QQ登录

只需一步,快速开始

切换到宽版 切换风格

电脑疯子技术论坛|电脑极客社区

网络安全拐点:无恶意软件攻击主流化

[复制链接]
21 0
过去几年 安全人员关注的焦点是网络犯罪的组织化和市场化趋势 包括各种攻击即服务 例如DDoS as a Service RaaS
勒索软件即服务等 恶意软件产业化发展等 但是2019-2020年 老式黑客电影中常出现的场景 黑客飞速敲击键盘在命
令行工具中输入字符的 手动攻击 再次回归主流!

ac33c7872df9643ef49990c5d30a5167.png-wh_651x-s_2513151473.png

近日 据CrowdStrikeRapid7等网络安全公司的监测分析 无恶意软件 攻击势头正在上升成主流攻击
手段 对企业安全防御者构成严重威胁和挑战。

他来了 他带着键盘来了

CrowdStrike的最新安全报告数据显示 2019年 黑客用键盘逐行输入命令的 手动攻击 反超了全球范
围内由恶意软件传播引领的现代化大规模自动化攻击。
一段时间以来 经验丰富的网络罪犯和国家黑客一直在通过新方法来提升 杀伤力 例如 潜入目标网络并冒充真实用户来掩
盖其安全工具的活动 使用被盗的凭据并运行合法的工具来窃取数据。

981a3797bc19d01ba62704a76d7152c5.png

在CrowdStrike的威胁事件响应报告中 此类所谓的 无恶意软件 攻击首次超越基于恶意软件的攻击
在2019年攻击事件中的占比达到51% 超过后者的49%(上图 而在2018年和2017年 全球攻击事件
中恶意软件的占比还高达60%无恶意软件攻击的占比约40%。

用CrowdStrike的话来说 无恶意软件攻击是一种潜入受害组织的方法 它没有在计算机磁盘上使用恶意文
件或文件片段 除了凭据或合法工具被盗外 这种类型的攻击还可以从内存中执行代码 并且只能通过检测
异常行为的高级工具和技术 或通过威胁搜寻来检测。

也许我们可以把这种趋势解读为:APT的常态化 但无论规模还是频率和影响范围无恶意软件攻击都要远超APT。

7a2d81c0f538d14f93e693f269cbad61.png

从Crowdstrike的2019年网络攻击TTPs统计(上图)中也可以看到 一度被脚本小子和恶意软件抢了风头的传统黑客又
回来了他们主要使用 手动模式攻击 例如命令行界面 PowerShell以及隐藏文件和目录 这些技术在2019年观测到的
许多复杂攻击中都发挥了重要作用 这些攻击的一个共同特点就是攻击中有黑客个人参与并引导。

安全专家担心 如果攻击者加倍实施无恶意软件攻击 那么企业现有的安全工具乃至
企业的整个安全防御体系将不堪重负 形同虚设。
CrowdStrike的CTO Michael Sentonas表示:

随着越来越多的攻击者找到绕过传统安全工具的方法 无恶意软件攻击正在快速增长 而且 攻击者并不满
足于绕过常规的防病毒软件 他们也开始绕过下一代AV产品 这正推动无恶意软件攻击的大幅度升级 如
果无恶意软件攻击占比达到60%或以上 那将是一个极为严峻的问题。

Sentonas指出 问题在于 大多数组织都没有技术能力来区分合法用户或窃取其凭据的攻击者。

手动化挑战自动化

94.png

根据CrowdStrike的报告 去年大多数无恶意软件的攻击都发生在北美(上图) 四分之三
的攻击并未在受害组织内部部署恶意软件。
当越来越多的攻击者开始采用 手动攻击 网络安全业界开始流行的自动化检测和响应(例如SOAR)技术就会面临挑战。
安全公司Rapid7的研究者也发现 越来越多的攻击者渗透进目标时会放弃使用恶意软件
Rapid7的研究主管Tod Beardsley说:

攻击者正在使用有效凭据或重用其他攻击中获取的凭据 这简直防不胜防这不是您可以轻松地自动化编排防御的威胁。
这同时也意味着 随着手动攻击的流行 账户凭据的泄露 对企业的威胁越来越大 根据SANS针对企业安全部门的调查失
窃信息在地下黑市的交易变现与利用(暗网情报)是未来12月内 CSO们眼中最有价值的威胁情报信息之一(下图):

63.png

CrowdStrike首席技术官Sentonas表示:

今年将是一件有趣的事情 无恶意软件的攻击是否会继续增加 这是否与(攻击者的)驻留时间相关?
如果这是未来两年到四年的网络安全趋势 那么我们就遇到大麻烦了 因为越来越多的攻击方法
可以绕过安全控制机制。

人的因素

安全业界普遍认为无恶意软件攻击防御的关键是 人的因素 。
Rapid 7的Beardsley认为 面对自动化安全运营和防御技术难以招架的手动攻击威胁 组织需要重视 人的因素
授权最终用户成为安全文化的一部分(安全是每个人的责任 而不仅仅是企业安全人员的责任)。
安全厂商Sophos的首席研究科学家Chester Wisniewski认为:

现在 有更多的攻击者是人 因此对合法工具的恶意用途检测尤为关键 例如 如果发现Nmap网络监视工具在DMZ中的
Web服务器上运行 那应该是一个危险信号 没有人可以在DMZ的服务器上运行它。
Wisniewski指出 如果合法的安全工具在常规使用时间(范围)以外运行 则构成安全事件 我们必须清楚你可
能不是唯一使用这些工具的人 使用者也可能是坏人。

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

6102

主题
精彩推荐
热门资讯
网友晒图
图文推荐
Pcgho! X3.4

© 2020 Comsenz Inc.