从可信渗透测试工具到LOLBIN(living-off-the-landbinaries),攻击者通过滥用可信平台和协议来逃避安全检测。CISO拥有一系列不断发展的工具来帮助他们发现和阻止恶意活动,例如网络监控工具、病毒扫描程序、软件组成分析(SCA)工具、数字取证和事件响应(DFIR)解决方案等。然而,重要的是要知道,网络安全本质上是攻防之间的一场持久战,随着防御者不断提高技能和工具,攻击者也在不断提出新的挑战。一些老式技术,例如隐写术——将包含恶意负载的信息隐藏在图像等其他良性文件中的技术——正在开发中,开辟了新的可能性。例如,研究人员最近证明,即使是Twitter也不能幸免于隐写术,平台上的图像可能被滥用以压缩其中最多3MB的ZIP档案。更糟糕的现实是,除了使用混淆、隐写术和恶意软件打包技术外,当今的威胁行为者还经常利用合法服务、平台、协议和工具来开展活动。这使他们能够渗透对人类分析师和机器来说看起来“干净”的流量或活动。以下是当今网络犯罪分子用来掩盖踪迹的5种常用策略:滥用不发出警报的可信平台这是安全专家在2020年看到的一种普遍现象,并且这种现象将持续到今年。从CobaltStrike和Ngrok等渗透测试服务和工具,到GitHub等已建立的开源代码生态系统,再到Imgur和Pastebin等图像和文本网站,攻击者瞄准了一个广泛信任的平台。通常,Ngrok的受众主要是道德黑客,他们使用该服务收集数据或为入站连接创建模拟隧道,作为漏洞赏金活动或渗透测试活动的一部分。但如今,越来越多的恶意行为者滥用Ngrok直接安装僵尸网络恶意软件,或将合法通信服务连接到恶意服务器。在最近的一个例子中,SANSInstitute的XavierMertens发现了一个用Python编写的此类恶意软件样本,其中包含base64编码的代码,可以使用Ngrok在受感染的系统上植入后门。由于Ngrok受到广泛信任,远程攻击者可以通过可以绕过公司防火墙或NAT保护的Ngrok隧道连接到受感染的系统。除此之外,GitHub还被滥用来托管从OctopusScanner到Gitpaste-12的恶意软件。最近,研究人员发现了一种新的恶意软件,它使用带有宏的Word文档从GitHub下载PowerShell脚本。此PowerShell脚本进一步从图像托管服务Imgur下载合法图像文件,以解码Windows系统上的CobaltStrike脚本。CobaltStrike是一种流行的渗透测试框架,用于模拟高级现实世界的网络攻击,但与任何安全软件产品一样,它也可能被攻击者滥用。同样,开发人员所依赖的自动化工具也不能幸免。4月,攻击者滥用GitHubActions在一次使用GitHub的服务器和资源进行加密货币挖掘的自动攻击中以数百个存储库为目标。据悉,GitHubActions是GitHubUniverse开发者大会上发布的一大特色,被Github系统总监SamLambert称为“再次改变软件开发”。它支持CI/CD,对开源项目免费,允许开发者使用GitHub直接在服务器上执行和测试代码,帮助开发者和企业自动化所有软件工作流程。这些示例中的每一个都证实,攻击者发现了利用可能不会被众多防火墙和安全监控工具阻止的合法平台的巨大价值。利用品牌价值、声誉或知名度的上游攻击在最近的SolarWinds漏洞事件之后,软件供应链安全问题可能已经引起了公众的广泛关注,但实际上,这些攻击已经上升了一段时间。无论是域名仿冒、品牌劫持还是依赖性混淆(最初作为概念验证研究发现,后来被滥用于恶意目的),“上游”攻击都会滥用生态系统内已知合作伙伴的信任并利用品牌或软件组件的知名度或声誉.攻击者旨在将恶意代码向上游推送到与品牌关联的可信代码存储库,然后将其分发到下游最终目标:品牌的合作伙伴、客户或用户等。要知道,任何对所有人开放的系统也是开放的给攻击者。因此,许多供应链攻击都针对开源生态系统,其中一些在验证方面松懈并坚持“对所有人开放”的原则。但是,商业组织也可能受到这种攻击的影响。近日,软件审计平台Codecov被黑。调查发现,攻击从1月31日开始,但第一个客户发现问题是4月1日,这意味着被攻陷的软件已经正常流通了几个月,Codecov已经被业界使用。许多公司习惯于测试代码错误和漏洞。