动虚拟机。

虽然攻击者可以创建高CPU设备，但在本示例中，攻击者反而创建了一个配备了四个高性能GPU(例如nvidia-tesla-p100)的标准虚拟机(例如n1-standard-2)：

总的来说，在这次攻击中创建了超过1600个虚拟机。

后门2022-06-16T13:25:56.037 UTC

攻击者假设用于攻击的SA密钥会被检测到并被删除，因此通过执行google.iam.admin.v1.CreateServiceAccountKey API调用创建了多个SA密钥供以后使用。

其他情况分析

就像我们讨论的第一个示例一样，IP是一个重要的IoC。在这种情况下，攻击是从多个IP（总共九个不同的IP）发起的，其中一些是活动的Tor出口节点。

同样，我们希望从云环境中的IP使用App Engine的SA，它绝对不应该从Tor出口节点使用。

修改防火墙规则是此类攻击中常用的技术，许多组织强制执行拒绝访问活动挖矿池的网络流量规则，因此攻击者必须修改防火墙规则来实现他们的目标。

最后，通过编辑名为default的网络，攻击者试图逃避检测。除非禁用此选项，否则默认情况下，将使用默认网络创建每个新项目。攻击者似乎试图利用这一点，从而避免创建自己的网络。

总结：窃取计算令牌是一个日益严重的威胁

窃取计算工作负载的令牌是上述两个攻击示例的共同点，虽然上述两个示例都涉及无服务器服务，但此攻击向量与所有计算服务都相关。

需要强调的是，这种类型的攻击可能来自不同的攻击路径，包括应用程序漏洞或零日漏洞(如Log4Shell)，而不仅仅来自错误配置或糟糕的云安全态势管理(CSPM)。

为了处理此类攻击，云审计日志对于检测和调查与响应(IR)都至关重要。对于无法安装代理的无服务器工作负载，云审计监控更为关键，因此更难阻止此类攻击。

AWS和Google Cloud提供的日志记录和监控最佳实践为如何防止此类情况提供了明确的指导。AWS GuardDuty服务还可以帮助检测和警告类似的攻击，例如从另一个AWS帐户使用的EC2示例凭据。另一种预防方法是为Lambda配置接口端点策略，限制Lambda仅在VPC内使用。

Palo Alto Networks的用户可以通过以下方式免受计算令牌盗窃

Cortex XDR for cloud，通过将来自云主机、云流量和审计日志的活动与端点和网络数据集成，为安全团队还原完整事件过程。

Prisma Cloud帮助组织管理身份授权，解决了在云环境中管理IAM的安全挑战。Prisma Cloud IAM安全功能自动计算跨云服务提供商的有效权限，检测过度许可的访问，并建议奖权限降到最低。

了解如何使用Unit 42云事件响应服务(用于调查和响应攻击)和网络风险管理服务(用于在攻击发生前评估你的安全态势)，从而保护组织免受云环境攻击。

2022年2月24日之前的重大网络事件时间表

在现代世界，发动任何类型的军事行动之前都必将出现大规模的网络攻击活动，这反过来可以通过监测潜在冲突地区新出现的网络攻击来预测冲突发展情况。例如，在2013年末和2014年1月，研究人员观察到Turla APT组织在乌克兰的活动高于正常水平，并且BlackEnergy APT攻击事件数量激增。同样，在2022年2月初，研究人员注意到与Gamaredon C&C服务器相关的活动量大幅飙升。这一活动达到了迄今为止从未见过的水平，这意味着为大规模的SIGINT(信号情报，通过拦截信号收集)收集工作正在进行。

如这些案例所示，在现代军事冲突之前的几天和几周内，网络战中会出现与情报收集和破坏性攻击有关的显著迹象和峰值。当然，我们应该注意到，相反的情况也是可能的：例如，从2016年6月开始，但最值得注意的是，自2016年9月一直到2016年12月，Turla组织将其基于卫星的C&C注册量提高了2015年平均值的十倍。这表明Turla组织异常活跃，这表明该组织前所未有地调动了资源。与此同时，据我们所知，没有发生随后的军事冲突。

如今的军事行动是在实地收集支持情报之后进行的；这包括SIGINT和ELINT等。重大军事行动(如2003年入侵伊拉克)还辅以旨在使敌人通信网络瘫痪的强大网络攻击，在2022年2月，研究人员注意到与Gamaredon C&C服务器相关的活动大幅增加，2013年底和2014年初，Turla和BlackEnergy的APT活动也出现了类似的激增。在军事冲突发生前的几天或几周内，网络战会出现明显的迹象和高峰。

在俄乌冲突冲突的第一天（2022年2月24日），乌克兰实体遭受了大规模的无差别雨刷攻击。这些攻击的主要目标可能是造成混乱和混乱，而不是实现精确的战术目标。相反，这一阶段所使用的工具在本质上也是多种多样的：

