安全動(dòng)態(tài)

網(wǎng)絡(luò)安全拐點(diǎn):無(wú)惡意軟件攻擊主流化

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-03-10    瀏覽次數(shù):
 

信息來(lái)源:安全牛


過(guò)去幾年,安全人員關(guān)注的焦點(diǎn)是網(wǎng)絡(luò)犯罪的組織化和市場(chǎng)化趨勢(shì),包括各種攻擊即服務(wù)(例如DDoS as a Service、RaaS勒索軟件即服務(wù)等)、惡意軟件產(chǎn)業(yè)化發(fā)展等。但是2019-2020年,老式黑客電影中常出現(xiàn)的場(chǎng)景,黑客飛速敲擊鍵盤(pán)在命令行工具中輸入字符的“手動(dòng)攻擊”再次回歸主流!

近日,據(jù)CrowdStrike、Rapid7等網(wǎng)絡(luò)安全公司的監(jiān)測(cè)分析, “無(wú)惡意軟件”攻擊勢(shì)頭正在上升成主流攻擊手段,對(duì)企業(yè)安全防御者構(gòu)成嚴(yán)重威脅和挑戰(zhàn)。

他來(lái)了,他帶著鍵盤(pán)來(lái)了

CrowdStrike的最新安全報(bào)告數(shù)據(jù)顯示,2019年,黑客用鍵盤(pán)逐行輸入命令的“手動(dòng)攻擊”反超了全球范圍內(nèi)由惡意軟件傳播引領(lǐng)的“現(xiàn)代化大規(guī)模自動(dòng)化攻擊”。

一段時(shí)間以來(lái),經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)罪犯和國(guó)家黑客一直在通過(guò)新方法來(lái)提升“殺傷力”,例如,潛入目標(biāo)網(wǎng)絡(luò)并冒充真實(shí)用戶(hù)來(lái)掩蓋其安全工具的活動(dòng),使用被盜的憑據(jù)并運(yùn)行合法的工具來(lái)竊取數(shù)據(jù)。

在CrowdStrike的威脅事件響應(yīng)報(bào)告中,此類(lèi)所謂的“無(wú)惡意軟件”攻擊首次超越基于惡意軟件的攻擊,在2019年攻擊事件中的占比達(dá)到51%,超過(guò)后者的49%(上圖)。而在2018年和2017年,全球攻擊事件中惡意軟件的占比還高達(dá)60%,無(wú)惡意軟件攻擊的占比約40%。

用CrowdStrike的話來(lái)說(shuō),無(wú)惡意軟件攻擊是一種潛入受害組織的方法,它沒(méi)有在計(jì)算機(jī)磁盤(pán)上使用惡意文件或文件片段。除了憑據(jù)或合法工具被盜外,這種類(lèi)型的攻擊還可以從內(nèi)存中執(zhí)行代碼,并且只能通過(guò)檢測(cè)異常行為的高級(jí)工具和技術(shù),或通過(guò)威脅搜尋來(lái)檢測(cè)。

也許我們可以把這種趨勢(shì)解讀為:APT的常態(tài)化,但無(wú)論規(guī)模還是頻率和影響范圍,無(wú)惡意軟件攻擊都要遠(yuǎn)超APT。

從Crowdstrike的2019年網(wǎng)絡(luò)攻擊TTPs統(tǒng)計(jì)(上圖)中也可以看到,一度被腳本小子和惡意軟件搶了風(fēng)頭的傳統(tǒng)黑客又回來(lái)了,他們主要使用“手動(dòng)模式攻擊”,例如命令行界面,PowerShell以及隱藏文件和目錄。這些技術(shù)在2019年觀測(cè)到的許多復(fù)雜攻擊中都發(fā)揮了重要作用,這些攻擊的一個(gè)共同特點(diǎn)就是攻擊中有黑客個(gè)人參與并引導(dǎo)。

安全專(zhuān)家擔(dān)心,如果攻擊者加倍實(shí)施無(wú)惡意軟件攻擊,那么企業(yè)現(xiàn)有的安全工具,乃至企業(yè)的整個(gè)安全防御體系將不堪重負(fù),形同虛設(shè)。CrowdStrike的CTO Michael Sentonas表示: 

