虹科分享 | 您的網(wǎng)絡(luò )安全是否防篡改

下一代防病毒（NGAV）、端點(diǎn)檢測和響應（EDR）以及端點(diǎn)保護平臺（EPP）等網(wǎng)絡(luò )安全解決方案面臨著(zhù)濫用、篡改和利用，以實(shí)現初始訪(fǎng)問(wèn)和持久性。威脅者知道，破壞這些防御系統往往更容易得到他們想要的東西。但有多少團隊在網(wǎng)絡(luò )安全中優(yōu)先考慮防篡改？

想象一下你鎮上的一家小銀行。該銀行投資了最先進(jìn)的安全設備，有頂級的攝像頭和敏感的警報器，并與中央系統進(jìn)行通信。在主要的保險箱上有一個(gè)大而硬的生物識別鎖，在厚重的鋼門(mén)后面有安全保障。

一切都感覺(jué)非常安全，直到有一天，電源關(guān)閉了。突然間，沒(méi)有電=沒(méi)有網(wǎng)絡(luò )=沒(méi)有安全。顯然，要繞過(guò)這個(gè)最先進(jìn)的安全系統，你所要做的就是撥動(dòng)為銀行供電的開(kāi)關(guān)。

終止服務(wù)時(shí)間

我們都在電影中看到過(guò)這些場(chǎng)景，但在網(wǎng)絡(luò )安全領(lǐng)域，這其實(shí)離現實(shí)并不遙遠。網(wǎng)絡(luò )犯罪分子總是在研究，并試圖在開(kāi)始攻擊之前終止所有監控工具和安全解決方案，如EDR、NGAV、EPP等。令人擔憂(yōu)的是，這通常不是很復雜的做法，你只需要終止系統進(jìn)程和服務(wù)。

這有多難呢？如果一個(gè)攻擊者已經(jīng)泄露了管理權限，他們可以運行一個(gè)簡(jiǎn)單的腳本來(lái)殺死所有的進(jìn)程。如果這不起作用，他們可以安裝一個(gè)被破壞的/有漏洞的內核驅動(dòng)，從內核空間進(jìn)行工作。此外，攻擊者還可以使用鉤子篡改的方法來(lái)避免監控。

為了繞過(guò)屬于微軟病毒倡議（MVI）并與早期啟動(dòng)反惡意軟件（ELAM）驅動(dòng)程序一起發(fā)貨的安全廠(chǎng)商（可以通過(guò)微軟更好地保護和隔離服務(wù)），威脅者可能會(huì )安裝一個(gè)較弱的安全廠(chǎng)商，競爭相同的安全類(lèi)別，可以用來(lái)消除ELAM服務(wù)。Morphisec實(shí)驗室的威脅研究團隊在野外發(fā)現了一些威脅行為者使用的流行戰術(shù)，其中之一是部署Malwarebytes子組件作為攻擊載體的一部分。

正常情況VS有針對性的篡改

我們可以將篡改技術(shù)分為兩類(lèi)：一般的和有針對性的。

一般性的篡改方法

現代惡意軟件經(jīng)常試圖關(guān)閉系統中的服務(wù)，然后再轉入下一步的攻擊載體。Windows服務(wù)控制管理器（SCM）提供了一個(gè)恢復機制，可以在終止后重新啟動(dòng)服務(wù)。但SCM恢復機制本身并不是保護關(guān)鍵服務(wù)的一個(gè)超級有效的補救措施。問(wèn)題是總是有一個(gè)時(shí)間差--即使是非常小的時(shí)間差--在這個(gè)時(shí)間差里，一個(gè)服務(wù)沒(méi)有運行。即使服務(wù)快速恢復，安全系統通常是 "有狀態(tài) "的服務(wù)，所以為了準確恢復，恢復服務(wù)之前的 "狀態(tài) "是至關(guān)重要的。

一個(gè)持久的攻擊者也可以對系統使用DOS（拒絕服務(wù)）攻擊。這將運行一個(gè)終止/恢復的無(wú)限循環(huán)，因此服務(wù)忙于自己的恢復而不是檢測和預防。

有針對性的篡改

網(wǎng)絡(luò )犯罪團伙獲取流行的安全軟件，包括免費的和高級的，并研究其如何工作。他們經(jīng)常發(fā)現產(chǎn)品中的特定錯誤，從而使他們能夠優(yōu)雅地終止產(chǎn)品。終止一些安全產(chǎn)品的另一種方法是通過(guò)濫用DLL劫持漏洞的錯誤來(lái)劫持流量。這方面的一個(gè)例子是2019年發(fā)現的Mcafee殺毒軟件的漏洞。

