恶意软件绕过端点保护的6种方法

2019-07-12 02:27MariaKorolov
计算机世界 2019年25期
关键词:端点合法攻击者

Maria Korolov

挫败或者绕过端点保护措施的攻击所造成的泄露事件越来越多。本文介绍了攻击者是怎么干的。

据Ponemon的《2018年端点安全风险状况报告》,63%的IT安全专业人士承认,过去12个月内,攻击频率有所上升,52%的受访者认为,事实上不可能停止所有攻击。他们的防病毒解决方案仅阻止了43%的攻击。64%的受访者说,他们的企业经历过一次甚至多次导致数据泄露的端点攻击。

这份报告是根据对660名IT安全专业人士的调查得出的,报告显示,大多数人(70%)承认,他们企业所面临的新威胁和未知威胁有所增加,而成功攻击的成本从平均500万美元增加到了710万美元。

然而,几乎每台计算机都内置了某种形式的保护措施。那么,为什么攻击者仍能得手呢?本文介绍攻击者绕过端点保护安全措施的几种主要方法。

1.基于脚本的攻击

在基于脚本或者“无文件”攻击中,恶意软件实际上是在现有合法应用软件中运行的脚本,它利用了PowerShell或者使用其他已安装的Windows组件。由于没有安装新的软件,因此,很多传统的防御系统都被它绕过了。

据Ponemon,这类攻击极有可能导致出现泄露,而且在所有攻击事件中,此类泄露事件占比从2017年的30%上升到去年的35%。Malwarebytes公司的高级安全研究员Jérome Segura介绍说:“伪代码非常少,例如,实际上扫描不到恶意软件二进制代码。”

安全系统只是能检测到有一些网络流量。“然而,攻击者也可以加密这些通信,使用可信的通信路由,悄悄地窃取数据。”

据今年年初发布的《赛门铁克互联网安全威胁报告》,去年恶意PowerShell脚本的使用增加了1000%。Digital Guardian公司的云服务安全架构师Naaman Hart介绍说:“例如,攻击者通过执行人类无法读取的命令来使用PowerShell,比如base64编码命令。PowerShell现在是必不可少的,因此攻击者通常总是会去利用它。”

Hart说,捕获此类攻击的关键是寻找常见应用软件执行异常操作的实例。他解释说:“例如,如果你跟踪自己环境中最后被执行的一千条命令,那就应该注意那些出现不到五次的命令。这通常会是一些不常见的命令,而这些命令往往就是恶意的。”

2.在流行的基础设施上托管恶意网站

很多安全平台通过阻止用户点击恶意链接来抵御网络钓鱼攻击。例如,他们可能会检查某一IP地址是否与其他恶意软件活动有关联。Segura说:“但是,如果把恶意链接托管在类似于Azure或者谷歌云的地方,而这些是使用非常广泛的基础设施,不会被列入黑名单。”Slack、GitHub和其他协作工具也可以用来帮助绕过防御。

一旦被安装了恶意软件,它通常会与命令和控制(C&C)服务器进行通信,以获取下一步行动的指令,并窃取数据。同样,如果C&C服务器被托管在其他合法的平台上,那么这一通信通道也可以被伪装起来。

Bitdefender公司的高级电子威胁分析师Liviu Arsene指出,而且,这些服务具有内置的加密功能。甚至网上照片共享网站也能被用于攻击。他说:“攻击者创建社交媒体帐户,并上传含有隐藏代码或者指令的图片。然后,该恶意软件接受指令,访问该帐户,查看最新的图片,提取图像中隐藏的一组指令,然后执行这些指令。”

对于IT部门和企业安全部门来说,这看起来就像员工正在浏览社交媒体网站。这很难被发现。即使是最新一代的端点保护技术也会遇到麻烦,因为攻击者模仿了正常的用户行为。

为了防止这种情况发生,防御方应查找这样的实例:在不该出现的时间出现了这些看似正常的通信,或者出现了某个部门通常不会使用的某个应用软件。

在图像中隐藏命令的技术被称为隐写术,也可以用于在图像附件中隐藏命令。5月份,ESET发布了一份关于Turla LightNeuron的报告,指出这是一个针对Microsoft Exchange邮件服务器的后门。据ESET,LightNeuron使用电子邮件与其命令和控制服务器进行通信,把消息隐藏在PDF或者JPG等图像附件中。

3.破坏合法的应用软件和实用程序

每家企业都有员工使用的很多第三方应用软件、工具和实用程序。如果攻击者通过进入开发这些应用软件的公司、攻入升级实用程序或者开源项目的代码库来攻破这些应用软件,那么,他们就能够安装后门和其他恶意代码。Arsene介紹说:“例如,Cleaner是一款流行的计算机实用程序,用于从计算机中清除可能不需要的文件和注册表项目——该程序被后门病毒感染了。”

