從受信任的滲透測試工具到LOLBIN(living-off-the-land binaries),攻擊者正在通過濫用受信任的平臺(tái)和協(xié)議來逃避安全檢測。
CISO們擁有一系列不斷升級(jí)的工具來幫助其發(fā)現(xiàn)和阻止惡意活動(dòng),例如網(wǎng)絡(luò)監(jiān)視工具、病毒掃描程序、軟件組成分析(SCA)工具、數(shù)字取證和事件響應(yīng)(DFIR)解決方案等等。
但是,要知道,網(wǎng)絡(luò)安全本質(zhì)上是攻防之間的持續(xù)之戰(zhàn),在防御者不斷完善自身技能和工具的同時(shí),攻擊者也在不斷提出新的挑戰(zhàn)。
一些老式技術(shù),例如隱寫術(shù)(steganography)——一種將包含惡意有效負(fù)載的信息隱藏在其他良性文件(如圖像)中的技術(shù)——正在發(fā)展,從而帶來了新的可能性。例如,最近有研究人員證明,甚至Twitter也無法幸免于隱寫術(shù),該平臺(tái)上的圖像可能會(huì)被濫用以在其中壓縮多達(dá)3MB的ZIP檔案。
更糟糕的現(xiàn)實(shí)是,除了使用混淆、隱寫術(shù)以及惡意軟件打包技術(shù)之外,如今的威脅行為者還經(jīng)常利用合法服務(wù)、平臺(tái)、協(xié)議和工具來開展活動(dòng)。這使他們能夠滲透進(jìn)對(duì)人類分析人員和機(jī)器而言都看似“干凈”的流量或活動(dòng)之中。
以下是如今網(wǎng)絡(luò)犯罪分子用來掩蓋其蹤跡的5種常見策略:
濫用不會(huì)發(fā)出警報(bào)的受信任平臺(tái)
這是安全專家在2020年就已經(jīng)發(fā)現(xiàn)的一個(gè)普遍現(xiàn)象,且一直持續(xù)到了今年。
從滲透測試服務(wù)和工具(例如Cobalt Strike和Ngrok)到已建立的開源代碼生態(tài)系統(tǒng)(如GitHub),再到圖像和文本網(wǎng)站(如Imgur和Pastebin),攻擊者在過去幾年中已將目標(biāo)鎖定為廣泛的受信任平臺(tái)。
通常來說,Ngrok的受眾大多為道德黑客,他們會(huì)利用該服務(wù)收集數(shù)據(jù)或?yàn)槿胝具B接建立模擬隧道,作為漏洞賞金練習(xí)或滲透測試活動(dòng)的一部分。但如今,越來越多的惡意行為者卻在濫用Ngrok直接安裝僵尸網(wǎng)絡(luò)惡意軟件,或?qū)⒑戏ǖ?a href="http://www.1cnz.cn/v/tag/1301/" target="_blank">通信服務(wù)連接到惡意服務(wù)器。在最近的示例中,SANS研究所的Xavier Mertens發(fā)現(xiàn)了一個(gè)用Python編寫的此類惡意軟件樣本,其中包含base64編碼的代碼,以便在使用Ngrok的受感染系統(tǒng)上植入后門。
由于Ngrok受到廣泛信任,因此遠(yuǎn)程攻擊者可以通過Ngrok隧道連接到受感染的系統(tǒng),而該隧道可能會(huì)繞過公司防火墻或NAT保護(hù)。
除此之外,GitHub也被濫用來將惡意軟件從Octopus Scanner托管到Gitpaste-12。最近,研究人員發(fā)現(xiàn),一種新的惡意軟件使用帶有宏的Word文檔從GitHub下載PowerShell腳本。這個(gè)PowerShell腳本進(jìn)一步從圖像托管服務(wù)Imgur下載合法的圖像文件,以解碼Windows系統(tǒng)上的Cobalt Strike腳本。Cobalt Strike是一種流行的滲透測試框架,用于模擬先進(jìn)的現(xiàn)實(shí)世界網(wǎng)絡(luò)攻擊,但像任何安全軟件產(chǎn)品一樣,它同樣可能會(huì)遭到攻擊者的濫用。
同樣地,開發(fā)人員所依賴的自動(dòng)化工具也無法幸免。
