惡意軟件繞過終端防護的六種方式
作者:星期五, 六月 14, 20190

終端防護措施被突破而造成的數據泄露事件數量持續上升。攻擊者為何能夠屢屢得手?

波耐蒙研究所《2018 終端安全風險狀態》報告顯示:63%的 IT 安全人員認為過去一年中攻擊頻率有所上升;52%的受訪者稱不能切實阻止所有攻擊。他們的反病毒解決方案只能阻擋43%的攻擊。64%的受訪者稱,自家公司至少經歷過一次造成數據泄露的終端攻擊。

該報告基于對660名IT安全人員的問卷調查,結果顯示大多數受訪者 (70%) 稱自家公司面臨的新威脅和未知威脅增加了,防線被突破所造成的平均損失也從500萬美元上升到了710萬美元。

但是幾乎每一臺計算機都設置了某種形式的防護措施。為什么攻擊者仍能滲入呢?下面就為大家列出攻擊者用于繞過終端防護措施的主要方法。

1. 基于腳本的攻擊

基于腳本的攻擊也可稱為 “無文件” 攻擊,其中的惡意軟件其實就是在已有合法應用中執行的腳本,可以利用 PowerShell 或其他已經安裝的 Windows 組件。因為沒有新軟件被安裝到系統里,所以很多傳統防御都能夠被繞過。

波耐蒙的研究顯示,此類攻擊十分容易造成數據泄露,且占比逐年上升,2017年占所有攻擊類型的30%,去年該占比上升至35%。這種攻擊幾乎不留痕跡,沒有可供殺毒軟件掃描的實體惡意二進制文件。

或許會有一些網絡流量能夠被安全系統捕獲。但攻擊者也可以加密這些通信,并使用可信通信路由來悄悄滲漏數據。

今年早些時候發布的賽門鐵克《互聯網安全威脅報告》指出,過去一年中,惡意 PowerShell 腳本使用率增長了1000%。攻擊者可以通過執行人類無法直接讀取的指令來使用 PowerShell,比如 base64 編碼的指令。PowerShell 如今應用廣泛,因而對攻擊者而言幾乎可稱得上是隨處可得的趁手利用工具。

捕捉此類攻擊的關鍵在于尋找常見應用執行不常見操作的實例。舉個例子,如果你記錄下環境中執行的最后1,000條指令,那你要尋找的可能是出現了不到五次的那種。這么做往往都能翻出那些不正常的指令——通常也就是惡意指令。

2. 在流行基礎設施上托管惡意站點

很多安全平臺通過阻止用戶點擊惡意鏈接來抵御網絡釣魚攻擊。比如說,安全平臺可能會檢查特定IP地址是否與其他惡意軟件攻擊活動相關聯。但如果攻擊者將惡意站點托管在 Azure 或谷歌云之類的東西上,那么這些惡意站點也就隨其所在基礎設施的廣泛應用而不能被加入黑名單。

惡意軟件只要成功進駐目標系統,往往會回連命令與控制 (C&C) 服務器,從這些服務器上獲取指示下一步動作的指令,或者利用 C&C 服務器滲漏數據。如果 C&C 服務器托管在合法平臺上,該通信信道也就能成功偽裝了。

而且,這些服務往往有內置的加密功能。甚至在線照片共享網站都能被用作攻擊的一部分。攻擊者創建社交媒體賬戶,上傳含有隱藏代碼或指令的照片。惡意軟件可內置訪問該賬戶的預設操作,查看最近照片,從中抽取隱藏指令,然后執行這些指令。

在 IT 部門和企業安全團隊看來,所有跡象都只顯示出有員工在瀏覽社交媒體而已。通過這種方式悄悄執行的惡意操作很難被捕捉到。甚至最新一代的終端防護技術都對攻擊者模仿正常用戶行為的操作束手無策。

為抵御此類攻擊,防御者需查找在非正常時段發生的 “正常” 通信,或者某應用被通常用不到它的部門使用的實例。

利用隱寫術將指令隱藏到照片中的技術也能被用于在圖片附件中隱藏指令。今年 5 月,ESET 發布了一份關于 Turla LightNeuron 微軟 Exchange 郵件服務器后門的報告,指出 LightNeuron 利用電子郵件與其 C&C 服務器通信,并將往來消息隱藏在圖片附件中,比如 PDF 或 JPG。

3. 中毒合法應用及實用程序

每家企業都有很多第三方應用、工具和實用程序為員工所用。如果攻擊者黑掉開發這些工具的公司,滲透進升級功能中,或者潛入開源項目的代碼庫里,他們就可以植入后門和其他惡意代碼。舉個例子,流行系統清理工具 Cleaner 就曾被植入了后門。

