惡意軟件繞過端點保護(hù)的6種方法

Maria Korolov

挫敗或者繞過端點保護(hù)措施的攻擊所造成的泄露事件越來越多。本文介紹了攻擊者是怎么干的。

據(jù)Ponemon的《2018年端點安全風(fēng)險狀況報告》，63%的IT安全專業(yè)人士承認(rèn)，過去12個月內(nèi)，攻擊頻率有所上升，52%的受訪者認(rèn)為，事實上不可能停止所有攻擊。他們的防病毒解決方案僅阻止了43%的攻擊。64%的受訪者說，他們的企業(yè)經(jīng)歷過一次甚至多次導(dǎo)致數(shù)據(jù)泄露的端點攻擊。

這份報告是根據(jù)對660名IT安全專業(yè)人士的調(diào)查得出的，報告顯示，大多數(shù)人（70%）承認(rèn)，他們企業(yè)所面臨的新威脅和未知威脅有所增加，而成功攻擊的成本從平均500萬美元增加到了710萬美元。

然而，幾乎每臺計算機(jī)都內(nèi)置了某種形式的保護(hù)措施。那么，為什么攻擊者仍能得手呢？本文介紹攻擊者繞過端點保護(hù)安全措施的幾種主要方法。

1.基于腳本的攻擊

在基于腳本或者“無文件”攻擊中，惡意軟件實際上是在現(xiàn)有合法應(yīng)用軟件中運(yùn)行的腳本，它利用了PowerShell或者使用其他已安裝的Windows組件。由于沒有安裝新的軟件，因此，很多傳統(tǒng)的防御系統(tǒng)都被它繞過了。

據(jù)Ponemon，這類攻擊極有可能導(dǎo)致出現(xiàn)泄露，而且在所有攻擊事件中，此類泄露事件占比從2017年的30%上升到去年的35%。Malwarebytes公司的高級安全研究員Jérome Segura介紹說：“偽代碼非常少，例如，實際上掃描不到惡意軟件二進(jìn)制代碼?！?/p>

安全系統(tǒng)只是能檢測到有一些網(wǎng)絡(luò)流量?！叭欢?，攻擊者也可以加密這些通信，使用可信的通信路由，悄悄地竊取數(shù)據(jù)?！?/p>

據(jù)今年年初發(fā)布的《賽門鐵克互聯(lián)網(wǎng)安全威脅報告》，去年惡意PowerShell腳本的使用增加了1000%。Digital Guardian公司的云服務(wù)安全架構(gòu)師Naaman Hart介紹說：“例如，攻擊者通過執(zhí)行人類無法讀取的命令來使用PowerShell，比如base64編碼命令。PowerShell現(xiàn)在是必不可少的，因此攻擊者通?？偸菚ダ盟！?/p>

Hart說，捕獲此類攻擊的關(guān)鍵是尋找常見應(yīng)用軟件執(zhí)行異常操作的實例。他解釋說：“例如，如果你跟蹤自己環(huán)境中最后被執(zhí)行的一千條命令，那就應(yīng)該注意那些出現(xiàn)不到五次的命令。這通常會是一些不常見的命令，而這些命令往往就是惡意的?！?/p>

2.在流行的基礎(chǔ)設(shè)施上托管惡意網(wǎng)站

很多安全平臺通過阻止用戶點擊惡意鏈接來抵御網(wǎng)絡(luò)釣魚攻擊。例如，他們可能會檢查某一IP地址是否與其他惡意軟件活動有關(guān)聯(lián)。Segura說：“但是，如果把惡意鏈接托管在類似于Azure或者谷歌云的地方，而這些是使用非常廣泛的基礎(chǔ)設(shè)施，不會被列入黑名單。”Slack、GitHub和其他協(xié)作工具也可以用來幫助繞過防御。

一旦被安裝了惡意軟件，它通常會與命令和控制（C&C）服務(wù)器進(jìn)行通信，以獲取下一步行動的指令，并竊取數(shù)據(jù)。同樣，如果C&C服務(wù)器被托管在其他合法的平臺上，那么這一通信通道也可以被偽裝起來。

