CISO們擁有一系列不斷改進(jìn)的工具來(lái)幫助發(fā)現(xiàn)和阻止惡意活動(dòng):包括網(wǎng)絡(luò)監(jiān)控工具�、病毒掃描程序、軟件成分分析(SCA)工具����、數(shù)字取證和事件響應(yīng)(DFIR)解決方案等等。
不過(guò)��,網(wǎng)絡(luò)安全是一場(chǎng)持續(xù)不斷的攻防戰(zhàn)���,攻擊者會(huì)繼續(xù)發(fā)起新的挑戰(zhàn)���。
較老的技術(shù),如隱寫術(shù)——將包括惡意有效載荷在內(nèi)的信息隱藏在其他良性文件(如圖像)中的技術(shù)——也正在發(fā)展�,帶來(lái)了新的可能性。例如���,最近一名研究人員證明�����,即使是推特也不能幸免于隱寫術(shù)����,因?yàn)槠脚_(tái)上的圖像可能被濫用來(lái)打包其中高達(dá)3MB的ZIP檔案。
然而���,在我自己的研究中����,我注意到除了使用混淆�、隱寫術(shù)和惡意軟件打包技術(shù)之外,今天的威脅參與者也經(jīng)常利用合法服務(wù)����、平臺(tái)、協(xié)議和工具來(lái)進(jìn)行他們的活動(dòng)�����。這讓它們能夠與正常的流量或活動(dòng)混合在一起����,在人類分析師和機(jī)器看來(lái)�,這些流量或活動(dòng)可能是“干凈”的。
以下是網(wǎng)絡(luò)犯罪分子當(dāng)前用來(lái)掩蓋蹤跡的六種方式����。
濫用不會(huì)引發(fā)警報(bào)的可信平臺(tái)
這是安全專業(yè)人士在2020年就看到的一個(gè)常見(jiàn)現(xiàn)象�����,并已蔓延到了今年����。
從滲透測(cè)試服務(wù)和工具(如Cobalt Strike和Ngrok)�,到已建立的開(kāi)源代碼生態(tài)系統(tǒng)(如GitHub),再到圖像和文本網(wǎng)站(如Imgur和Pastebin)�,僅在過(guò)去的幾年里,攻擊者就瞄準(zhǔn)了一系列受信任的平臺(tái)�。
通常,Ngrok會(huì)作為bug賞金練習(xí)或滲透性測(cè)試項(xiàng)目的一部分��,被有道德的黑客用來(lái)收集數(shù)據(jù)或?yàn)槿胝具B接建立模擬隧道���。但惡意行為者會(huì)濫用Ngrok來(lái)直接安裝僵尸網(wǎng)絡(luò)惡意軟件�,或是將合法通信服務(wù)連接到惡意服務(wù)器�����。在最近的一個(gè)例子中,SANS研究所的Xavier Mertens發(fā)現(xiàn)了一個(gè)用Python編寫的惡意軟件樣本�,其中包含了base64編碼的代碼,用于在使用了Ngrok的受感染系統(tǒng)上安裝后門�。
由于Ngrok受到了廣泛的信任,遠(yuǎn)程攻擊者可以通過(guò)Ngrok隧道來(lái)連接到受感染的系統(tǒng)�,這可能會(huì)繞過(guò)公司防火墻或NAT保護(hù)。
GitHub還被濫用來(lái)托管從Octopus Scanner到Gitpaste-12的惡意軟件����。最近,狡猾的攻擊者濫用GitHub和Imgur結(jié)合使用了一個(gè)開(kāi)源的PowerShell腳本����,這使得他們有可能在GitHub上托管一個(gè)簡(jiǎn)單的腳本,從一張良性的Imgur照片中解析出Cobalt Strike的有效載荷���。Cobalt Strike是一種流行的滲透性測(cè)試框架���,用于模擬先進(jìn)的真實(shí)網(wǎng)絡(luò)攻擊,但與任何安全軟件產(chǎn)品一樣��,它也可能被對(duì)手濫用�����。
同樣���,開(kāi)發(fā)人員依賴的自動(dòng)化工具也不能幸免于被利用�����。
2021年4月�����,攻擊者濫用GitHub Actions以數(shù)百個(gè)存儲(chǔ)庫(kù)為目標(biāo)����,發(fā)起了一場(chǎng)自動(dòng)攻擊�����,利用GitHub的服務(wù)器和資源進(jìn)行了加密貨幣的挖掘���。
這些示例說(shuō)明了為什么攻擊者認(rèn)為瞄準(zhǔn)合法平臺(tái)會(huì)有價(jià)值�����,而許多防火墻和安全監(jiān)控工具可能還無(wú)法阻止這些平臺(tái)��。
利用品牌價(jià)值�、聲譽(yù)或知名度的上游攻擊