Ransomware (IsaacRansom)；

冒牌勒索软件(WhisperGate)；

雨刷(hermetwiper, CaddyWiper, DoubleZero, IsaacWiper)；

ICS/OT雨刷(AcidRain, industrroyer2)。

其中一些特别复杂。据我们所知，HermeticWiper仍然是野外发现的最先进的雨刷软件。industrroyer2是在一家乌克兰能源供应商的网络中发现的，如果攻击者无法访问与受害者使用的相同ICS设备，则不太可能开发它。也就是说，从软件工程的角度来看，这些工具中的许多都非常粗糙，似乎是匆忙开发出来的。

除了AcidRain（见下文）之外，我们认为这些不同的破坏性攻击都是随机的和不协调的——而且我们认为，在战争的宏伟计划中影响有限。

Viasat事件

2月24日俄乌冲突爆发时，覆盖乌克兰地区的美国卫星运营商Viasat遭遇网络攻击，导致数千乌克兰用户、数万名欧洲其他地区用户断网。经调查，攻击者利用错误配置的VPN设备入侵卫星网管理后台，向数万用户侧Modem下发破坏性指令，从而造成断网。KA-SAT卫星网络曾经被“乌克兰军方所频繁使用”。在被攻击期间，中欧及东欧地区的KA-SAT卫星服务均发生中断。这次通信服务中断也影响到了德国，导致负责控制约5800台风力涡轮机的调制解调器无法正常联网。此外，来自法国、意大利、匈牙利、希腊和波兰的客户也受到不同程序影响。5月10日，欧盟将这些恶意活动归咎于俄罗斯联邦。这是迄今为止与乌克兰冲突有关的最复杂的攻击之一。虽然破坏活动可能没有严重破坏乌克兰的防御，但它在战场之外产生了多重影响。刺激美国参议院要求在卫星网络安全问题上采取行动，加速SpaceX Starlink的部署。

ViaSat的攻击活动再次表明，网络攻击是现代武装冲突的基本组成部分，可能直接支持军事行动。在武装冲突期间，针对共同通信基础设施的网络攻击极有可能发生，因为交战方可能认为这些攻击具有双重用途。由于互联网的相互关联性，针对此类基础设施的网络攻击可能会对未卷入武装冲突的各方产生副作用。网络攻击引发了人们对商业卫星系统网络安全的担忧，这些系统可能支持从自拍地理定位到军事通信等各种应用。虽然军事力量经常讨论针对太空动能战斗的保护措施，而且更多的数据中心有望很快升空，但地面站管理系统和运营商似乎仍然高度暴露在常见的网络威胁之下。

专业勒索软件组织、黑客活动和DDoS攻击

一如既往，战争对信息格局有着非常具体的影响。在2022年尤其如此，因为人类已经掌握了有史以来最强大的信息传播工具：社交网络及其充分证明的放大效应。大多数真实世界中与战争有关的事件(小规模冲突、死亡人数、战俘证词)都在网上被放大。传统新闻媒体也受到更广泛的信息战背景的影响。

DDoS攻击和在较小程度上破坏随机网站一直被安全社区视为低复杂性和低影响的攻击。特别是DDoS攻击，需要产生大量的网络流量，攻击者通常无法维持很长一段时间。一旦攻击停止，目标网站就会恢复可用。除了电子商务网站暂时的收入损失，DDoS攻击或破坏提供的唯一价值是受害者的羞辱。由于非专业记者可能不知道各种类型的安全事件之间的区别，他们随后的报道造成了一种无能和安全不足的印象，可能会削弱用户的信心。网络攻击的不对称性质在支持大卫与歌利亚的形象方面发挥了关键作用，在网络领域的象征性胜利有助于说服地面部队，在现实战场上也可以取得类似的成就。

根据卡巴斯基DDoS防护公司的数据，自2022年初以来的11个月里，该服务注册的攻击次数比2021年全年多了1.65次。虽然这种增长可能不是很显著，但与2021年相比，这些资源受到攻击的时间更长。在2021年，平均攻击持续约28分钟，在2022年- 18.5小时，几乎是原来的40倍。最长的一次攻击在2021年持续了2天，2022年持续了28天(或2486505秒)。

2021与2022年卡巴斯基DDoS防护检测到的DDoS攻击总持续时间（秒），按周计算

自战争开始以来，一些有明显政治倾向的黑客组织已经出现，并开始开展一些活动。例如，臭名昭著的匿名组织组织了一场活动，将数十辆出租车同时叫到同一个地点，造成了莫斯科的交通堵塞。