Bitdefender公司的高級電子威脅分析師Liviu Arsene指出，而且，這些服務(wù)具有內(nèi)置的加密功能。甚至網(wǎng)上照片共享網(wǎng)站也能被用于攻擊。他說：“攻擊者創(chuàng)建社交媒體帳戶，并上傳含有隱藏代碼或者指令的圖片。然后，該惡意軟件接受指令，訪問該帳戶，查看最新的圖片，提取圖像中隱藏的一組指令，然后執(zhí)行這些指令?！?/p>

對于IT部門和企業(yè)安全部門來說，這看起來就像員工正在瀏覽社交媒體網(wǎng)站。這很難被發(fā)現(xiàn)。即使是最新一代的端點保護(hù)技術(shù)也會遇到麻煩，因為攻擊者模仿了正常的用戶行為。

為了防止這種情況發(fā)生，防御方應(yīng)查找這樣的實例：在不該出現(xiàn)的時間出現(xiàn)了這些看似正常的通信，或者出現(xiàn)了某個部門通常不會使用的某個應(yīng)用軟件。

在圖像中隱藏命令的技術(shù)被稱為隱寫術(shù)，也可以用于在圖像附件中隱藏命令。5月份，ESET發(fā)布了一份關(guān)于Turla LightNeuron的報告，指出這是一個針對Microsoft Exchange郵件服務(wù)器的后門。據(jù)ESET，LightNeuron使用電子郵件與其命令和控制服務(wù)器進(jìn)行通信，把消息隱藏在PDF或者JPG等圖像附件中。

3.破壞合法的應(yīng)用軟件和實用程序

每家企業(yè)都有員工使用的很多第三方應(yīng)用軟件、工具和實用程序。如果攻擊者通過進(jìn)入開發(fā)這些應(yīng)用軟件的公司、攻入升級實用程序或者開源項目的代碼庫來攻破這些應(yīng)用軟件，那么，他們就能夠安裝后門和其他惡意代碼。Arsene介紹說：“例如，Cleaner是一款流行的計算機(jī)實用程序，用于從計算機(jī)中清除可能不需要的文件和注冊表項目——該程序被后門病毒感染了。”

據(jù)《賽門鐵克互聯(lián)網(wǎng)安全威脅報告》，2018年針對軟件供應(yīng)鏈的攻擊數(shù)量增長了78%。

Synopsys公司的首席安全策略師Tim Mackey指出，開源代碼特別容易受到攻擊。首先，攻擊者貢獻(xiàn)出合法的漏洞修復(fù)或者軟件改進(jìn)——實際上是有效的。他解釋說：“為了通過審查過程，合法的代碼是用來掩蓋任何惡意代碼的。如果審查過程沒有審查所貢獻(xiàn)的全部功能，那么，這種貢獻(xiàn)將成為軟件未來版本的一部分，而更重要的是，它可能成為嵌入到商業(yè)軟件包中的一種組件。”

Mackey繼續(xù)說，為了防止這種情況發(fā)生，企業(yè)和軟件開發(fā)人員必須仔細(xì)檢查軟件是否有開源代碼，然后把這些代碼映射回其精確的原始來源，以便一旦發(fā)現(xiàn)該代碼就可以快速刪除或者修復(fù)。

4.沙箱逃避

下一代端點保護(hù)平臺的一個常見功能是沙箱，在安全、虛擬的環(huán)境中“引爆”未知的惡意軟件。如果攻擊者不斷修改惡意軟件，使其不會被基于簽名的防御系統(tǒng)捕獲，那么，這是一種非常有用的技術(shù)，能夠有效的發(fā)現(xiàn)這種行為。

Lucy安全公司的創(chuàng)始人Oliver Münchow說：“然而，黑客也能輕易地繞過這些過濾器?！彼麄儾捎貌煌姆绞絹砭帉憪阂廛浖?，以避免被發(fā)現(xiàn)，即只會激活沙箱之外的惡意行為。例如，它可能只在真實的人與之交互時才被激活，或者在滿足其他條件時被激活。