据《赛门铁克互联网安全威胁报告》,2018年针对软件供应链的攻击数量增长了78%。

Synopsys公司的首席安全策略师Tim Mackey指出,开源代码特别容易受到攻击。首先,攻击者贡献出合法的漏洞修复或者软件改进——实际上是有效的。他解释说:“为了通过审查过程,合法的代码是用来掩盖任何恶意代码的。如果审查过程没有审查所贡献的全部功能,那么,这种贡献将成为软件未来版本的一部分,而更重要的是,它可能成为嵌入到商业软件包中的一种组件。”

Mackey继续说,为了防止这种情况发生,企业和软件开发人员必须仔细检查软件是否有开源代码,然后把这些代码映射回其精确的原始来源,以便一旦发现该代码就可以快速删除或者修复。

4.沙箱逃避

下一代端点保护平台的一个常见功能是沙箱,在安全、虚拟的环境中“引爆”未知的恶意软件。如果攻击者不断修改恶意软件,使其不会被基于签名的防御系统捕获,那么,这是一种非常有用的技术,能够有效的发现这种行为。

Lucy安全公司的创始人Oliver Münchow说:“然而,黑客也能轻易地绕过这些过滤器。”他们采用不同的方式来编写恶意软件,以避免被发现,即只会激活沙箱之外的恶意行为。例如,它可能只在真实的人与之交互时才被激活,或者在满足其他条件时被激活。

例如,恶意软件会等待一段时间,可能要等上几个小时、几天,甚至几周才被引爆,从而在有效载荷触发之前,被尽可能地传播开来。或者,恶意软件会检查一下它是否在管理程序环境中运行。据Cisco Talos于5月份发布的一份报告,比如,最新版本的JasperLoader恶意软件查询Windows Management Instrumentation子系统,以查明它在哪里运行,如果它在VirtualBox VMware或者KVM环境中,它将终止执行。

5.没有打补丁的漏洞

由国家安全局(NSA)最先开发出来的安全工具EtheralBlue于2017年在网上被泄露了。从那时起,尽管微软很快发布了一个补丁,但EtheralBlue还是卷入了针对英国医疗系统的攻击、对联邦快递的攻击(造成了4亿美元的损失)、对默克公司的攻击(造成了6.7亿美元的损失),以及对很多其他目标的攻击。

最近,巴尔的摩遭受了一次勒索软件攻击,据称该攻击利用了EternalBlue漏洞。不仅仅是巴尔的摩,据安全公司ESET,自2017年以来,涉及EternalBlue的攻击次数一直在上升,并且今年春天达到了历史高峰。ESET报道说,世界上仍有近100万台机器使用过时的、易受攻击的SMB v1协议,其中40多万台是在美国。

据Ponemon,65%的企业表示,很难及时打上补丁,这甚至是一项极其艰巨的任务。

6.击败安全代理

今年4月份,Absolute安全公司发布了一项历时一年对全球600万台设备的研究结果。一般的设備会有十个安全代理,有很多端点保护措施。然而,这并不总是那么有效。首先,代理会相互重叠、碰撞和干扰。任何时间都会发现,7%的端点未能进行保护,21%端点的系统已经过时。

即使安装了最新而且完全有效的端点保护安全代理,一旦攻击者站稳脚跟(例如,通过使用EternalBlue),他们也会有多种方法关闭端点保护服务。BTB安全公司顾问Humberto Gauna介绍说,例如,他们会使用PowerShell等现有的合法应用软件。

Gauna补充说,他们还可以对端点安全代理发起拒绝服务攻击,压垮端点安全代理,使其无法继续工作,他们还会利用没有正确配置的代理。然后,攻击者修改注册表,提升权限,以便在恢复后能够覆盖端点保护服务。

Gauna说,防范这种情况的方法是建立一个更严格的权限等级制度,并保持补丁的一致性。

以上方法都很复杂。它们通常出现在民族国家攻击者的攻击中。

他们经常得手。位于瑞典的网络安全公司Baffin Bay Networks的威胁研究主管Justin Shattuck介绍说,现在,它们被更广泛的攻击者使用了。他说:“这的确是个问题。”

Shattuck说,这些攻击程序被打包放在暗网上,即使不太懂技术的人也能使用。这不仅使得企业不得不去防御越来越多的复杂攻击,而且加大了政府干预的难度。他说:“不太懂技术的人承担所有风险。如果他们被抓到,我们通常也很难找到打包和提供攻击能力的人。”

Maria Korolov过去20年一直涉足新兴技术和新兴市场。

原文网址

https://www.csoonline.com/article/3400860/6-ways-malware-can-bypass-endpoint-protection.html

猜你喜欢
端点合法攻击者
非特征端点条件下PM函数的迭代根
基于微分博弈的追逃问题最优策略设计
合法兼职受保护
被赖账讨薪要合法
合法外衣下的多重阻挠
不等式求解过程中端点的确定
正面迎接批判
参数型Marcinkiewicz积分算子及其交换子的加权端点估计
找个人来替我怀孕一一代孕该合法吗?
基丁能虽匹配延拓法LMD端点效应处理