卡巴斯基DDoS防护也反映了这一趋势。大规模DDoS攻击在一年中分布不均，春季和初夏是最激烈的时期。

2021与2022年卡巴斯基DDoS防护检测到的DDoS攻击数，按周计算

攻击者在2月至3月初达到高峰，这反映了黑客活动的增长，到了秋天，黑客活动已经停止。目前，我们看到了一个经常性的预期攻击动态，尽管它们的质量发生了变化。5月至6月，我们发现了极长时间的攻击。然而，现在它们的长度已经稳定下来，而典型的攻击过去只持续几分钟，现在则持续数小时。

2022年2月25日，臭名昭著的Conti勒索软件组织宣布他们“全力支持俄罗斯政府”。声明中有一句话:“如果有人决定对俄罗斯发动网络攻击或任何战争活动，我们将动用一切可能的资源，对敌人的关键基础设施进行反击。”该组织随后很快发布了另一条帖子，澄清了他们在冲突中的立场:“作为对西方战争贩子和美国对俄罗斯联邦公民使用网络战的威胁的回应，Conti团队正式宣布，如果西方战争贩子试图以俄罗斯或世界上任何俄语地区的关键基础设施为目标，我们将动用我们的全部能力采取报复措施。我们不与任何政府结盟，我们谴责正在进行的战争。然而，由于西方主要以平民为目标发动战争，如果美国的网络攻击将危及和平公民的福祉和安全，我们将利用我们的资源进行反击。”

两天后，一名乌克兰安全研究人员泄露了Conti组织成员之间的大量内部私人信息，涵盖了从2021年1月开始的一年多的活动。这对该组织造成了重大打击，他们看到自己的内部活动暴露在公众面前，包括与数百万美元赎金有关的比特币钱包地址。与此同时，另一个名为“comomingproject”的网络犯罪组织专门从事数据泄露，宣布如果他们看到针对俄罗斯的攻击，他们将支持俄罗斯政府：

其他组织，如Lockbit，更倾向于保持中立，声称他们是一个国际社会，包括俄罗斯人和乌克兰人，而且“一切都是生意”：

2月26日，乌克兰副总理兼数字转型部长米哈伊洛·费多罗夫(Mykhailo Fedorov)宣布创建一个Telegram频道，以“继续在网络战线上战斗”。最初的Telegram频道名称（itarmyourraine）有一个拼写错误，因此创建了第二个。

乌克兰的Telegram频道

信道运营商不断地给用户分配任务，例如DDoS攻击各种商业公司、银行或政府网站：

乌克兰IT部门发布的DDoS目标列表

据报道，在很短的时间内，由志愿者组成的“乌克兰IT军”(通过Twitter和Telegram进行协调)对800多个网站进行了破坏或DDOS攻击，包括莫斯科证券交易所等知名机构。

其他组织也观察到了类似的活动，随着冲突蔓延到邻国，它们已经站队。例如，白俄罗斯网络游击队声称，他们将白俄罗斯铁路改为手动控制，从而扰乱了铁路的运营。目标是减缓俄罗斯军队在该国的行动。

白俄罗斯网络游击队的帖子

一些表达了他们对乌克兰冲突看法的勒索软件或黑客组织的有限且迄今为止并不详尽的列表包括：

在公开支持俄罗斯的组织中，最初作为对“乌克兰IT军”的回应而成立的Killnet可能是最活跃的。4月下旬，他们攻击了罗马尼亚政府网站，以回应罗马尼亚众议院议长马塞尔·西奥拉库（Marcel Ciolacu）在向乌克兰当局承诺“最大限度的援助”后发表的声明。5月15日，Killnet在其telegram频道上发布了一段视频，向十个国家宣战：美国、英国、德国、意大利、拉脱维亚、罗马尼亚、立陶宛、爱沙尼亚、波兰和乌克兰。在这些活动之后，被称为“匿名者”的国际黑客团体于5月23日宣布对Killnet发动网络战。

Killnet在2022年继续其活动，此前他们在Telegram频道上发布了一则声明。10月，该组织开始攻击日本的某些组织，后来由于缺乏资金，他们停止了攻击。后来，它攻击了一个美国机场、政府网站和企业，但往往没有取得重大成功。11月23日，Killnet短暂关闭了欧盟的网站。Killnet还多次针对拉脱维亚、立陶宛、挪威、意大利和爱沙尼亚的网站。虽然Killnet的方法并不复杂，但它们不断成为头条新闻，并引起人们对该组织活动和立场的关注。