他们的客户包括消费品集团宝洁、网络托管公司GoDaddyInc、澳大利亚软件公司AtlassianCorporationPLC等29000多家公司,潜在受害者的规模可想而知。据悉,在此次攻击中,黑客利用Codecov的Docker镜像创建过程中的错误,非法获取其BashUploader脚本并进行修改。而这意味着攻击者极有可能导出存储在Codecov用户的持续集成(CI)环境中的信息,并最终将信息发送到Codecov基础设施之外的第三方服务器。防范供应链攻击需要多方面的努力。软件供应商将需要投入更多资金来确保其开发版本的安全。基于AI和ML的开发运营解决方案可自动检测并阻止可疑软件组件,有助于防止域名抢注、品牌劫持和依赖混淆攻击。此外,随着越来越多的公司采用Kubernetes或Docker容器来部署他们的应用程序,拥有内置的Web应用程序防火墙并能够及早发现简单的错误配置容器安全解决方案可以帮助防止更大的妥协。无法追踪的加密货币支付转移鉴于其去中心化和注重隐私的设计,暗网市场卖家和勒索软件运营商经常使用加密货币进行支付。然而,尽管不是由政府中央银行铸造或控制,加密货币仍然缺乏与现金相同的匿名性。因此,网络犯罪分子一直在寻找创新的方式在账户之间转移资金,他们已经找到了。最近,与2016年Bitfinex黑客攻击相关的价值7.6亿美元的比特币被转移到多个较小交易中的新账户,交易金额从1BTC到1,200BTC不等。然而,加密货币并不是一种万无一失的藏钱方法。就在2020年美国总统大选当晚,美国政府清空了一个价值10亿美元的比特币钱包,其中包含与最臭名昭著的暗网市场丝绸之路相关的资金,该市场本身已于2013年被盗。其他一些加密货币,例如Monero(XMR)和Zcash(ZEC),具有比比特币更多的匿名交易保护功能。随着攻击者继续寻找更好的方法来隐藏他们的踪迹,罪犯和调查人员之间的斗争无疑将在这方面继续下去。使用公共渠道和协议与受信任的平台和品牌一样,合法应用程序使用的加密渠道、端口和协议为攻击者提供了另一种掩盖其踪迹的方式。例如,HTTPS是当今网络上最普遍和必不可少的协议,因此在企业环境中很难禁用端口443(HTTPS/SSL使用)。然而,DoH(DNSoverHTTPS,一种解析域名的协议)也使用端口443,并被恶意软件开发者滥用以将他们的命令和控制(C2)命令传输到受感染的系统。2019年,网络安全研究人员发现了第一个利用DoH协议的恶意软件,即基于Lua编程语言的Godlua。通过使用DoH,恶意软件可以通过加密的HTTPS连接隐藏其DNS流量,从而允许Godlua逃避被动DNS监控。此外,这种情况还存在两个问题。首先,通过滥用HTTPS或DoH等通用协议,攻击者可以享受与合法用户相同的端到端加密通道的隐私优势。其次,这给网络管理员带来了挑战。阻止任何类型的DNS本身就是一个挑战,但是现在DNS请求和响应是通过HTTPS加密的,对于安全专业人员来说,拦截、过滤和过滤通过网络进出的许多HTTPS请求是一个挑战.分析可疑流量变得很麻烦。近日,研究人员AlexBirsan证实,超过35家大型科技公司,包括微软、苹果、特斯拉、PayPal、Yelp等,都可以通过依赖混淆技术被成功破解。此举也让他成功获得两家公司价值3万美元的漏洞赏金。根据Birsan的说法,通过使用DNS(端口53)窃取基本信息可以最大限度地取得成功。相反,选择DNS是因为企业防火墙很可能不会因性能要求和合法DNS使用而阻止DNS流量。使用签名的二进制文件运行混淆的恶意软件使用LOLBIN的无文件恶意软件仍然是一种有效的规避技术。LOLBIN是指合法的、数字签名的可执行文件,例如Microsoft签名的Windows可执行文件,攻击者可能会滥用它来启动具有提升权限的恶意代码,或逃避端点安全产品(例如病毒软件)。上个月,微软分享了针对这种方法的一些防御技术的指南,组织可以采用这些技术来防止攻击者滥用微软的AzureLOLBIN。虽然混淆的恶意软件、运行时加壳程序(RuntimePackers)、VM规避或在图像中隐藏恶意负载是高级威胁使用的已知规避技术,但它们的真正威力来自绕过安全产品或规避“雷达”检测。当有效载荷以某种方式与受信任的软件组件、协议、通道、服务或平台相结合时,这些攻击场景都是可能的。
