研究人员最近发现,HEAT(HighlyEvasiveAdaptiveThreat)是一种高度规避的自适应新威胁,它使用多种技术来规避当前安全架构多层机制的检测。在疫情防控常态化趋势下,越来越多的企业开启了远程办公模式,企业“上云”成为驱动流程创新和业务创新的主流方式。为了以远程模式攻击员工,网络犯罪分子通常会通过网络钓鱼或鱼叉式网络钓鱼电子邮件发送恶意链接。虽然这种简单的攻击策略是有效的,但攻击者会不断改变他们的攻击方法并寻找新的攻击向量,以试图比他们的攻击领先一步。可以逃避现有检测技术的新威胁高度规避的自适应威胁HEAT使用多种技术来逃避当前安全架构中多层机制的检测。这种威胁传递恶意软件或窃取登录信息,提供数据窃取、隐形监控、接管帐户和植入勒索软件有效负载来创造条件。HEAT攻击者使用以下四种规避技术来绕过传统的网络安全防御。规避静态内容检查和动态内容检查:HEAT攻击规避签名和行为分析引擎,并使用HTML走私等新技术向受害者提供恶意负载。规避恶意链接分析:在电子邮件路径中,企业通常可以在恶意链接到达用户之前对其进行分析,但是,HEAT威胁会规避传统上在电子邮件路径中实施的恶意链接分析引擎。规避离线分类和威胁检测:HEAT攻击闯入良性网站,或竭尽全力创建新网站(名为“Good2Bad”网站)并从中传播恶意软件,从而绕过Web分类机制。研究人员发现,从2020年到2021年,Good2Bad网站的数量增加了137%以上。知名品牌等,都是JavaScript通过渲染引擎在浏览器中生成的,在这种情况下,检测技术就显得无用了。如何应对HEAT威胁HEAT攻击现在正被包括Nobelium(SolarWinds攻击背后的组织)在内的知名威胁组织所利用,而且它们的数量还在增加。事实上,MenloLabs研究团队观察到,仅在2021年下半年,HEAT攻击就激增了224%。鉴于终端用户75%的工作时间都花在浏览器上,此类高规避性攻击的数量和复杂程度将猛增,企业有针对性地防御此类攻击势在必行。全球数以百万计的企业和个人依靠浏览器来执行他们的大部分工作和个人事务。随着远程工作的兴起和威胁技术的快速发展,这种攻击已经成为当今企业面临的最大威胁之一。此外,由于HEAT攻击隐藏在合法使用的背后,因此包括安全Web网关、沙盒、URL信誉和过滤在内的传统安全功能对此类攻击毫无用处。简单地阻止它们是行不通的。相反,组织必须能够防止恶意使用这些技术,以便有效地保护自己。组织不仅需要与时俱进,实施针对复杂威胁的安全策略和功能,而且还需要改变思维方式,以保护组织免受未来黑客的攻击。为了保护网络,安全和业务领导者必须从关注检测和补救转向基于零信任架构的预防性安全方法,并采用安全访问服务边缘(SASE)框架来保护远程混合劳动力。只有在靠近最终用户、应用程序和数据的地方采取安全措施,才能取得良好的效果。威胁在变化,黑客变得越来越狡猾,成为任何企业受害者的风险比以往任何时候都大。有一件事是肯定的:安全领导者必须灵活,确保安全架构不断发展以防止攻击发生,并制定具体计划以防出现不可预见的情况。只有阻止网络犯罪分子访问他们垂涎的网络、应用程序和设备,组织才能保护资源免受感染,从而使安全运营团队能够专注于其他可能更具影响力的威胁。参考链接:https://www.darkreading.com/attacks-breaches/protecting-your-organization-against-a-new-class-of-cyber-threats-heat。