俄乌冲突为各方新的网络软件活动创造了温床，其中包括网络犯罪分子和黑客，他们争相支持自己最喜欢的一方；

我们可以预见，从现在起，黑客组织将卷入所有重大的地缘政治冲突；

网络软件活动正在蔓延到邻国，并影响到大量机构，包括政府机构和私营公司；

乌克兰IT军(IT Army of Ukraine)等组织得到了政府的正式支持，他们的Telegram频道拥有数十万订阅者；

大多数时候，这些组织实施的攻击对冲突的影响非常有限。

黑客攻击和隐私泄漏

在试图劫持媒体注意力的更为复杂的攻击方面，自冲突开始以来，黑客和泄密活动一直在增加。这个过程很简单，攻击一个组织，并在网上发布其内部数据。从理论上讲，这些数据泄露是可以操纵的。攻击者有足够的时间编辑任何已发布的文件，或者干脆注入完全伪造的文件。需要注意的是，攻击者完全没有必要为了数据泄漏造成破坏而花费如此长的时间。这些数据的公开本身就证明发生了严重的安全事件，而合法的原始内容可能已经包含了犯罪信息。

在我们对2023年APT的预测中，我们预测黑客和泄密行动明年将会增加；

信息战不仅针对各参与方，而是针对所有组织的。我们预计，绝大多数此类攻击不会针对交战双方，而是针对那些被认为过于支持(或不够支持)任何一方的组织；

无论是黑客攻击还是DDoS攻击，网络攻击都是国家之间发出攻击信号的一种手段；

开源软件武器化

开源软件有很多好处。首先，它通常是免费使用的，这意味着企业和个人可以节省软件成本。然而，由于任何人都可以对代码做出贡献并进行改进，这也可能被滥用，进而打开安全陷阱门。另一方面，由于代码可以公开检查任何潜在的安全漏洞，这也意味着只要有足够的审查，使用开源软件的风险可以降低到合适的水平。

早在3月，流行的npm包“node ipc”的开发者RIAEvangelist发布了该软件的修改版本，如果运行的系统具有俄罗斯或白俄罗斯的IP地址，则该软件包含特殊功能。在这样的系统上，代码将用一个心形表情符号覆盖所有文件，另外部署来自同一开发人员创建的另一个模块的消息with - love - from - america .txt。node-ipc包在全球拥有超过80万用户。与开源软件通常的情况一样，部署这些修改过的“node-ipc”版本的效果并不仅限于直接用户，其他开源软件包，例如“Vue.js”，自动包含最新的node-ipc版本，放大了效果。

旨在俄罗斯市场传播的软件包并不总是会导致文件被破坏，其中一些包含隐藏功能，例如在软件网站的某个部分添加乌克兰国旗或支持该国的政治声明。在某些情况下，该软件包的功能被删除，并被政治通知所取代。值得注意的是，并不是所有的包都隐藏了这个功能，一些开发者在软件包描述中宣布了这个功能。

其中一个项目鼓励传播一个文件，该文件一旦打开，就会开始通过JavaScript访问注册服务器的各个页面，从而使网站过载。

GitHub上发现的其他存储库和软件模块包括专门为DDoS俄罗斯政府、银行和媒体网站创建的存储库，专门用于收集俄罗斯基础设施和活动数据的网络扫描仪。

随着冲突的持续，流行的开源软件包可以被开发人员或黑客用作抗议或攻击平台；

这种攻击的影响可以进一步扩展到开源软件本身，传播到其他自动依赖木马代码的软件包；

市场撕裂

在过去的几年中，尤其是2014年之后，这一过程开始扩展到IT安全领域，国家通过法律禁止彼此的产品、服务和公司。自2022年2月俄乌冲突爆发以来，我们看到许多西方公司退出俄罗斯市场，让他们的用户在获得安全更新或支持方面陷入困境。与此同时，一些西方国家推动法律禁止使用俄罗斯软件和服务，因为这些软件和服务有被用于发动攻击的潜在风险。显然，不能完全排除政治压力将一些小市场主体的产品、技术和服务武器化的可能性。然而，当涉及到全球市场领导者和受人尊敬的供应商时，我们认为这是极不可能的。

另一方面，寻找替代解决方案可能是极其复杂的。我们经常发现，来自本地供应商的产品的安全开发文化通常明显不如全球领先企业，它们很可能存在显而易见安全错误和零日漏洞，使它们很容易成为网络犯罪分子和黑客活动分子的猎物。

