CISO们持有一系列连续更新改进工具来协助发现、阻止恶意活动:网络监控工具、病毒扫描程序、软件成分分析〔SCA〕工具、数字取证、大事响应〔DFIR〕搞定方案等,
显然,网络保障是一场持续攻击与防御之战,攻击者会连续提出新挑战,
旧技术,比方说隐写术——将涵盖恶意有效载荷在内信息隐藏在原本无害文件〔如图像〕中技术,它正在发展且带来新大概性,比方说,最近一位研究人员证明,就使Twitter也无法免受隐写术影响,平台上图像大概会被滥用,以在其中打包高达3MBZIP档案,
反而,在我自己研究中,我注意到,除运用混淆、隐写术、恶意软件打包技术外,如今攻击者还经常利用合法服务、平台、协议、工具来开展他们活动,这让它们能够融入那些在人类分析师、机器看来“干净”流量或活动,
以下是如今网络犯罪分子用来掩盖其踪迹六种策略,
滥用不会引发警报可信平台
这是从2020年起保障专业人士看到一個普遍主题,2021也是这般,
从CobaltStrike、Ngrok等渗透测试服务、工具,到GitHub等已奠定开源代码生态系统,再到Imgur、Pastebin等图像、文本网站,攻击者在过去几年中瞄准一系列广泛可信平台,
往往,有道德黑客会运用Ngrok来收集数据或为入站连接奠定模拟隧道,作为漏洞奖励练习或笔测试活动一一部分,但恶意行为者滥用Ngrok直接安装僵尸网络恶意软件,或将合法通信服务连接到恶意服务器,在最近一個例子中,SANS研究所Xavier Mertens发现一個用Python编写恶意软件样本,其中包含base64编码代码,可以在运用Ngrok受感染系统上植入后门,
由于Ngrok受到广泛信任,远程攻击者可以经由Ngrok隧道连接到受感染系统,这大概会绕过企业防火墙或NAT呵护,
GitHub也被滥用来托管从OctopusScanner到Gitpaste-12恶意软件,最近,狡猾攻击者结合运用开源PowerShell脚本来滥用GitHub、Imgur,使他们能够在GitHub上承载一個简单脚本,该脚本可以从一张无害Imgur照片中计算出Cobalt Strike有效载荷,CobaltStrike是一种流行渗透测试框架,用于模拟现实世界中高级网络攻击,但与任何保障软件产品一样,它大概会被对手滥用,
同样,开发者员依赖自动化工具也无法防止被利用,
2020年4月,攻击者利用GitHub服务器、资源实行加密货币挖掘,在一次自动攻击中,利用GitHub行动攻击数百個存储库,
这些例子说明为什么攻击者会将意向对准很多防火墙、保障监控工具大概无法阻止合法平台,
利用品牌价值、声誉或著名度上游攻击
在SolarWinds漏洞大事之后,软件供应链保障难题大概引起公众Follow,但这些攻击已经持续一段时间,
“上游”攻击利用已知协作伙伴生态系统中信任,并利用品牌或软件组件著名度或声誉,攻击者意向是将恶意代码向上游推送到与品牌相关可信代码库,而后将其分发到下游最后意向:该品牌协作伙伴、客户或运用者,
任何对所有人开放系统也对对手开放,因为这個,很多供应链攻击都针对开源生态系统,其中一些系统在维护“开放给所有人”原则方面存在漏洞,反而,商业组织也会受到这些攻击,
在最近一個被比作Solar Winds大事案例中,软件测试公司Codecov披露针对其Bash Uploader脚本攻击,该脚本两個多月来一直未被发现,
Codecov29,000多個客户涵盖一些著名全球品牌,在这次攻击中,公司客户运用上传器被改变,将系统环境变量〔密钥、凭据、令牌〕泄露到攻击者IP地址,
防止供应链攻击须要在多個方面采纳行动,软件供应商将须要加大投资以确保开发构建保障性,根据AI、机器学习DevOps搞定方案能够自动检测、阻止可疑软件组件,可以协助防止错误类型、品牌劫持、依赖混淆攻击,
另外,伴随越来越多公司采用Kubernetes或Docker容器来部署其应用程序,具有内置Web应用程序防火墙并能够及早发现简单配置错误容器保障搞定方案有助于防止更大危害,
