防御规避与反规避是2020年网络对抗的重点
据Recorded Future统计【1】,2020年出现最多的6项ATT&CK技术分别是:T1027数据混淆、T1055进程注入、T1098账户操控、T1219远程访问工具、T1082系统信息发现、以及T-1018远程系统信息发现。6项技术中的两项,数据混淆和进程注入,都归属于TA0005防御规避。另外,归属于命令与控制的远程访问工具,也会大量采用各种防御规避技术。
图1:使用次数最多的6个技术
同样,Cisco公司2020年9月的报告【2】显示,2020年上半年,网络攻击者采用的ATT&CK战术中,占据榜首的也是防御规避,其占比高达57%,远超其它ATT&CK战术。
图2:Cisco统计的战术排名
2020年披露的网络威胁事件中,防御规避技术也是频繁出现。以SolarWinds事件为例,攻击者采用的防御规避技术【3】【4】有:恶意代码藏身于合法软件,恶意代码取得合法签名,文件内容隐藏于图像中,信息以压缩、编码及Hash等方式混淆,受害者主机名称作为C2的一部分,域名由DGA算法生成,通信伪装SolarWinds的OIP协议,恶意代码执行时伪装成合法的系统功能、任务或服务,延时执行以逃逸检测,检测防御软件及禁用其功能,删除恶意文件以消痕,等等。正是因为采取了诸多防御规避技术,攻击者才能够藏身于诸多网络安全头部企业以及核心政府部门的网络内,而长期不被发现。
图3:SolarWinds事件中的DGA域名
2020年,防守方对于反防御规避技术的研究也是高度重视。分析火眼公司发布的被窃取红队工具的检测规则【5】可以发现,火眼公司的红队工具集中,包含了进程注入、隐蔽通信、数据混淆等防御规避工具,说明火眼对防御规避技术开展了大量研究。微软在2020年对Sysinternals套件先后进行了6次更新【6】,这些更新里面,引入了许多新的反规避检测项目,极大地增强了反规避检测能力。
可以说,防御规避与反规避是2020年网络对抗的重点。
2020年防御规避技术的运用特点分析
以下,我们从通信隐藏、内容隐藏、行为隐藏这三个方面,对2020年防御规避技术的运用特点作一个简单分析。
1、 通信隐藏技术的运用特点分析
2020年在通信隐藏技术的运用方面,DGA和伪装通信是最常见的手段。
采用DGA技术,攻击者能够在两个方面降低被发现的风险。一方面,通过部署多个域名并且每次只使用其中的少量域名,可以降低被检测的概率;另一方面,可以避免域名信息直接出现在恶意代码中,增加了防守方获取域名信息的难度。因为这两方面的原因,DGA技术得到了越来越广泛的运用。
伪装通信一直是通信隐藏的关键技术,如何匹配环境、更好“藏身“于正常通信之间,是伪装通信的重点。2020年,攻击者在伪装通信技术的运用方面可以说达到了一个新高度。标志主要有两个,一个是TLS通信协议在恶意软件中的广泛应用,近年来随着常见应用纷纷从HTTP、SMTP、POP3、IMAP等明传输协议转向TLS加密传输协议,恶意软件使用TLS协议进行通信,不仅确保了自身信息不容易被检测,而且很好地达到了与现实通信环境的匹配,具有极好的”隐身“效果;另一个是SUNBURST使用SolarWinds的专属OIP协议进行通信,可以说是环境匹配的”典范“。
2、 内容隐藏技术的运用特点分析
2020年在内容隐藏技术的运用方面, SolarWinds攻击者UNC2452可以说是集大成者。除此之外,Emotet使用的hashbusting【1】 技术以及agent-tesla使用的分散存放技术【7】也特别值得关注。
SolarWinds事件中,SUNBURST不仅自己“藏身“于正常文件之中,而且恶意代码里面的几乎所有字符串都经过了混淆处理,或者是压缩加上自编的假BASE64编码,或者是经过Hash计算;必须以文件形式存在的TEARDROP,则利用图像”隐写“技术藏身于图片文件之中。
Emotet的hashbusting 技术在每个文件中都添加随机生成的数据,使得所有被感染文件的Hash值都不一样,一定程度上达到了规避基于Hash值的检测的目的。
agent-tesla的分散存放技术,将下载器需要下载的恶意代码加密后拆分成多个块,然后将这些分块分别放到不同的合法平台上,下载器从多个合法平台获取到所有的分块后,再进行拼装和解密。这种加密后分散存放的方式,具有很好的防御规避效果,可以看出,该项技术的发明者,对信息安全技术的整体理解与把握十分深入。
3、 行为隐藏技术的运用特点分析