网络攻击对战争结果的影响

地缘政治正在发挥重要作用，分裂的进程可能会扩大；

当供应商终止对产品的支持或退出市场时，安全更新可能是首要问题；

用本地产品取代成熟的全球领导者，可能会为利用零日漏洞的网络犯罪分子打开大门；

网络战争会爆发吗？

自俄乌冲突开始以来，网络安全界一直在争论乌克兰发生的事情是否属于“网络战争”。一个不争的事实是，冲突爆发时确实发生了重大网络活动。

另一方面，许多观察家认为，在发生冲突的情况下，先发制人的网络攻击会让自己占据主动。但事实上，除了Viasat事件（其实际影响仍难以评估）之外，这一事件根本没有发生。这场冲突反而揭示了网络力量和实际战场之间缺乏协调，并在许多方面将网络攻击降格为从属角色。在冲突的最初几周观察到勒索软件攻击，充其量只能算是干扰。后来，当今年11月冲突升级，乌克兰基础设施（尤其是能源网络）明确成为目标后，很明显，俄罗斯军方选择的工具是导弹，而不是网络攻击。

如果你认同网络战争的定义，即通过网络手段支持的任何动态冲突，无论其战术或战略价值如何，那么2022年2月确实发生了一场网络战争。

网络攻击对战争结果的影响远没有想象的那么大，事实证明，对计算机的物理破坏似乎更容易、更便宜、更可靠。我们认为，网络攻击在战争背景下的效果以前被我们大大高估了。

总结

俄乌冲突将对整个网络安全行业和环境产生持久影响。无论“网络战争”一词是否适用，不可否认的是，当一个大国卷入战争时，冲突将永远改变每个人对战时网络活动的期望。

在战争爆发之前，几个正在进行的多方进程(联合国OEWG和GGE)试图就网络空间中可接受和负责任的行为达成共识。鉴于全球目前所经历的极端地缘政治紧张局势，这些本已艰难的讨论能否在不久的将来取得成果令人怀疑。

2022年2月24日之前的重大网络事件时间表

在现代世界，发动任何类型的军事行动之前都必将出现大规模的网络攻击活动，这反过来可以通过监测潜在冲突地区新出现的网络攻击来预测冲突发展情况。例如，在2013年末和2014年1月，研究人员观察到Turla APT组织在乌克兰的活动高于正常水平，并且BlackEnergy APT攻击事件数量激增。同样，在2022年2月初，研究人员注意到与Gamaredon C&C服务器相关的活动量大幅飙升。这一活动达到了迄今为止从未见过的水平，这意味着为大规模的SIGINT(信号情报，通过拦截信号收集)收集工作正在进行。

如这些案例所示，在现代军事冲突之前的几天和几周内，网络战中会出现与情报收集和破坏性攻击有关的显著迹象和峰值。当然，我们应该注意到，相反的情况也是可能的：例如，从2016年6月开始，但最值得注意的是，自2016年9月一直到2016年12月，Turla组织将其基于卫星的C&C注册量提高了2015年平均值的十倍。这表明Turla组织异常活跃，这表明该组织前所未有地调动了资源。与此同时，据我们所知，没有发生随后的军事冲突。

如今的军事行动是在实地收集支持情报之后进行的；这包括SIGINT和ELINT等。重大军事行动(如2003年入侵伊拉克)还辅以旨在使敌人通信网络瘫痪的强大网络攻击，在2022年2月，研究人员注意到与Gamaredon C&C服务器相关的活动大幅增加，2013年底和2014年初，Turla和BlackEnergy的APT活动也出现了类似的激增。在军事冲突发生前的几天或几周内，网络战会出现明显的迹象和高峰。

在俄乌冲突冲突的第一天（2022年2月24日），乌克兰实体遭受了大规模的无差别雨刷攻击。这些攻击的主要目标可能是造成混乱和混乱，而不是实现精确的战术目标。相反，这一阶段所使用的工具在本质上也是多种多样的：

Ransomware (IsaacRansom)；

冒牌勒索软件(WhisperGate)；

雨刷(hermetwiper, CaddyWiper, DoubleZero, IsaacWiper)；

ICS/OT雨刷(AcidRain, industrroyer2)。

其中一些特别复杂。据我们所知，HermeticWiper仍然是野外发现的最先进的雨刷软件。industrroyer2是在一家乌克兰能源供应商的网络中发现的，如果攻击者无法访问与受害者使用的相同ICS设备，则不太可能开发它。也就是说，从软件工程的角度来看，这些工具中的许多都非常粗糙，似乎是匆忙开发出来的。

除了AcidRain（见下文）之外，我们认为这些不同的破坏性攻击都是随机的和不协调的——而且我们认为，在战争的宏伟计划中影响有限。

Viasat事件

2月24日俄乌冲突爆发时，覆盖乌克兰地区的美国卫星运营商Viasat遭遇网络攻击，导致数千乌克兰用户、数万名欧洲其他地区用户断网。经调查，攻击者利用错误配置的VPN设备入侵卫星网管理后台，向数万用户侧Modem下发破坏性指令，从而造成断网。KA-SAT卫星网络曾经被“乌克兰军方所频繁使用”。在被攻击期间，中欧及东欧地区的KA-SAT卫星服务均发生中断。这次通信服务中断也影响到了德国，导致负责控制约5800台风力涡轮机的调制解调器无法正常联网。此外，来自法国、意大利、匈牙利、希腊和波兰的客户也受到不同程序影响。5月10日，欧盟将这些恶意活动归咎于俄罗斯联邦。这是迄今为止与乌克兰冲突有关的最复杂的攻击之一。虽然破坏活动可能没有严重破坏乌克兰的防御，但它在战场之外产生了多重影响。刺激美国参议院要求在卫星网络安全问题上采取行动，加速SpaceX Starlink的部署。