在SolarWinds爆出漏洞之后,軟件供應(yīng)鏈安全問(wèn)題可能已經(jīng)引起了公眾的關(guān)注�,但是這些攻擊在一段時(shí)間內(nèi)一直在上升。
無(wú)論是以拼寫錯(cuò)誤����、品牌劫持或是依賴混淆的形式(最初作為概念驗(yàn)證研究被發(fā)現(xiàn),但后來(lái)被濫用于惡意目的)�����,“上游”攻擊會(huì)利用已知合作伙伴生態(tài)系統(tǒng)中的信任��,并利用品牌或軟件組件的受歡迎程度或聲譽(yù)�����。攻擊者的目標(biāo)是將惡意代碼推送到與品牌相關(guān)聯(lián)的可信代碼庫(kù)���,然后將代碼分發(fā)到下游的最終目標(biāo):該品牌的合作伙伴��、客戶或用戶�����。
任何對(duì)所有人開(kāi)放的系統(tǒng)也會(huì)對(duì)對(duì)手開(kāi)放����。因此�����,許多供應(yīng)鏈攻擊的目標(biāo)都是開(kāi)源生態(tài)系統(tǒng)���,而其中的一些生態(tài)系統(tǒng)為了堅(jiān)持“向所有人開(kāi)放”的原則而沒(méi)有進(jìn)行嚴(yán)格的驗(yàn)證��。然而�����,商業(yè)組織也受到了這些攻擊�。
在最近的一個(gè)案例中�,有人將其比作SolarWinds事件,軟件測(cè)試公司Codecov披露了針對(duì)其Bash Uploader腳本的攻擊���,該攻擊在兩個(gè)多月內(nèi)一直未被發(fā)現(xiàn)�����。
Codecov擁有29000多家客戶��,包括一些著名的全球品牌�。在這次攻擊中,公司客戶端使用的上傳程序被修改��,將系統(tǒng)的環(huán)境變量(密鑰��、憑據(jù)和令牌)泄露給了攻擊者的IP地址����。
防范供應(yīng)鏈攻擊需要在多個(gè)方面采取行動(dòng)。軟件提供商需要加大投資來(lái)保證他們的開(kāi)發(fā)版本的安全������;贏I和ML的devops解決方案能夠自動(dòng)檢測(cè)和阻止可疑的軟件組件,有助于防止打字錯(cuò)誤��、品牌劫持和依賴混淆攻擊���。
此外��,隨著越來(lái)越多的公司采用Kubernetes或Docker容器來(lái)部署他們的應(yīng)用程序�����,容器安全解決方案具有內(nèi)置的網(wǎng)絡(luò)應(yīng)用程序防火墻���,并且能夠及早發(fā)現(xiàn)簡(jiǎn)單的配置錯(cuò)誤��,這將有助于防止更大的危害。
通過(guò)難以追蹤的方法進(jìn)行加密貨幣支付
考慮到其分散和注重隱私的設(shè)計(jì)����,Darknet marketplace的賣家和軟件運(yùn)營(yíng)商經(jīng)常交易加密貨幣。
但是����,盡管不是由政府中央銀行鑄造或控制的,加密貨幣仍然缺乏與現(xiàn)金相同的匿名性�����。
因此�,網(wǎng)絡(luò)犯罪分子找到了在賬戶間轉(zhuǎn)移資金的創(chuàng)新方法。
最近��,與2016年Bitfinex黑客事件有關(guān)的價(jià)值超過(guò)7.6億美元的比特幣以多筆較小的交易轉(zhuǎn)移到了新賬戶�����,交易金額從1 BTC到1200 BTC不等。
加密貨幣并不是一種完全萬(wàn)無(wú)一失的隱藏資金蹤跡的方法�����。2020年美國(guó)總統(tǒng)大選當(dāng)晚�,美國(guó)政府清空了一個(gè)價(jià)值10億美元的比特幣錢包,里面裝著與最臭名昭著的暗網(wǎng)市場(chǎng)“絲綢之路”有關(guān)的資金���,該市場(chǎng)本身已于2013年關(guān)閉��。
其他的一些加密貨幣���,如門羅幣(XMR)和Zcash(ZEC),在匿名交易方面比比特幣具有更廣泛的隱私保護(hù)能力����。毫無(wú)疑問(wèn)的,隨著攻擊者不斷尋找更好的方法來(lái)隱藏他們的蹤跡�,犯罪分子和調(diào)查人員之間的沖突將在這條戰(zhàn)線上繼續(xù)下去。
使用公共通道和協(xié)議
像可信平臺(tái)和品牌一樣����,合法應(yīng)用程序所使用的加密通道�、端口和協(xié)議為攻擊者提供了另一種掩蓋其足跡的方式���。
例如���,HTTPS協(xié)議是當(dāng)今網(wǎng)絡(luò)普遍不可或缺的協(xié)議,因此��,端口443(由HTTPS/SSL使用)在公司環(huán)境中很難被阻止����。