2020年在行为隐藏技术的运用方面,主要采取PE注入、syscall以及类似原理的“天堂“之门、DLL劫持、以及伪装正常程序等手段。这些都是一些“老“技术,而且都是用户态下的实现技术。而那些内核态下的行为隐藏技术,如SSDT HOOK、IDT HOOK等,则已经很少有人使用。
这个事实说明,近些年来系统厂商对系统底层操作采取的限制措施已经见效,极大地压缩了行为隐藏技术的应用空间。当然,我们也必须注意到,IoT等设备,由于资源有限,对系统底层操作的限制措施不容易全部做到,底层的行为隐藏技术在这些系统上仍有发挥空间。
2020年反规避技术的主要进展
2020年,在反规避技术的进展上,有两件值得关注的事情。
一是Sysinternals更新。2020-2021年,微软先后对Sysinternals套件进行了6次更新。通过这些更新, 增加了许多新的检测项目,大大增强了Sysinternals的反防御规避能力。比如:2021年1月11日发布的sysmon v13.00,增加了对磁盘文件与映像文件内容不一致的检测,这有助于发现利用进程hollowing和进程 herpaderping注入技术的恶意代码。
图4:新版本的Sysmon
另一是对使用TLS加密通信协议的Cobalt Strike beacon的检测研究。早期的JA3/JA3S,单纯依靠流量分析,利用存在于ClientHello、ServerHello消息中的指纹信息识别软件类型,对有些软件有效,但对Cobalt Strike beacon无效;后来的JARM,采用主动探测与流量分析相结合的方式,利用不同的参数组主动向对方发送多组消息,通过响应消息获取更多指纹信息再进行识别,识别效果大大增强,能够识别Cobalt Strike beacon,但存在误判;最新的识别技术【8】,采用主动探测、流量分析、样本获取相结合的方式,在JARM得到可疑IP的基础上,通过向该IP发送特定消息获取beacon样本,增加了识别的准确率。在恶意软件大量采用TLS加密通信协议以规避检测、单纯的流量分析又难以有效识别的情况下,这种主动探测加流量分析的方式,无疑是一个很好的思路。
结论
2020年,攻守双方在防御规避与反规避方面的较量更加激烈,双方以UNC2452和微软为代表,分别向我们展示出了有史以来的最高水平。
从技术运用特点来看,攻击方受制于利用系统资源特别是系统底层资源的能力不断下降,规避技术的运用空间有所收窄,但由于攻击者综合运用已有技术的水平提高,防御规避能力不降反升。防守方由于具备利用各种系统资源的优势,加上对防御规避技术的研究更加深入,反规避能力也有很大攀升。
随着攻守双方能力的提升,相信双方在防御规避与反规避技术上的较量将更加激烈,并将长期持续。
参考链接
【1】 https://www.recordedfuture.com/top-2020-mitre-techniques/
【2】 https://blogs.cisco.com/security/threat-landscape-trends-endpoint-security
【3】 https://news.sophos.com/en-us/2020/12/21/how-sunburst-malware-does-defense-evasion/
【4】 https://www.picussecurity.com/resource/blog/ttps-used-in-the-solarwinds-breach
【5】 https://github.com/FireEye/red_team_tool_countermeasures
【6】 https://docs.microsoft.com/en-us/sysinternals/
【7】 https://www.sophos.com/en-us/press-office/press-releases/2021/02/sophos-uncovers-new-delivery-and-evasion-techniques-used-by-agent-tesla-to-bypass-security.aspx
【8】 https://www.randhome.io/blog/2020/12/20/analyzing-cobalt-strike-for-fun-and-profit/
本文为CNTIC原创,不代表本公众号观点
声明:本文来自国家网络威胁情报共享开放平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。