ViaSat的攻击活动再次表明，网络攻击是现代武装冲突的基本组成部分，可能直接支持军事行动。在武装冲突期间，针对共同通信基础设施的网络攻击极有可能发生，因为交战方可能认为这些攻击具有双重用途。由于互联网的相互关联性，针对此类基础设施的网络攻击可能会对未卷入武装冲突的各方产生副作用。网络攻击引发了人们对商业卫星系统网络安全的担忧，这些系统可能支持从自拍地理定位到军事通信等各种应用。虽然军事力量经常讨论针对太空动能战斗的保护措施，而且更多的数据中心有望很快升空，但地面站管理系统和运营商似乎仍然高度暴露在常见的网络威胁之下。

专业勒索软件组织、黑客活动和DDoS攻击

一如既往，战争对信息格局有着非常具体的影响。在2022年尤其如此，因为人类已经掌握了有史以来最强大的信息传播工具：社交网络及其充分证明的放大效应。大多数真实世界中与战争有关的事件(小规模冲突、死亡人数、战俘证词)都在网上被放大。传统新闻媒体也受到更广泛的信息战背景的影响。

DDoS攻击和在较小程度上破坏随机网站一直被安全社区视为低复杂性和低影响的攻击。特别是DDoS攻击，需要产生大量的网络流量，攻击者通常无法维持很长一段时间。一旦攻击停止，目标网站就会恢复可用。除了电子商务网站暂时的收入损失，DDoS攻击或破坏提供的唯一价值是受害者的羞辱。由于非专业记者可能不知道各种类型的安全事件之间的区别，他们随后的报道造成了一种无能和安全不足的印象，可能会削弱用户的信心。网络攻击的不对称性质在支持大卫与歌利亚的形象方面发挥了关键作用，在网络领域的象征性胜利有助于说服地面部队，在现实战场上也可以取得类似的成就。

根据卡巴斯基DDoS防护公司的数据，自2022年初以来的11个月里，该服务注册的攻击次数比2021年全年多了1.65次。虽然这种增长可能不是很显著，但与2021年相比，这些资源受到攻击的时间更长。在2021年，平均攻击持续约28分钟，在2022年- 18.5小时，几乎是原来的40倍。最长的一次攻击在2021年持续了2天，2022年持续了28天(或2486505秒)。

2021与2022年卡巴斯基DDoS防护检测到的DDoS攻击总持续时间（秒），按周计算

自战争开始以来，一些有明显政治倾向的黑客组织已经出现，并开始开展一些活动。例如，臭名昭著的匿名组织组织了一场活动，将数十辆出租车同时叫到同一个地点，造成了莫斯科的交通堵塞。

卡巴斯基DDoS防护也反映了这一趋势。大规模DDoS攻击在一年中分布不均，春季和初夏是最激烈的时期。

2021与2022年卡巴斯基DDoS防护检测到的DDoS攻击数，按周计算

攻击者在2月至3月初达到高峰，这反映了黑客活动的增长，到了秋天，黑客活动已经停止。目前，我们看到了一个经常性的预期攻击动态，尽管它们的质量发生了变化。5月至6月，我们发现了极长时间的攻击。然而，现在它们的长度已经稳定下来，而典型的攻击过去只持续几分钟，现在则持续数小时。

2022年2月25日，臭名昭著的Conti勒索软件组织宣布他们“全力支持俄罗斯政府”。声明中有一句话:“如果有人决定对俄罗斯发动网络攻击或任何战争活动，我们将动用一切可能的资源，对敌人的关键基础设施进行反击。”该组织随后很快发布了另一条帖子，澄清了他们在冲突中的立场:“作为对西方战争贩子和美国对俄罗斯联邦公民使用网络战的威胁的回应，Conti团队正式宣布，如果西方战争贩子试图以俄罗斯或世界上任何俄语地区的关键基础设施为目标，我们将动用我们的全部能力采取报复措施。我们不与任何政府结盟，我们谴责正在进行的战争。然而，由于西方主要以平民为目标发动战争，如果美国的网络攻击将危及和平公民的福祉和安全，我们将利用我们的资源进行反击。”