经由难以追踪方法实行加密货币支付
暗网市场卖家、勒索软件运作商经常交易加密货币,因它设计去腹地化、着重秘密,但纵然不是由政府央行铸造或控制,加密货币依旧缺乏与现金同等匿名性,因为这個,网络犯罪分子找到在账户之间抽奖资金新方法,
最近,与2016年Bitfinex黑客大事有关价值超过7.6亿美元比特币被转移到多個新账户,交易金额从1個到1200個比特币不等,
加密货币并非一种百分之百权威隐藏资金踪迹方法,2020年美国总统大选当晚,美国政府清空一個价值10亿美元比特币钱包,其中包含与最臭名昭著暗网市场丝绸之路相关资金,该市场自身已于2013年关闭,
其他一些加密货币,如Monero〔XMR〕、Zcash〔ZEC〕,在匿名交易方面具有比比特币更广泛秘密呵护本事,犯罪分子、调查人员之间交锋毫无疑问将继续在这条战线上,因攻击者一直在探寻更非常好方法来隐藏他们踪迹,
运用公共通道、协议
与受信任平台、品牌一样,合法应用程序运用加密通道、端口、协议为攻击者供应另一种掩盖其足迹方法,
比方说,HTTPS是当今Web普遍无法或缺协议,因为这個,端口443〔被HTTPS/SSL运用〕在企业环境中很难被阻止,反而,根据HTTPSDNS〔DoH〕〔一种用于解析域协议〕也运用端口443,同时已被恶意软件作者滥用,将其命令、控制〔C2〕命令传输到受感染系统,
这导致两方面结果,先说,经由滥用HTTPS或DoH等常用协议,攻击者可以像合法运用者一样享受端到端加密通道秘密优点,这给网络管理员带来困难,以任何格局阻止DNS自身就是一個挑战,但现在,鉴于DNS请求、响应是经由HTTPS加密,保障专业人员必需拦截、挑出、分析很多经由网络移动入站、出站HTTPS请求可疑流量,这变成一個麻烦,
研究员Alex Birsan展示依赖混淆技术,道德地侵入35家以上大型技术公司,他经由运用DNS〔端口53〕来窃取基本信息,于是使成功率最大化,Birsan之所以选择DNS,是因公司防火墙很大概不会阻止DNS流量,同时探究到性能要求、合法DNS运用,
运用签名二进制文件运行混淆恶意软件
咱们所熟悉无文件恶意软件概念是运用当地二进制文件〔LOLBINs〕,这依旧是一种有效规避技术,
LOLBIN是指合法、经过数字签名可执行文件,比方说由Microsoft签名Windows可执行文件,攻击者大概会滥用它们来启动具有提升权限恶意代码,或逃避终端保障产品〔如反病毒〕,
上個月,微软共享一些企业可以采用防御技术指南,以防止攻击者滥用微软Azure LOLBIN,
在最近另一個例子中,我发现Linux、macOS恶意软件在所有最先进防病毒产品中具有完美零检测率,
二进制文件确实包含混淆代码,这有助于逃避检测,反而,进一步调查还显示,该恶意软件是运用数百個合法开源组件构建,并以与合法应用程序相同方法实行恶意活动,比方说获得管理权限,
虽说混淆恶意软件、运行时包装、虚拟机规避,或把恶意有效负载隐藏在图像里是已知逃避技术,但它们真正威力来自于绕过保障产品或在其雷达下飞行,
当有效负载在某种层次上与受信任软件组件、协议、通道、服务或平台相结合时,这就变成大概,
用很臻稀编程语言编写恶意软件
根据黑莓研究、情报团队最近一份报告,恶意软件作者正在更多地运用很臻稀编程语言,以更好地逃避检测,运用最先选语言是Go、D、Nim、Rust,
这些语言以多种方法添加混淆,先说,用新语言重写恶意软件意味着根据签名检测工具将不再标记它〔至少在创建新签名之前〕,黑莓研究人员表达,这些语言自身就是一個混淆层,比方说,用于解码、加载、部署其他常见恶意软件最先個阶段恶意软件是用一种很臻稀语言编写,这有助于逃避端点上检测,
黑莓研究人员指出,目前用这些语言编写恶意软件很少有自定义混淆,最常见一种是Gobfuscate,它是用Go编码恶意软件,能够操作包、函数、类型、方法名称,以及全局变量、字符串。
齐心抗疫 与你同在
点【在看】人最卓著看