賽門鐵克《互聯網安全威脅報告》中寫道:針對軟件供應鏈的攻擊在2018年上升了78%。

開源代碼尤其脆弱。首先,攻擊者可以貢獻合法漏洞修復或有用軟件改進,在合法代碼中隱藏惡意代碼,用合法代碼瞞過審查過程。

只要審查過程不檢查貢獻的全部功能,該貢獻就能成為軟件未來發布的一部分。更重要的是,還有可能成為商業軟件包組件分支的一部分。

為防止此類事情發生,企業和軟件開發人員必須仔細檢查軟件中的開源代碼,將該代碼映射回其確切源頭,以便一旦出問題就能快速清除或修復。

4. 沙箱逃逸

下一代終端防護平臺的一個常見功能就是沙箱——在安全虛擬環境中觸發未知惡意軟件。在惡意軟件頻繁變身以躲過特征碼檢測的時代,這種技術對防御者而言非常有用。

但這種防護如今也很容易被黑客繞開。黑客可以將惡意軟件編寫成只在沙箱外才激活惡意行為。比如說,只在與真人互動時才會激活,或者在滿足其他條件時才觸發惡意行為。

延時是最常見的手法。惡意軟件可能等待數小時、數天,乃至數周才激活,在攻擊載荷被觸發之前盡可能廣泛地感染網絡。又或者,惡意軟件可以直接檢查自身是否運行在虛擬機環境中。比如說,思科塔羅斯團隊5月報告中就指出,最新版本的 JasperLoader 惡意軟件會查詢 Windows 管理規范 (WMI) 子系統以找出自身運行環境,如果是在 VirtualBox、VMware 或 KVM 環境中,就會終止執行。

5. 未修復的漏洞

美國國家安全局 (NSA) 開發的 “永恒之藍” 安全工具在 2017 年 7 月被泄露到了網上。自此,永恒之藍被用到了多起重大網絡攻擊中,包括針對英國醫療系統的攻擊,聯邦快遞所遭 4 億美元的攻擊,默克公司 6.7 億美元攻擊等等——盡管微軟已經快速發布了補丁。

直到最近還陸續有永恒之藍的受害者出現。巴爾地摩市遭受的勒索軟件攻擊據稱就用到了永恒之藍漏洞。且巴爾地摩還不是個案。安全公司 ESET 報告稱,自 2017 年起,涉永恒之藍的攻擊數量一直在上升,在今年春天達到了歷史峰值。全球超過100萬臺主機仍在使用存在漏洞的過時 SMBv1 協議,其中有40萬臺都在美國。

波耐蒙研究所表示,65%的公司企業認為保持更新很難或極端困難。

6. 拿下安全代理

今年 4 月,Absolute Security 發布了其針對全球600 萬臺設備為期一年的研究報告《2019終端安全趨勢》。報告顯示,每臺設備上平均裝有十個安全代理。終端防護措施不可謂不豐富了。但數量并不能保證有效性。首先,代理之間互有重疊,還會相互抵觸和干擾。隨時都有7%的終端缺乏防護,21%的終端裝有過時的系統。

即便安裝了終端防護安全,且防護有效,保持更新,一旦攻擊者建立了立足點,比如通過利用永恒之藍漏洞,他們也有很多種方法可以關閉終端防護服務。運用 PowerShell 之類已有合法應用就是方法之一。

攻擊者還可以針對終端安全代理發起拒絕服務攻擊,讓代理過載而無法繼續提供防護功能,或者利用未能恰當配置的安全代理。然后,攻擊者就可以修改注冊表以提升權限,在安全代理恢復時凌駕于終端防護服務之上。

抵御此類攻擊的方法是通過持續修復來打造更嚴格的權限層級。

上述方法都比較復雜,通常出現在民族國家攻擊者發起的攻擊中。

不過,這都是老黃歷了,如今能運用此類方法的攻擊者已經不局限于黑客國家隊,網絡犯罪團伙甚至普通黑客也能用。

暗網上就提供有打包出售的攻擊,不需要具備太多黑客技術就能使用。這不僅僅增大了公司企業需抵御的復雜攻擊數量,也讓執法機構更難以介入。能被抓到的都是高端黑客工具的下游普通用戶,真正打包銷售這些工具的人卻隱身暗網背后。

波耐蒙研究所《2018終端安全風險狀態》報告:

https://cdn2.hubspot.net/hubfs/468115/whitepapers/state-of-endpoint-security-2018.pdf

賽門鐵克《互聯網安全威脅報告》:

https://www.symantec.com/security-center/threat-report

ESET 關于 Turla LightNeuron 后門的報告:

https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf

思科塔羅斯團隊5月發布的 JasperLoader 報告:

https://blog.talosintelligence.com/2019/05/sorpresa-jasperloader.html

Absolute Security《2019終端安全趨勢》研究報告:

https://www.absolute.com/en-gb/go/study/2019-endpoint-security-trends

相關閱讀

高級終端防護的七大趨勢

Gartner報告:十大頂級終端安全提供商

必看:賽門鐵克年度報告八大威脅態勢

 

 

 

 


相關文章

寫一條評論

 

 

0條評論