两天后，一名乌克兰安全研究人员泄露了Conti组织成员之间的大量内部私人信息，涵盖了从2021年1月开始的一年多的活动。这对该组织造成了重大打击，他们看到自己的内部活动暴露在公众面前，包括与数百万美元赎金有关的比特币钱包地址。与此同时，另一个名为“comomingproject”的网络犯罪组织专门从事数据泄露，宣布如果他们看到针对俄罗斯的攻击，他们将支持俄罗斯政府：

其他组织，如Lockbit，更倾向于保持中立，声称他们是一个国际社会，包括俄罗斯人和乌克兰人，而且“一切都是生意”：

2月26日，乌克兰副总理兼数字转型部长米哈伊洛·费多罗夫(Mykhailo Fedorov)宣布创建一个Telegram频道，以“继续在网络战线上战斗”。最初的Telegram频道名称（itarmyourraine）有一个拼写错误，因此创建了第二个。

乌克兰的Telegram频道

信道运营商不断地给用户分配任务，例如DDoS攻击各种商业公司、银行或政府网站：

乌克兰IT部门发布的DDoS目标列表

据报道，在很短的时间内，由志愿者组成的“乌克兰IT军”(通过Twitter和Telegram进行协调)对800多个网站进行了破坏或DDOS攻击，包括莫斯科证券交易所等知名机构。

其他组织也观察到了类似的活动，随着冲突蔓延到邻国，它们已经站队。例如，白俄罗斯网络游击队声称，他们将白俄罗斯铁路改为手动控制，从而扰乱了铁路的运营。目标是减缓俄罗斯军队在该国的行动。

白俄罗斯网络游击队的帖子

一些表达了他们对乌克兰冲突看法的勒索软件或黑客组织的有限且迄今为止并不详尽的列表包括：

在公开支持俄罗斯的组织中，最初作为对“乌克兰IT军”的回应而成立的Killnet可能是最活跃的。4月下旬，他们攻击了罗马尼亚政府网站，以回应罗马尼亚众议院议长马塞尔·西奥拉库（Marcel Ciolacu）在向乌克兰当局承诺“最大限度的援助”后发表的声明。5月15日，Killnet在其telegram频道上发布了一段视频，向十个国家宣战：美国、英国、德国、意大利、拉脱维亚、罗马尼亚、立陶宛、爱沙尼亚、波兰和乌克兰。在这些活动之后，被称为“匿名者”的国际黑客团体于5月23日宣布对Killnet发动网络战。

Killnet在2022年继续其活动，此前他们在Telegram频道上发布了一则声明。10月，该组织开始攻击日本的某些组织，后来由于缺乏资金，他们停止了攻击。后来，它攻击了一个美国机场、政府网站和企业，但往往没有取得重大成功。11月23日，Killnet短暂关闭了欧盟的网站。Killnet还多次针对拉脱维亚、立陶宛、挪威、意大利和爱沙尼亚的网站。虽然Killnet的方法并不复杂，但它们不断成为头条新闻，并引起人们对该组织活动和立场的关注。

俄乌冲突为各方新的网络软件活动创造了温床，其中包括网络犯罪分子和黑客，他们争相支持自己最喜欢的一方；

我们可以预见，从现在起，黑客组织将卷入所有重大的地缘政治冲突；

网络软件活动正在蔓延到邻国，并影响到大量机构，包括政府机构和私营公司；

乌克兰IT军(IT Army of Ukraine)等组织得到了政府的正式支持，他们的Telegram频道拥有数十万订阅者；

大多数时候，这些组织实施的攻击对冲突的影响非常有限。

黑客攻击和隐私泄漏

在试图劫持媒体注意力的更为复杂的攻击方面，自冲突开始以来，黑客和泄密活动一直在增加。这个过程很简单，攻击一个组织，并在网上发布其内部数据。从理论上讲，这些数据泄露是可以操纵的。攻击者有足够的时间编辑任何已发布的文件，或者干脆注入完全伪造的文件。需要注意的是，攻击者完全没有必要为了数据泄漏造成破坏而花费如此长的时间。这些数据的公开本身就证明发生了严重的安全事件，而合法的原始内容可能已经包含了犯罪信息。

在我们对2023年APT的预测中，我们预测黑客和泄密行动明年将会增加；

信息战不仅针对各参与方，而是针对所有组织的。我们预计，绝大多数此类攻击不会针对交战双方，而是针对那些被认为过于支持(或不够支持)任何一方的组织；

无论是黑客攻击还是DDoS攻击，网络攻击都是国家之间发出攻击信号的一种手段；

开源软件武器化

开源软件有很多好处。首先，它通常是免费使用的，这意味着企业和个人可以节省软件成本。然而，由于任何人都可以对代码做出贡献并进行改进，这也可能被滥用，进而打开安全陷阱门。另一方面，由于代码可以公开检查任何潜在的安全漏洞，这也意味着只要有足够的审查，使用开源软件的风险可以降低到合适的水平。

