信息來源:安全牛
過去幾年����,安全人員關(guān)注的焦點是網(wǎng)絡犯罪的組織化和市場化趨勢,包括各種攻擊即服務(例如DDoS as a Service���、RaaS勒索軟件即服務等)����、惡意軟件產(chǎn)業(yè)化發(fā)展等��。但是2019-2020年���,老式黑客電影中常出現(xiàn)的場景���,黑客飛速敲擊鍵盤在命令行工具中輸入字符的“手動攻擊”再次回歸主流!
近日����,據(jù)CrowdStrike、Rapid7等網(wǎng)絡安全公司的監(jiān)測分析���, “無惡意軟件”攻擊勢頭正在上升成主流攻擊手段�,對企業(yè)安全防御者構(gòu)成嚴重威脅和挑戰(zhàn)�。
他來了,他帶著鍵盤來了
CrowdStrike的最新安全報告數(shù)據(jù)顯示��,2019年,黑客用鍵盤逐行輸入命令的“手動攻擊”反超了全球范圍內(nèi)由惡意軟件傳播引領(lǐng)的“現(xiàn)代化大規(guī)模自動化攻擊”��。
一段時間以來���,經(jīng)驗豐富的網(wǎng)絡罪犯和國家黑客一直在通過新方法來提升“殺傷力”�����,例如��,潛入目標網(wǎng)絡并冒充真實用戶來掩蓋其安全工具的活動���,使用被盜的憑據(jù)并運行合法的工具來竊取數(shù)據(jù)。
在CrowdStrike的威脅事件響應報告中�,此類所謂的“無惡意軟件”攻擊首次超越基于惡意軟件的攻擊,在2019年攻擊事件中的占比達到51%�,超過后者的49%(上圖)����。而在2018年和2017年,全球攻擊事件中惡意軟件的占比還高達60%���,無惡意軟件攻擊的占比約40%����。
用CrowdStrike的話來說,無惡意軟件攻擊是一種潛入受害組織的方法����,它沒有在計算機磁盤上使用惡意文件或文件片段。除了憑據(jù)或合法工具被盜外����,這種類型的攻擊還可以從內(nèi)存中執(zhí)行代碼,并且只能通過檢測異常行為的高級工具和技術(shù)���,或通過威脅搜尋來檢測��。
也許我們可以把這種趨勢解讀為:APT的常態(tài)化���,但無論規(guī)模還是頻率和影響范圍,無惡意軟件攻擊都要遠超APT�����。
從Crowdstrike的2019年網(wǎng)絡攻擊TTPs統(tǒng)計(上圖)中也可以看到���,一度被腳本小子和惡意軟件搶了風頭的傳統(tǒng)黑客又回來了����,他們主要使用“手動模式攻擊”,例如命令行界面����,PowerShell以及隱藏文件和目錄。這些技術(shù)在2019年觀測到的許多復雜攻擊中都發(fā)揮了重要作用�,這些攻擊的一個共同特點就是攻擊中有黑客個人參與并引導。
安全專家擔心���,如果攻擊者加倍實施無惡意軟件攻擊���,那么企業(yè)現(xiàn)有的安全工具,乃至企業(yè)的整個安全防御體系將不堪重負�����,形同虛設(shè)��。CrowdStrike的CTO Michael Sentonas表示:
隨著越來越多的攻擊者找到繞過傳統(tǒng)安全工具的方法��,無惡意軟件攻擊正在快速增長���。而且���,攻擊者并不滿足于繞過常規(guī)的防病毒軟件,他們也開始繞過下一代AV產(chǎn)品���。這正推動無惡意軟件攻擊的大幅度升級���。如果無惡意軟件攻擊占比達到60%或以上,那將是一個極為嚴峻的問題����。
Sentonas指出,問題在于�����,大多數(shù)組織都沒有技術(shù)能力來區(qū)分合法用戶或竊取其憑據(jù)的攻擊者��。
手動化挑戰(zhàn)自動化
根據(jù)CrowdStrike的報告����,去年大多數(shù)無惡意軟件的攻擊都發(fā)生在北美(上圖),四分之三的攻擊并未在受害組織內(nèi)部部署惡意軟件��。
當越來越多的攻擊者開始采用“手動攻擊”��,網(wǎng)絡安全業(yè)界開始流行的自動化檢測和響應(例如SOAR)技術(shù)就會面臨挑戰(zhàn)。
安全公司Rapid7的研究者也發(fā)現(xiàn)����,越來越多的攻擊者滲透進目標時會放棄使用惡意軟件。Rapid7的研究主管Tod Beardsley說:
攻擊者正在使用有效憑據(jù)或重用其他攻擊中獲取的憑據(jù)���,這簡直防不勝防��。 這不是您可以輕松地自動化編排防御的威脅����。
這同時也意味著���,隨著手動攻擊的流行�,賬戶憑據(jù)的泄露��,對企業(yè)的威脅越來越大�����。根據(jù)SANS針對企業(yè)安全部門的調(diào)查��,失竊信息在地下黑市的交易變現(xiàn)與利用(暗網(wǎng)情報)是未來12月內(nèi),CSO們眼中最有價值的威脅情報信息之一(下圖):
CrowdStrike首席技術(shù)官Sentonas表示:
今年將是一件有趣的事情:無惡意軟件的攻擊是否會繼續(xù)增加����,這是否與(攻擊者的)駐留時間相關(guān)�����?如果這是未來兩年到四年的網(wǎng)絡安全趨勢���,那么我們就遇到大麻煩了���,因為越來越多的攻擊方法可以繞過安全控制機制。
人的因素
安全業(yè)界普遍認為���,無惡意軟件攻擊防御的關(guān)鍵是“人的因素”���。
Rapid 7的Beardsley認為,面對自動化安全運營和防御技術(shù)難以招架的手動攻擊威脅����,組織需要重視“人的因素”,授權(quán)最終用戶成為安全文化的一部分(安全是每個人的責任���,而不僅僅是企業(yè)安全人員的責任)��。
安全廠商Sophos的首席研究科學家Chester Wisniewski認為:
現(xiàn)在���,有更多的攻擊者是人����。因此對合法工具的惡意用途檢測尤為關(guān)鍵���。例如���,如果發(fā)現(xiàn)Nmap網(wǎng)絡監(jiān)視工具在DMZ中的Web服務器上運行,那應該是一個危險信號��。沒有人可以在DMZ的服務器上運行它���。
Wisniewski指出�����,如果合法的安全工具在常規(guī)使用時間(范圍)以外運行��,則構(gòu)成安全事件�����。我們必須清楚�,你可能不是唯一使用這些工具的人,使用者也可能是壞人����。