不幸的是，擁有最大市場(chǎng)份額的安全解決方案比小供應商更容易被篡改。這方面的一個(gè)例子是最近針對烏克蘭一家能源供應商的Indutroyer2攻擊。ESET研究博客發(fā)現 "在連接到目標設備之前，該惡意軟件終止了一個(gè)用于標準日常操作的合法進(jìn)程。除此之外，它還通過(guò)在文件名中添加.MZ來(lái)重命名這個(gè)應用程序。它這樣做是為了防止這個(gè)合法進(jìn)程的自動(dòng)重啟"。

當Red Team評估篡改時(shí)，他們通常從終止用戶(hù)模式的應用程序開(kāi)始，或手動(dòng)關(guān)閉特定的進(jìn)程。上面的引文說(shuō)明了攻擊者是如何復雜和了解恢復選項的。

內核模式 VS. 用戶(hù)模式的篡改

關(guān)于防止用戶(hù)模式應用程序終止進(jìn)程的問(wèn)題已經(jīng)寫(xiě)了很多，如進(jìn)程資源管理器、任務(wù)管理器、PowerShell和Process Hacker。

Process Hacker帶有一個(gè)簽名的內核模式驅動(dòng)程序，它具有終止任何用戶(hù)模式進(jìn)程的高級權限。不幸的是，Process Hacker驅動(dòng)程序可以被用于惡意目的。這種攻擊技術(shù)被稱(chēng)為 "自帶易受攻擊的驅動(dòng)程序"。

目前，關(guān)于內核模式篡改的信息并不多。隨著(zhù)網(wǎng)絡(luò )犯罪集團變得越來(lái)越復雜，最近的攻擊顯示惡意代碼正在進(jìn)入操作系統的低層。在內核模式下運行的代碼通常是受信任的代碼，具有廣泛的系統權限。這意味著(zhù)它可以終止進(jìn)程，刪除系統回調，并在某些情況下，修改Windows內核的實(shí)際行為。微軟在幾年前推出了PatchGuard技術(shù)來(lái)處理內核鉤子。然而，它仍然不是無(wú)懈可擊的，不能防止對所有內核結構的篡改。

確保網(wǎng)絡(luò )安全中的防篡改是有效的

為了評估網(wǎng)絡(luò )工具的防篡改效果，需要尋找的一些東西包括：進(jìn)程是否可以被各種工具終止，文件是否可以在磁盤(pán)上被修改或重命名，以及保護是否在 "安全模式 "啟動(dòng)時(shí)有效。

如前所述，另一個(gè)需要注意的重要因素是--也許是反直覺(jué)的--網(wǎng)絡(luò )安全供應商的規模。小型供應商被篡改的可能性明顯低于大型供應商，而開(kāi)源EDR則是一個(gè)很容易的目標。例如，OpenEDR很容易被Process Hacker終止，盡管它有自我防御功能。

對于網(wǎng)絡(luò )安全廠(chǎng)商來(lái)說(shuō)，保持警惕以防止其產(chǎn)品被篡改是很重要的。如果網(wǎng)絡(luò )安全廠(chǎng)商能夠與操作系統廠(chǎng)商合作，將統一的防篡改解決方案標準化，那么世界將會(huì )受益。這將使他們能夠就可信的安全解決方案如何被操作系統識別為關(guān)鍵系統達成一致。MITRE對供應商也有幾個(gè)非常重要的建議。

虹科Morphisec對保護我們的產(chǎn)品不被篡改非常重視。我們所有的產(chǎn)品和服務(wù)都是防彈的，而且我們一直在尋找新的方法來(lái)加強我們終端解決方案的完整性。要了解更多關(guān)于虹科Morphisec革命性的移動(dòng)目標防御技術(shù)，即在運行時(shí)在內存中阻止網(wǎng)絡(luò )攻擊，請聯(lián)系我們。

拓展閱讀

Morphisec（摩菲斯）

Morphisec（摩菲斯）作為移動(dòng)目標防御的領(lǐng)導者，已經(jīng)證明了這項技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅動(dòng)的漏洞預防解決方案，每天保護800多萬(wàn)個(gè)端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實(shí)上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無(wú)文件攻擊，這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護平臺（EPP）未能檢測和/或阻止的。(例如，Morphisec客戶(hù)的成功案例，Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無(wú)法阻止的情況下，在第零日就被阻止的此類(lèi)攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門(mén)程序(例如，Cobalt Strike、其他內存信標)

供應鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關(guān)鍵應用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。

免費的Guard Lite解決方案，將微軟的Defener AV變成一個(gè)企業(yè)級的解決方案。讓企業(yè)可以從單一地點(diǎn)控制所有終端。