信息來源:安全牛
過去幾年,安全人員關(guān)注的焦點(diǎn)是網(wǎng)絡(luò)犯罪的組織化和市場(chǎng)化趨勢(shì),包括各種攻擊即服務(wù)(例如DDoS as a Service、RaaS勒索軟件即服務(wù)等)、惡意軟件產(chǎn)業(yè)化發(fā)展等。但是2019-2020年,老式黑客電影中常出現(xiàn)的場(chǎng)景,黑客飛速敲擊鍵盤在命令行工具中輸入字符的“手動(dòng)攻擊”再次回歸主流!
近日,據(jù)CrowdStrike、Rapid7等網(wǎng)絡(luò)安全公司的監(jiān)測(cè)分析, “無惡意軟件”攻擊勢(shì)頭正在上升成主流攻擊手段,對(duì)企業(yè)安全防御者構(gòu)成嚴(yán)重威脅和挑戰(zhàn)。
他來了,他帶著鍵盤來了
CrowdStrike的最新安全報(bào)告數(shù)據(jù)顯示,2019年,黑客用鍵盤逐行輸入命令的“手動(dòng)攻擊”反超了全球范圍內(nèi)由惡意軟件傳播引領(lǐng)的“現(xiàn)代化大規(guī)模自動(dòng)化攻擊”。
一段時(shí)間以來,經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)罪犯和國(guó)家黑客一直在通過新方法來提升“殺傷力”,例如,潛入目標(biāo)網(wǎng)絡(luò)并冒充真實(shí)用戶來掩蓋其安全工具的活動(dòng),使用被盜的憑據(jù)并運(yùn)行合法的工具來竊取數(shù)據(jù)。
在CrowdStrike的威脅事件響應(yīng)報(bào)告中,此類所謂的“無惡意軟件”攻擊首次超越基于惡意軟件的攻擊,在2019年攻擊事件中的占比達(dá)到51%,超過后者的49%(上圖)。而在2018年和2017年,全球攻擊事件中惡意軟件的占比還高達(dá)60%,無惡意軟件攻擊的占比約40%。
用CrowdStrike的話來說,無惡意軟件攻擊是一種潛入受害組織的方法,它沒有在計(jì)算機(jī)磁盤上使用惡意文件或文件片段。除了憑據(jù)或合法工具被盜外,這種類型的攻擊還可以從內(nèi)存中執(zhí)行代碼,并且只能通過檢測(cè)異常行為的高級(jí)工具和技術(shù),或通過威脅搜尋來檢測(cè)。
也許我們可以把這種趨勢(shì)解讀為:APT的常態(tài)化,但無論規(guī)模還是頻率和影響范圍,無惡意軟件攻擊都要遠(yuǎn)超APT。
從Crowdstrike的2019年網(wǎng)絡(luò)攻擊TTPs統(tǒng)計(jì)(上圖)中也可以看到,一度被腳本小子和惡意軟件搶了風(fēng)頭的傳統(tǒng)黑客又回來了,他們主要使用“手動(dòng)模式攻擊”,例如命令行界面,PowerShell以及隱藏文件和目錄。這些技術(shù)在2019年觀測(cè)到的許多復(fù)雜攻擊中都發(fā)揮了重要作用,這些攻擊的一個(gè)共同特點(diǎn)就是攻擊中有黑客個(gè)人參與并引導(dǎo)。
安全專家擔(dān)心,如果攻擊者加倍實(shí)施無惡意軟件攻擊,那么企業(yè)現(xiàn)有的安全工具,乃至企業(yè)的整個(gè)安全防御體系將不堪重負(fù),形同虛設(shè)。CrowdStrike的CTO Michael Sentonas表示:
隨著越來越多的攻擊者找到繞過傳統(tǒng)安全工具的方法,無惡意軟件攻擊正在快速增長(zhǎng)。而且,攻擊者并不滿足于繞過常規(guī)的防病毒軟件,他們也開始繞過下一代AV產(chǎn)品。這正推動(dòng)無惡意軟件攻擊的大幅度升級(jí)。如果無惡意軟件攻擊占比達(dá)到60%或以上,那將是一個(gè)極為嚴(yán)峻的問題。
Sentonas指出,問題在于,大多數(shù)組織都沒有技術(shù)能力來區(qū)分合法用戶或竊取其憑據(jù)的攻擊者。
手動(dòng)化挑戰(zhàn)自動(dòng)化
根據(jù)CrowdStrike的報(bào)告,去年大多數(shù)無惡意軟件的攻擊都發(fā)生在北美(上圖),四分之三的攻擊并未在受害組織內(nèi)部部署惡意軟件。
當(dāng)越來越多的攻擊者開始采用“手動(dòng)攻擊”,網(wǎng)絡(luò)安全業(yè)界開始流行的自動(dòng)化檢測(cè)和響應(yīng)(例如SOAR)技術(shù)就會(huì)面臨挑戰(zhàn)。
安全公司Rapid7的研究者也發(fā)現(xiàn),越來越多的攻擊者滲透進(jìn)目標(biāo)時(shí)會(huì)放棄使用惡意軟件。Rapid7的研究主管Tod Beardsley說:
攻擊者正在使用有效憑據(jù)或重用其他攻擊中獲取的憑據(jù),這簡(jiǎn)直防不勝防。 這不是您可以輕松地自動(dòng)化編排防御的威脅。
這同時(shí)也意味著,隨著手動(dòng)攻擊的流行,賬戶憑據(jù)的泄露,對(duì)企業(yè)的威脅越來越大。根據(jù)SANS針對(duì)企業(yè)安全部門的調(diào)查,失竊信息在地下黑市的交易變現(xiàn)與利用(暗網(wǎng)情報(bào))是未來12月內(nèi),CSO們眼中最有價(jià)值的威脅情報(bào)信息之一(下圖):
CrowdStrike首席技術(shù)官Sentonas表示:
今年將是一件有趣的事情:無惡意軟件的攻擊是否會(huì)繼續(xù)增加,這是否與(攻擊者的)駐留時(shí)間相關(guān)?如果這是未來兩年到四年的網(wǎng)絡(luò)安全趨勢(shì),那么我們就遇到大麻煩了,因?yàn)樵絹碓蕉嗟墓舴椒梢岳@過安全控制機(jī)制。
人的因素
安全業(yè)界普遍認(rèn)為,無惡意軟件攻擊防御的關(guān)鍵是“人的因素”。
Rapid 7的Beardsley認(rèn)為,面對(duì)自動(dòng)化安全運(yùn)營(yíng)和防御技術(shù)難以招架的手動(dòng)攻擊威脅,組織需要重視“人的因素”,授權(quán)最終用戶成為安全文化的一部分(安全是每個(gè)人的責(zé)任,而不僅僅是企業(yè)安全人員的責(zé)任)。
安全廠商Sophos的首席研究科學(xué)家Chester Wisniewski認(rèn)為:
現(xiàn)在,有更多的攻擊者是人。因此對(duì)合法工具的惡意用途檢測(cè)尤為關(guān)鍵。例如,如果發(fā)現(xiàn)Nmap網(wǎng)絡(luò)監(jiān)視工具在DMZ中的Web服務(wù)器上運(yùn)行,那應(yīng)該是一個(gè)危險(xiǎn)信號(hào)。沒有人可以在DMZ的服務(wù)器上運(yùn)行它。
Wisniewski指出,如果合法的安全工具在常規(guī)使用時(shí)間(范圍)以外運(yùn)行,則構(gòu)成安全事件。我們必須清楚,你可能不是唯一使用這些工具的人,使用者也可能是壞人。