4月,攻擊者在一次自動(dòng)攻擊中濫用了GitHub Actions來攻擊數(shù)百個(gè)存儲(chǔ)庫,該攻擊使用GitHub的服務(wù)器和資源進(jìn)行加密貨幣挖掘。據(jù)悉,GitHub Actions 是 GitHub Universe 開發(fā)者大會(huì)上發(fā)布的一款被Github系統(tǒng)主管Sam Lambert稱為“再次改變軟件開發(fā)”的重磅功能,支持 CI/CD 并對(duì)開源項(xiàng)目免費(fèi),讓開發(fā)者能在 GitHub 服務(wù)器上直接執(zhí)行和測試代碼,幫助開發(fā)者和企業(yè)實(shí)現(xiàn)所有軟件工作流程的自動(dòng)化。
這些示例無一不在證實(shí),攻擊者已經(jīng)發(fā)現(xiàn)了利用眾多防火墻和安全監(jiān)視工具可能無法阻止的合法平臺(tái)的巨大價(jià)值。
利用品牌價(jià)值、聲譽(yù)或知名度進(jìn)行上游攻擊
在最近的SolarWinds漏洞之后,軟件供應(yīng)鏈安全問題可能已經(jīng)引起了公眾的廣泛關(guān)注,但實(shí)際上,這些攻擊已經(jīng)上升了一段時(shí)間。
無論是誤植域名(typosquatting)、品牌劫持(brandjacking)或是依賴混亂(dependency confusion,最初是作為概念驗(yàn)證研究被發(fā)現(xiàn),后來被濫用為惡意目的),“上游”攻擊都濫用了已知合作伙伴生態(tài)系統(tǒng)內(nèi)的信任,并利用了品牌或軟件組件的知名度或聲譽(yù)。攻擊者旨在將惡意代碼向上游推送到與品牌相關(guān)聯(lián)的受信任代碼庫,然后將其下游分發(fā)到最終目標(biāo):該品牌的合作伙伴、客戶或用戶等。
要知道,任何面向所有人開放的系統(tǒng),同樣地也會(huì)向攻擊者開放。因此,許多供應(yīng)鏈攻擊都是針對(duì)開源生態(tài)系統(tǒng)的,而其中一些已經(jīng)懈怠于進(jìn)行驗(yàn)證,并堅(jiān)持“向所有人開放”的原則。但是,商業(yè)組織也會(huì)由此受到攻擊影響。
最近,軟件審計(jì)平臺(tái)Codecov遭黑客入侵。調(diào)查發(fā)現(xiàn),攻擊從1月31日就開始進(jìn)行,但第一個(gè)客戶發(fā)現(xiàn)不對(duì)勁時(shí)已經(jīng)是4月1日,這表示被入侵的軟件在長達(dá)數(shù)月時(shí)間里正常流通,而Codecov一直被行業(yè)內(nèi)多家公司用來測試代碼錯(cuò)誤和漏洞,其客戶包括了消費(fèi)品集團(tuán)寶潔公司、網(wǎng)絡(luò)托管公司GoDaddy Inc、澳大利亞軟件公司Atlassian Corporation PLC在內(nèi)的29,000多家企業(yè),所以潛在受害者規(guī)模可想而知。
據(jù)悉,在此次攻擊中,黑客利用Codecov的Docker映像創(chuàng)建過程中出現(xiàn)的錯(cuò)誤,非法獲得了其Bash Uploader腳本的訪問權(quán)限并且進(jìn)行了修改。而這意味著攻擊者很有可能導(dǎo)出存儲(chǔ)在Codecov用戶的持續(xù)集成(CI)環(huán)境中的信息,最后將信息發(fā)送到Codecov基礎(chǔ)架構(gòu)之外的第三方服務(wù)器。
防范供應(yīng)鏈攻擊需要從多個(gè)方面進(jìn)行努力。軟件提供商將需要加大投資以確保其開發(fā)版本的安全。基于AI和ML的devops解決方案能夠自動(dòng)檢測和阻止可疑軟件組件,可以幫助防止域名搶注、品牌劫持和依賴混亂攻擊。
此外,隨著越來越多的公司采用Kubernetes或Docker容器來部署其應(yīng)用程序,具有內(nèi)置Web應(yīng)用程序防火墻,并能夠及早發(fā)現(xiàn)簡單的錯(cuò)誤配置錯(cuò)誤的容器安全解決方案,可以幫助防止更大的妥協(xié)。
通過難以追蹤的方式向加密貨幣支付轉(zhuǎn)移
鑒于其分散化和注重隱私的設(shè)計(jì),暗網(wǎng)市場賣家和勒索軟件運(yùn)營商經(jīng)常使用加密貨幣進(jìn)行支付。
然而,盡管并非由政府中央銀行鑄造或控制,但加密貨幣仍然缺乏與現(xiàn)金相同的匿名性。因此,網(wǎng)絡(luò)犯罪分子開始不斷尋找在賬戶間轉(zhuǎn)移資金的創(chuàng)新方法,而且確實(shí)被他們找到了。