然而��,HTTPS上的DNS(DoH)——一種解析域的協(xié)議——也使用端口443���,并且被惡意軟件作者濫用�����,將其命令和控制(C2)命令傳輸?shù)搅耸芨腥镜南到y(tǒng)����。
這個(gè)問(wèn)題有兩個(gè)方面�。首先�����,通過(guò)濫用HTTPS或DoH等常用協(xié)議��,攻擊者與合法用戶一樣享有端到端加密通道的隱私優(yōu)勢(shì)�����。
其次���,這給網(wǎng)絡(luò)管理員也帶來(lái)了困難。阻止任何形式的域名系統(tǒng)本身就是一個(gè)挑戰(zhàn)��,但是現(xiàn)在���,鑒于域名系統(tǒng)請(qǐng)求和響應(yīng)會(huì)在HTTPS被加密��,安全專業(yè)人員攔截��、挑選和分析來(lái)自通過(guò)網(wǎng)絡(luò)進(jìn)出的許多HTTPS請(qǐng)求的可疑流量就成了一件麻煩事���。
研究人員Alex Birsan展示了依賴混淆技術(shù),侵入了35家以上的大型科技公司,他能夠通過(guò)使用DNS(端口53)泄露基本信息來(lái)最大限度地提高成功率�。Birsan之所以選擇DNS,是因?yàn)槌鲇谛阅芤蠛秃戏ǖ腄NS使用��,公司防火墻不阻塞DNS流量的可能性很高���。
使用簽名的二進(jìn)制文件運(yùn)行混淆的惡意軟件
使用非本地二進(jìn)制文件(LOLBIN)的無(wú)文件惡意軟件的常見(jiàn)概念仍然是一種有效的規(guī)避技術(shù)���。
LOLBIN指的是合法的、經(jīng)過(guò)數(shù)字簽名的可執(zhí)行文件�����,例如微軟簽署的Windows可執(zhí)行文件���,攻擊者可以濫用這些文件以提升的權(quán)限啟動(dòng)惡意代碼,或者逃避防病毒等端點(diǎn)安全產(chǎn)品��。
上個(gè)月��,微軟分享了一些企業(yè)可以采用的防御技術(shù)指南�,以防止攻擊者濫用微軟的Azure LOLBIN。
在另一個(gè)例子中����,我分析的最近才發(fā)現(xiàn)的Linux和macOS惡意軟件在所有領(lǐng)先的防病毒產(chǎn)品中具有完美的零檢測(cè)率�。
在二進(jìn)制文件中包含混淆代碼��,這確實(shí)有助于規(guī)避檢測(cè)����。然而,進(jìn)一步的調(diào)查還顯示���,該惡意軟件是使用數(shù)百個(gè)合法的開(kāi)源組件構(gòu)建的���,并以與合法應(yīng)用程序相同的方式進(jìn)行的惡意活動(dòng),例如獲得管理權(quán)限��。
雖然混淆惡意軟件���、運(yùn)行時(shí)打包程序����、虛擬機(jī)規(guī)避或在圖像中隱藏惡意有效負(fù)載是高級(jí)威脅所使用的已知規(guī)避技術(shù)��,但它們的真正威力來(lái)自于繞過(guò)安全產(chǎn)品或在它們的雷達(dá)下運(yùn)行�����。
當(dāng)有效載荷能夠在某種程度上與可信軟件組件、協(xié)議��、通道���、服務(wù)或平臺(tái)相結(jié)合時(shí)���,這就成為了可能。
用不常見(jiàn)的編程語(yǔ)言編寫惡意軟件
根據(jù)BlackBerry Research and Intelligence團(tuán)隊(duì)的最新報(bào)告����,惡意軟件作者正在更多地使用不常見(jiàn)的編程語(yǔ)言,以部分更好地逃避檢測(cè)���。使用的主要語(yǔ)言有Go�、D����、Nim和Rust�����。
這些語(yǔ)言以幾種不同的方式增加了混淆。首先���,用新語(yǔ)言重寫惡意軟件意味著基于簽名的檢測(cè)工具將不再標(biāo)記它(至少是在創(chuàng)建新簽名之前)���。其次,黑莓研究人員還表示�����,這些語(yǔ)言本身也起到了混淆層的作用����。例如,用于解碼�����、加載和部署其他常見(jiàn)惡意軟件的第一階段惡意軟件是用一種不常見(jiàn)的語(yǔ)言編寫的�����,這將有助于逃避端點(diǎn)檢測(cè)�。
黑莓研究人員指出,目前很少有針對(duì)用這些語(yǔ)言編寫的惡意軟件的定制混淆��。其中最常見(jiàn)的一種是Gobfuscate,用于使用Go編碼的惡意軟件����。它能夠處理包、函數(shù)����、類型和方法名,以及全局變量和字符串���。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
