近日,网络安全公司CrowdStrike发布了《2020全球威胁态势报告》,其研究结果显示“无恶意软件”攻击的趋势增加,无恶意软件的攻击数量超过了恶意软件的攻击数量。2019年,51%的攻击使用了无恶意软件技术,而在2018年,只有40%的攻击使用了无恶意软件技术。攻击者在目标网络中使用盗取的凭证并运行合法的软件工具来冒充真实用户并掩盖使用工具痕迹。如果“无恶意软件”攻击继续下去,对防御者可能意味着重大麻烦。
来自CrowdStrike的《2020全球威胁态势报告》数据显示,2019年在全球范围内黑客使用现代方法进行无恶意软件攻击的数量超过了恶意软件攻击。
长时间以来,经验丰富的网络罪犯和有国家背景的攻击者一直在提升攻击其能力,使用新型方法来冒充目标网络中的真实用户并掩盖其使用安全工具的痕迹,如通过使用盗取来的凭证和运行合法的工具来挖掘受害者系统及数据。在CrowdStrike的研究报告中,“无恶意软件”攻击首次超过基于恶意软件的攻击,在2019年分别占到了51%和49%。然而在2018年,恶意软件占全球所有攻击的60%左右,而无恶意软件攻击仅占40%左右。
CrowdStrike将无恶意软件攻击定义为初始没有文件或文件片段被写入磁盘的攻击,例如包括代码从内存执行的攻击、或者利用盗取的凭证使用已知工具进行远程登录的攻击。无恶意软件攻击通常需要更广泛更复杂的检测技术来可靠地识别和拦截,包括行为检测和人类威胁捕获。而恶意软件攻击定义为有恶意文件被写入磁盘,导致会被防护产品检测到试图运行该文件,然后识别或阻止它。这些入侵尝试相对来说比较容易拦截和阻止,通常可以用传统的反恶意软件解决方案有效地阻止。
根据CrowdStrike的报告,就像以往的黑客攻击一样,大部分无恶意软件攻击都是由命令行界面、PowerShell以及隐藏文件和目录等“手工键盘”方法驱动的。这些技术在许多复杂的攻击中具有显著的特点,那就是在这些攻击中,人类会积极参与入侵并朝着一个目标努力。
安全专家担心,如果攻击者加大对无恶意软件攻击的投入,攻击目标的安全工具将不堪重负,无法阻止它们。
CrowdStrike的CTO Michael Sentonas表示,随着攻击者找到绕过传统安全工具的方法,这些无恶意软件的攻击已逐渐增多。但是,攻击者并没有被常规的防病毒软件所阻止。他说:“现在,攻击者已经开始绕过下一代防病毒产品,这推动了无恶意软件攻击的大范围升级,如果达到60%或以上,那将成为一个大问题。”
Sentonas指出,问题在于大多数组织没有技术来区分合法用户或窃取其凭据的攻击者。他表示:“我希望在接下来的12个月中跟踪无恶意软件的产品,看看这是否是一个真正有趣的长期趋势。”
安全公司Rapid7还发现攻击者在渗透目标时会放弃使用恶意软件。Rapid7的研究主管Tod Beardsley表示:“攻击者会使用有效的凭据或重复使用从其他违规活动中获得的凭据,这很难防御,这不是可以轻松地自动进行防御的内容。”
Beardsley表示,为了帮助应对这些威胁,组织需要授权最终用户成为安全文化的一部分。企业须在IT安全性和用户群之间建立信任,因此,按照这种思路,就是在树立警惕文化。如果看到一些看起来可疑的内容,则应该采取明确的措施进行非在线方式确认或将其报告给相关人员。
根据CrowdStrike的报告区域数据显示,在世界不同地区的攻击类型之间的差异越来越大。2018年,所有地区的无恶意软件攻击在25%到45%之间,而2019年针对北美的无恶意软件攻击大幅增加,针对拉丁美洲地区的无恶意软件攻击大幅减少。去年大多数无恶意软件的攻击都发生在北美,四分之三的攻击并未将恶意软件部署到受害组织内部。Sentonas表示,“今年将经历一个有趣的过程:无恶意软件攻击是否会继续上升?这是否与攻击者的驻留时间相关?如果我们将这种趋势视为两年到四年的趋势,那么我们将面临一个问题,越来越多的方法可以逃避安全控制。”
这就需要一种能考虑人为因素的防御。安全厂商Sophos的首席研究科学家Chester Wisniewski表示:“现在有更多的攻击是人为,这就是为什么设置绊网(tripwires)来检测用于恶意目的的合法工具是关键。例如,如果发现Nmap网络监视工具在DMZ中的Web服务器上运行,这应该是一个危险信号。任何人都不应该在DMZ的服务器上运行它。”此外,如果合法的安全工具不是在应该使用的时间运行,也会构成事件。安全人员并不是唯一一个使用这些工具的人,坏人也会使用。
安全建议
对抗来自复杂的民族国家和普通对手的威胁需要一个成熟的过程,能够快速、灵活地预防、检测和应对威胁。CrowdStrike建议各组织遵循“1-10-60规则”,以便有效地抵御网络威胁。1-10-60法则具体含义如下:即在1分钟内发现入侵;在10分钟内完成调查;在60分钟内遏制并消除对手。符合此基准的组织更有可能在攻击者形成初始的入口突破并扩展其存在之前消灭对手,最终将组织受影响程度降至最低。