最近,與2016年Bitfinex黑客事件相關(guān)的價(jià)值7.6億美元的比特幣正在通過多個(gè)較小的交易被轉(zhuǎn)移到新帳戶中,交易金額從1 BTC到1,200 BTC不等。
不過,加密貨幣并非隱藏錢跡萬無一失的方法。就在2020年美國總統(tǒng)大選之夜,美國政府清空了一個(gè)10億美元的比特幣錢包,其中包含與最臭名昭著的暗網(wǎng)市場“絲綢之路”相關(guān)的資金,而該市場本身已在2013年被關(guān)閉。
諸如Monero(XMR)和Zcash(ZEC)之類的其他一些加密貨幣,具有比比特幣更匿名的匿名交易保護(hù)功能。隨著攻擊者不斷尋找隱藏其蹤跡的更好方法,犯罪分子和調(diào)查人員之間的較量無疑將在這方面繼續(xù)。
使用通用渠道和協(xié)議
像受信任的平臺(tái)和品牌一樣,合法應(yīng)用程序所使用的加密通道、端口和協(xié)議也為攻擊者提供了另一種掩蓋其足跡的方法。
例如,HTTPS是當(dāng)今Web上最為普遍且不可缺少的協(xié)議,因此,在公司環(huán)境中很難禁用端口443(由HTTPS / SSL使用)。
然而,DoH(DNS Over HTTPS,一種用于解決域名的協(xié)議)也使用端口443,并且已被惡意軟件開發(fā)者濫用來將其命令和控制(C2)命令傳輸?shù)绞芨腥镜南到y(tǒng)。2019年,Network Security 研究人員發(fā)現(xiàn)了首個(gè)利用DoH協(xié)議的惡意軟件,它就是基于Lua編程語言的Godlua,通過使用DoH,該惡意軟件可以通過加密的HTTPS連接隱藏其DNS流量,從而允許Godlua逃避被動(dòng)DNS監(jiān)控。
此外,這種情況還帶來了兩個(gè)問題。首先,通過濫用HTTPS或DoH之類的通用協(xié)議,攻擊者享有與合法用戶相同的端到端加密通道的隱私優(yōu)勢(shì)。
其次,這給網(wǎng)絡(luò)管理員帶來了挑戰(zhàn)。阻止任何形式的DNS本身都是一個(gè)挑戰(zhàn),但是現(xiàn)在,由于DNS請(qǐng)求和響應(yīng)都通過HTTPS進(jìn)行了加密,因此對(duì)于安全專業(yè)人員來說,從經(jīng)由網(wǎng)絡(luò)傳入和傳出的許多HTTPS請(qǐng)求中攔截、篩選和分析可疑流量就變得很麻煩。
最近,研究人員Alex Birsan證實(shí),通過依賴性混亂(dependency confusion)技術(shù)可以成功入侵超過35家大型技術(shù)公司,包括微軟、蘋果、特斯拉、PayPal、Yelp等。而此舉,也讓其順利獲得兩家公司價(jià)值3萬美元的漏洞懸賞。據(jù)Birsan介紹,通過使用DNS(端口53)竊取基本信息,能夠最大程度地提高成功率。而之所以選擇DNS,是因?yàn)橛捎谛阅芤蠛秃戏ǖ腄NS使用,公司防火墻極有可能不阻止DNS流量。
使用簽名的二進(jìn)制文件運(yùn)行混淆的惡意軟件
使用LOLBIN的無文件惡意軟件仍然是一種有效的逃避技術(shù)。
LOLBIN是指合法的、經(jīng)過數(shù)字簽名的可執(zhí)行文件,例如Microsoft簽署的Windows可執(zhí)行文件,攻擊者可能會(huì)濫用這些可執(zhí)行文件來以更高的特權(quán)啟動(dòng)惡意代碼,或者逃避端點(diǎn)安全產(chǎn)品(例如防病毒軟件)。
上個(gè)月,Microsoft分享了一些針對(duì)該方法的防御技術(shù)指南,企業(yè)可以采用這些建議來防止攻擊者濫用Microsoft的Azure LOLBIN。
盡管混淆的惡意軟件、運(yùn)行時(shí)壓縮器((Runtime Packer)、VM逃避或在圖像中隱藏惡意有效負(fù)載是高級(jí)威脅慣用的已知逃避技術(shù),但其真正的力量來自繞過安全產(chǎn)品或逃避“雷達(dá)”檢測。
當(dāng)有效負(fù)載在某種程度上與受信任的軟件組件、協(xié)議、通道、服務(wù)或平臺(tái)相結(jié)合時(shí),這些攻擊場景都將成為可能。
責(zé)編AJX
評(píng)論
查看更多