隨著越來(lái)越多的攻擊者找到繞過(guò)傳統(tǒng)安全工具的方法,無(wú)惡意軟件攻擊正在快速增長(zhǎng)。而且,攻擊者并不滿(mǎn)足于繞過(guò)常規(guī)的防病毒軟件,他們也開(kāi)始繞過(guò)下一代AV產(chǎn)品。這正推動(dòng)無(wú)惡意軟件攻擊的大幅度升級(jí)。如果無(wú)惡意軟件攻擊占比達(dá)到60%或以上,那將是一個(gè)極為嚴(yán)峻的問(wèn)題。

Sentonas指出,問(wèn)題在于,大多數(shù)組織都沒(méi)有技術(shù)能力來(lái)區(qū)分合法用戶(hù)或竊取其憑據(jù)的攻擊者。

手動(dòng)化挑戰(zhàn)自動(dòng)化

根據(jù)CrowdStrike的報(bào)告,去年大多數(shù)無(wú)惡意軟件的攻擊都發(fā)生在北美(上圖),四分之三的攻擊并未在受害組織內(nèi)部部署惡意軟件。

當(dāng)越來(lái)越多的攻擊者開(kāi)始采用“手動(dòng)攻擊”,網(wǎng)絡(luò)安全業(yè)界開(kāi)始流行的自動(dòng)化檢測(cè)和響應(yīng)(例如SOAR)技術(shù)就會(huì)面臨挑戰(zhàn)。

安全公司Rapid7的研究者也發(fā)現(xiàn),越來(lái)越多的攻擊者滲透進(jìn)目標(biāo)時(shí)會(huì)放棄使用惡意軟件。Rapid7的研究主管Tod Beardsley說(shuō):

攻擊者正在使用有效憑據(jù)或重用其他攻擊中獲取的憑據(jù),這簡(jiǎn)直防不勝防。 這不是您可以輕松地自動(dòng)化編排防御的威脅。

這同時(shí)也意味著,隨著手動(dòng)攻擊的流行,賬戶(hù)憑據(jù)的泄露,對(duì)企業(yè)的威脅越來(lái)越大。根據(jù)SANS針對(duì)企業(yè)安全部門(mén)的調(diào)查,失竊信息在地下黑市的交易變現(xiàn)與利用(暗網(wǎng)情報(bào))是未來(lái)12月內(nèi),CSO們眼中最有價(jià)值的威脅情報(bào)信息之一(下圖):

CrowdStrike首席技術(shù)官Sentonas表示:

今年將是一件有趣的事情:無(wú)惡意軟件的攻擊是否會(huì)繼續(xù)增加,這是否與(攻擊者的)駐留時(shí)間相關(guān)?如果這是未來(lái)兩年到四年的網(wǎng)絡(luò)安全趨勢(shì),那么我們就遇到大麻煩了,因?yàn)樵絹?lái)越多的攻擊方法可以繞過(guò)安全控制機(jī)制。

人的因素

安全業(yè)界普遍認(rèn)為,無(wú)惡意軟件攻擊防御的關(guān)鍵是“人的因素”。

Rapid 7的Beardsley認(rèn)為,面對(duì)自動(dòng)化安全運(yùn)營(yíng)和防御技術(shù)難以招架的手動(dòng)攻擊威脅,組織需要重視“人的因素”,授權(quán)最終用戶(hù)成為安全文化的一部分(安全是每個(gè)人的責(zé)任,而不僅僅是企業(yè)安全人員的責(zé)任)。

安全廠商Sophos的首席研究科學(xué)家Chester Wisniewski認(rèn)為:

現(xiàn)在,有更多的攻擊者是人。因此對(duì)合法工具的惡意用途檢測(cè)尤為關(guān)鍵。例如,如果發(fā)現(xiàn)Nmap網(wǎng)絡(luò)監(jiān)視工具在DMZ中的Web服務(wù)器上運(yùn)行,那應(yīng)該是一個(gè)危險(xiǎn)信號(hào)。沒(méi)有人可以在DMZ的服務(wù)器上運(yùn)行它。

Wisniewski指出,如果合法的安全工具在常規(guī)使用時(shí)間(范圍)以外運(yùn)行,則構(gòu)成安全事件。我們必須清楚,你可能不是唯一使用這些工具的人,使用者也可能是壞人。


 
 

上一篇:2020年03月9日 聚銘安全速遞

下一篇:區(qū)塊鏈技術(shù)在工業(yè)互聯(lián)網(wǎng)安全的應(yīng)用