例如，惡意軟件會等待一段時間，可能要等上幾個小時、幾天，甚至幾周才被引爆，從而在有效載荷觸發(fā)之前，被盡可能地傳播開來?；蛘?，惡意軟件會檢查一下它是否在管理程序環(huán)境中運(yùn)行。據(jù)Cisco Talos于5月份發(fā)布的一份報告，比如，最新版本的JasperLoader惡意軟件查詢Windows Management Instrumentation子系統(tǒng)，以查明它在哪里運(yùn)行，如果它在VirtualBox VMware或者KVM環(huán)境中，它將終止執(zhí)行。

5.沒有打補(bǔ)丁的漏洞

由國家安全局（NSA）最先開發(fā)出來的安全工具EtheralBlue于2017年在網(wǎng)上被泄露了。從那時起，盡管微軟很快發(fā)布了一個補(bǔ)丁，但EtheralBlue還是卷入了針對英國醫(yī)療系統(tǒng)的攻擊、對聯(lián)邦快遞的攻擊（造成了4億美元的損失）、對默克公司的攻擊（造成了6.7億美元的損失），以及對很多其他目標(biāo)的攻擊。

最近，巴爾的摩遭受了一次勒索軟件攻擊，據(jù)稱該攻擊利用了EternalBlue漏洞。不僅僅是巴爾的摩，據(jù)安全公司ESET，自2017年以來，涉及EternalBlue的攻擊次數(shù)一直在上升，并且今年春天達(dá)到了歷史高峰。ESET報道說，世界上仍有近100萬臺機(jī)器使用過時的、易受攻擊的SMB v1協(xié)議，其中40多萬臺是在美國。

據(jù)Ponemon，65%的企業(yè)表示，很難及時打上補(bǔ)丁，這甚至是一項極其艱巨的任務(wù)。

6.擊敗安全代理

今年4月份，Absolute安全公司發(fā)布了一項歷時一年對全球600萬臺設(shè)備的研究結(jié)果。一般的設(shè)備會有十個安全代理，有很多端點保護(hù)措施。然而，這并不總是那么有效。首先，代理會相互重疊、碰撞和干擾。任何時間都會發(fā)現(xiàn)，7%的端點未能進(jìn)行保護(hù)，21%端點的系統(tǒng)已經(jīng)過時。

即使安裝了最新而且完全有效的端點保護(hù)安全代理，一旦攻擊者站穩(wěn)腳跟（例如，通過使用EternalBlue），他們也會有多種方法關(guān)閉端點保護(hù)服務(wù)。BTB安全公司顧問Humberto Gauna介紹說，例如，他們會使用PowerShell等現(xiàn)有的合法應(yīng)用軟件。

Gauna補(bǔ)充說，他們還可以對端點安全代理發(fā)起拒絕服務(wù)攻擊，壓垮端點安全代理，使其無法繼續(xù)工作，他們還會利用沒有正確配置的代理。然后，攻擊者修改注冊表，提升權(quán)限，以便在恢復(fù)后能夠覆蓋端點保護(hù)服務(wù)。

Gauna說，防范這種情況的方法是建立一個更嚴(yán)格的權(quán)限等級制度，并保持補(bǔ)丁的一致性。

以上方法都很復(fù)雜。它們通常出現(xiàn)在民族國家攻擊者的攻擊中。

他們經(jīng)常得手。位于瑞典的網(wǎng)絡(luò)安全公司Baffin Bay Networks的威脅研究主管Justin Shattuck介紹說，現(xiàn)在，它們被更廣泛的攻擊者使用了。他說：“這的確是個問題?！?/p>

Shattuck說，這些攻擊程序被打包放在暗網(wǎng)上，即使不太懂技術(shù)的人也能使用。這不僅使得企業(yè)不得不去防御越來越多的復(fù)雜攻擊，而且加大了政府干預(yù)的難度。他說：“不太懂技術(shù)的人承擔(dān)所有風(fēng)險。如果他們被抓到，我們通常也很難找到打包和提供攻擊能力的人?！?/p>

Maria Korolov過去20年一直涉足新興技術(shù)和新興市場。

原文網(wǎng)址

https：//www.csoonline.com/article/3400860/6-ways-malware-can-bypass-endpoint-protection.html