早在3月，流行的npm包“node ipc”的开发者RIAEvangelist发布了该软件的修改版本，如果运行的系统具有俄罗斯或白俄罗斯的IP地址，则该软件包含特殊功能。在这样的系统上，代码将用一个心形表情符号覆盖所有文件，另外部署来自同一开发人员创建的另一个模块的消息with - love - from - america .txt。node-ipc包在全球拥有超过80万用户。与开源软件通常的情况一样，部署这些修改过的“node-ipc”版本的效果并不仅限于直接用户，其他开源软件包，例如“Vue.js”，自动包含最新的node-ipc版本，放大了效果。

旨在俄罗斯市场传播的软件包并不总是会导致文件被破坏，其中一些包含隐藏功能，例如在软件网站的某个部分添加乌克兰国旗或支持该国的政治声明。在某些情况下，该软件包的功能被删除，并被政治通知所取代。值得注意的是，并不是所有的包都隐藏了这个功能，一些开发者在软件包描述中宣布了这个功能。

其中一个项目鼓励传播一个文件，该文件一旦打开，就会开始通过JavaScript访问注册服务器的各个页面，从而使网站过载。

GitHub上发现的其他存储库和软件模块包括专门为DDoS俄罗斯政府、银行和媒体网站创建的存储库，专门用于收集俄罗斯基础设施和活动数据的网络扫描仪。

随着冲突的持续，流行的开源软件包可以被开发人员或黑客用作抗议或攻击平台；

这种攻击的影响可以进一步扩展到开源软件本身，传播到其他自动依赖木马代码的软件包；

市场撕裂

在过去的几年中，尤其是2014年之后，这一过程开始扩展到IT安全领域，国家通过法律禁止彼此的产品、服务和公司。自2022年2月俄乌冲突爆发以来，我们看到许多西方公司退出俄罗斯市场，让他们的用户在获得安全更新或支持方面陷入困境。与此同时，一些西方国家推动法律禁止使用俄罗斯软件和服务，因为这些软件和服务有被用于发动攻击的潜在风险。显然，不能完全排除政治压力将一些小市场主体的产品、技术和服务武器化的可能性。然而，当涉及到全球市场领导者和受人尊敬的供应商时，我们认为这是极不可能的。

另一方面，寻找替代解决方案可能是极其复杂的。我们经常发现，来自本地供应商的产品的安全开发文化通常明显不如全球领先企业，它们很可能存在显而易见安全错误和零日漏洞，使它们很容易成为网络犯罪分子和黑客活动分子的猎物。

网络攻击对战争结果的影响

地缘政治正在发挥重要作用，分裂的进程可能会扩大；

当供应商终止对产品的支持或退出市场时，安全更新可能是首要问题；

用本地产品取代成熟的全球领导者，可能会为利用零日漏洞的网络犯罪分子打开大门；

网络战争会爆发吗？

自俄乌冲突开始以来，网络安全界一直在争论乌克兰发生的事情是否属于“网络战争”。一个不争的事实是，冲突爆发时确实发生了重大网络活动。

另一方面，许多观察家认为，在发生冲突的情况下，先发制人的网络攻击会让自己占据主动。但事实上，除了Viasat事件（其实际影响仍难以评估）之外，这一事件根本没有发生。这场冲突反而揭示了网络力量和实际战场之间缺乏协调，并在许多方面将网络攻击降格为从属角色。在冲突的最初几周观察到勒索软件攻击，充其量只能算是干扰。后来，当今年11月冲突升级，乌克兰基础设施（尤其是能源网络）明确成为目标后，很明显，俄罗斯军方选择的工具是导弹，而不是网络攻击。

如果你认同网络战争的定义，即通过网络手段支持的任何动态冲突，无论其战术或战略价值如何，那么2022年2月确实发生了一场网络战争。

网络攻击对战争结果的影响远没有想象的那么大，事实证明，对计算机的物理破坏似乎更容易、更便宜、更可靠。我们认为，网络攻击在战争背景下的效果以前被我们大大高估了。

总结

俄乌冲突将对整个网络安全行业和环境产生持久影响。无论“网络战争”一词是否适用，不可否认的是，当一个大国卷入战争时，冲突将永远改变每个人对战时网络活动的期望。

在战争爆发之前，几个正在进行的多方进程(联合国OEWG和GGE)试图就网络空间中可接受和负责任的行为达成共识。鉴于全球目前所经历的极端地缘政治紧张局势，这些本已艰难的讨论能否在不久的将来取得成果令人怀疑。