CrowdStrike情报部门副总裁亚当·迈耶斯(Adam Meyers)表示:“2019年来自民族国家的威胁行为体的新型攻击技术的对安全防御带来了巨大冲击,越来越复杂的网络犯罪分子使用更加危险的攻击技术和战术,针对性勒索软件攻击案例大量增加。因此,组织的安全团队必须采用更新的技术,以更快地检测、调查和补救网络安全事件,并采用快速抢先对策,如威胁情报,并遵循1-10-60法则。”
同时,安全专家David Strom建议采取以下措施防御无文件恶意软件攻击:
No.1
不论面对何种网络安全威胁,及时更新及打补丁是最基础的。
在抵御无文件恶意软件时,首先要做的就是保证端点及时更新。威胁组织的首要攻击方式之一是利用未打补丁的旧系统,因此延迟补丁程序管理就是将漏洞引入网络。EternalBlue的传播很好地说明了这一点,该补丁在漏洞利用程序启动前已经存在了一个多月。
其次,拥有坚实的安全意识培训方案,提供一个可连续运行的程序,该程序始终使用户意识到电子邮件附件和随意点击链接的危险。大多数无文件攻击活动的开始都是通过简单的网络钓鱼电子邮件开始的。因此,快速拦截这些入口点是很重要的。
此外,了解内置代码行为,以便可以发现异常状况,如在安装加密的PowerShell脚本以作为服务运行时。加密和服务功能的结合是一个红色危险信号。分析师有时还会发现使用压缩工具来代替加密。另一个危险信号是找到一个隐藏在\ TEMP目录中的PowerShell脚本;尽管从技术上来说不是无文件的,但此代码很快移到了操作系统的更危险的部分。
No.2
做好终端服务器访问权限的控制,确保用户访问只能以普通用户身份来访问,而不能具有特权。
仅仅因为有一个用户点击了恶意附件并不意味着该恶意软件会留在电脑上。相反,一种典型的行为是恶意软件在网络中移动以找到更丰富的目标,如域控制器或Web服务器。为防止这种情况,应该仔细划分网络,并确保了解访问权限,特别是对于第三方应用程序和用户的访问权限。
常见的攻击方法是随着恶意软件在网络中的移动而提升特权,例如,可以使用PowerShell来完成。威胁者可以发出用于反向域名系统(DNS)查询的命令,枚举网络共享上的访问控制列表,并查找特定域组的成员。这意味着对任何恶意软件来说,最基本的控制措施之一是将管理员权限限制在最小系统数量。
许多无文件恶意软件攻击依赖于已经从公司离开的用户的权限或不必要的权限,或者依赖于不再使用目标应用程序的用户的过期权限。公司应该开发方法来检测何时发生这些情况,并能够迅速将其关闭。公司还应该禁用不需要的Windows程序。不是每个人都需要在计算机上运行PowerShell或对.NET框架的支持。更为有效的方法是消除对SMBv1等古老协议的支持,这正是WannaCry造成所有麻烦的原因。
最后,尽管PowerShell可以绕过应用程序白名单,但是部署此类控件仍然是一个好主意。对用户如何使用应用程序的了解越多,越有可能捕获到其他合法应用程序没有发现的恶意软件。另一种方法是禁用宏,包括Office宏,这些宏通常被恶意软件编写者滥用,尽管这不是通用解决方案,因为许多用户确实需要宏来完成工作。
No.3
使用端点反恶意软件工具来保护设备。
这些步骤需要采用纵深防御的方法来完成,通过扫描网络连接和电子邮件中是否存在恶意软件,这将帮助减少恶意软件到达端点并执行的机会。微软开发了一个反恶意软件扫描开放接口,一些供应商已经开始使用该接口来轻松检测无文件世界的“信息”,尤其是在分析脚本行为时。此外,想要更好地理解无文件攻击的人士可以查看开源项目AltFS。这是一个完整的无文件虚拟文件系统,来演示这些技术的工作原理。
天地和兴工控安全研究院编译
参考来源
【1】https://www.darkreading.com/threat-intelligence/most-cyberattacks-in-2019-were-waged-without-malware/d/d-id/1337239
【2】https://www.crowdstrike.com/blog/global-threat-report-foreword-2020/
【3】https://securityintelligence.com/how-to-defend-your-organization-against-fileless-malware-attacks/
声明:本文来自天地和兴,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
