调查：全球金融机构遭遇的隐秘隧道攻击越来越密集

全球金融服务组织机构正在遭受越来越多的复杂攻击。网络攻击者利用隐秘隧道技术提取入侵阶段后的数据信息。

为了窃取关键数据和个人可识别信息，网络犯罪分子正在向受攻陷系统构建隐秘隧道，进一步入侵网络并窃取关键数据和个人信息，而这种行为基本上无法被检测到，原因是流经这些隧道的流量和正常的网络流量（如流入和流出合法云应用的数据包）看上去以及在行动上没有什么不同。

结果，这种“隐秘隧道”技术导致恶意流量伪装成来自基于 Web 的企业应用的高流量，从而有效地规避了强访问控制、防火墙和入侵检测系统。

虽然这种类型的攻击并不新鲜，自2017年 Eauifax 数据泄露事件以来，隐秘攻击技术的使用越来越多。该数据泄露事件导致超过1.47亿个人记录被暴露，成为历史上规模最大的事件之一。Vectra 公司在周三分析指出，如今金融服务公司经历的隐秘隧道攻击数量是其它垂直行业的两倍。

金融服务机构成攻击目标

分析报告指出，多个行业遭受的安全泄露事件持续增加，而金融服务行业也不例外。然而，网络犯罪分子正在针对目标垂直机构发动针对性攻击。

通过隐秘隧道技术实施入侵后数据提取和金融服务环境完美吻合，因此金融服务机构遭受的攻击越来越多。

报告分析了来自450多万台设备和客户云的工作负荷、数据中心和企业环境的匿名化元数据，结果表明，金融服务机构每1万台设备遭受的隐秘命令和控制隧道数量要比其它行业的总和还要多，是很多隐秘数据提取隧道的两倍之多。

Vectra 公司的安全分析主管 Chris Morales 指出，“每个行业都拥有和具体业务模式、应用和用户相关的网络和用户行为资料，攻击者将会模拟并融合这些行为，导致难以被检测到。”

例如，在教育垂直行业，“我们看到很多可疑的 HTTP 流量，它是一种非常传统的攻击，其中某些 payload 类型是从恶意网站传输的。高等教育机构中还存在很多密币挖掘攻击。这些攻击类型更加明显，而金融组织机构擅长检测它们，因此犯罪分子在攻击银行时会应用不同的策略。”

最危险的地方最安全

金融服务机构已将隐秘隧道技术用于合法目的，包括推送股票行情、内部金融管理服务、第三方金融分析工具和其它基于云的金融应用。隐秘隧道一般用于规避限制其起作用的安全控制。

Morales 指出，而这也正是攻击者使用隐秘隧道的原因，比如 Equifax 数据泄露事件。他表示，“从攻击者的角度而言，使用隐秘隧道是一种高阶技术，它是互联网运作的一个自然演进方式。例如，企业对环境的控制颗粒度更粗，严重依赖于应用和云。”

他表示，这就导致隧道的使用变得更多，数据被分解并以加密形式传输，类似于 VPN 流量，从而制造了不在计划内的攻击面。

报告指出，隐秘隧道通信隐藏在多种使用正常协议的连接中。例如，通信可作为文本内嵌在 HTTP-GET 请求中以及头部、cookie 和其它字段中。这些请求和响应隐藏在受允许协议的信息中。

报告指出，“随着网络应用的增多，对 SSL/TLS 加密的使用也变得越来越多，而 HTTPS 流量正成为常态；证书锁定也被广泛用于阻止网络安全系统执行中间人解密以检测数据包中是否存在威胁。”

攻击者也使用了同样的技术。

一旦入侵网络，“恶意人员使用隧道分解数据并通过防火墙提取，这么做主要是为了规避异常检测。如果合法应用也使用同样的技术，那么就不存在异常情况了。”

另外，虽然很多攻击者使用 SSL/TLS 进行加密，老练的攻击者还会创建自己的加密计划，“自定义加密尤其难以被检测到，因为协议可能无法被识别而且可能使用任意可用端口。”

攻击者定位要窃取的密钥资产后，焦点就转移到积累并窃取这些资产。在提取阶段，攻击者控制了来自网络和流向野外的大量数据流。

缓解措施

遗憾的是，传统工具在检测这种活动方面仍然处于初级阶段，不过也存在其它选择。

Vectra 公司的副总裁 Mike Banic 表示，“首席信息安全官一般都有很多针对访问控制和周边的工具，但通常没有判断网络上是否存在隐秘隧道的工具。不过机器学习正在帮助他们检测这类攻击。”

OneSpan 公司的安全解决方案主管 Will LaSala 指出，隐秘隧道攻击的另一种威胁在于，攻击者能够利用合法应用中已存在的工具。不过他指出应用开发人员能够挫败此类威胁。他指出，很多应用开发人员在防火墙中预留很多漏洞以便从应用上更容易地访问服务，但这些漏洞也可遭黑客利用。通过使用这类正确的开发工具，应用开发人员能够正确地加密并塑造通过这些漏洞传递的数据。有时开发人员急于部署新功能以维护消费者利益或增长业务，而这通常导致隐秘隧道出现且不安全。通过利用创建需要隐秘隧道的端对端安全通信开发工具，开发人员创建了稳固的安全基础。

他指出，开发人员可通过安全的通信 API 在网络层应用之前，加密应用中的数据，从而保护应用免遭恶意后门注入。

他指出，“应用进一步的应用保护技术通常能够进一步加固应用安全。通过安全加固方法不仅能阻止当前工具如恶意隐藏的隧道，还通常能阻止针对受保护应用的新攻击。”

本文由360代码卫士翻译自threatpost

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。