下一代防病毒(NGAV)、端點(diǎn)檢測和響應(EDR)以及端點(diǎn)保護平臺(EPP)等網(wǎng)絡(luò )安全解決方案面臨著(zhù)濫用、篡改和利用,以實(shí)現初始訪(fǎng)問(wèn)和持久性。威脅者知道,破壞這些防御系統往往更容易得到他們想要的東西。但有多少團隊在網(wǎng)絡(luò )安全中優(yōu)先考慮防篡改?
想象一下你鎮上的一家小銀行。該銀行投資了最先進(jìn)的安全設備,有頂級的攝像頭和敏感的警報器,并與中央系統進(jìn)行通信。在主要的保險箱上有一個(gè)大而硬的生物識別鎖,在厚重的鋼門(mén)后面有安全保障。
一切都感覺(jué)非常安全,直到有一天,電源關(guān)閉了。突然間,沒(méi)有電=沒(méi)有網(wǎng)絡(luò )=沒(méi)有安全。顯然,要繞過(guò)這個(gè)最先進(jìn)的安全系統,你所要做的就是撥動(dòng)為銀行供電的開(kāi)關(guān)。
終止服務(wù)時(shí)間
我們都在電影中看到過(guò)這些場(chǎng)景,但在網(wǎng)絡(luò )安全領(lǐng)域,這其實(shí)離現實(shí)并不遙遠。網(wǎng)絡(luò )犯罪分子總是在研究,并試圖在開(kāi)始攻擊之前終止所有監控工具和安全解決方案,如EDR、NGAV、EPP等。令人擔憂(yōu)的是,這通常不是很復雜的做法,你只需要終止系統進(jìn)程和服務(wù)。
這有多難呢?如果一個(gè)攻擊者已經(jīng)泄露了管理權限,他們可以運行一個(gè)簡(jiǎn)單的腳本來(lái)殺死所有的進(jìn)程。如果這不起作用,他們可以安裝一個(gè)被破壞的/有漏洞的內核驅動(dòng),從內核空間進(jìn)行工作。此外,攻擊者還可以使用鉤子篡改的方法來(lái)避免監控。
為了繞過(guò)屬于微軟病毒倡議(MVI)并與早期啟動(dòng)反惡意軟件(ELAM)驅動(dòng)程序一起發(fā)貨的安全廠(chǎng)商(可以通過(guò)微軟更好地保護和隔離服務(wù)),威脅者可能會(huì )安裝一個(gè)較弱的安全廠(chǎng)商,競爭相同的安全類(lèi)別,可以用來(lái)消除ELAM服務(wù)。Morphisec實(shí)驗室的威脅研究團隊在野外發(fā)現了一些威脅行為者使用的流行戰術(shù),其中之一是部署Malwarebytes子組件作為攻擊載體的一部分。
正常情況VS有針對性的篡改
我們可以將篡改技術(shù)分為兩類(lèi):一般的和有針對性的。
一般性的篡改方法
現代惡意軟件經(jīng)常試圖關(guān)閉系統中的服務(wù),然后再轉入下一步的攻擊載體。Windows服務(wù)控制管理器(SCM)提供了一個(gè)恢復機制,可以在終止后重新啟動(dòng)服務(wù)。但SCM恢復機制本身并不是保護關(guān)鍵服務(wù)的一個(gè)超級有效的補救措施。問(wèn)題是總是有一個(gè)時(shí)間差--即使是非常小的時(shí)間差--在這個(gè)時(shí)間差里,一個(gè)服務(wù)沒(méi)有運行。即使服務(wù)快速恢復,安全系統通常是 "有狀態(tài) "的服務(wù),所以為了準確恢復,恢復服務(wù)之前的 "狀態(tài) "是至關(guān)重要的。
一個(gè)持久的攻擊者也可以對系統使用DOS(拒絕服務(wù))攻擊。這將運行一個(gè)終止/恢復的無(wú)限循環(huán),因此服務(wù)忙于自己的恢復而不是檢測和預防。
有針對性的篡改
網(wǎng)絡(luò )犯罪團伙獲取流行的安全軟件,包括免費的和高級的,并研究其如何工作。他們經(jīng)常發(fā)現產(chǎn)品中的特定錯誤,從而使他們能夠優(yōu)雅地終止產(chǎn)品。終止一些安全產(chǎn)品的另一種方法是通過(guò)濫用DLL劫持漏洞的錯誤來(lái)劫持流量。這方面的一個(gè)例子是2019年發(fā)現的Mcafee殺毒軟件的漏洞。
不幸的是,擁有最大市場(chǎng)份額的安全解決方案比小供應商更容易被篡改。這方面的一個(gè)例子是最近針對烏克蘭一家能源供應商的Indutroyer2攻擊。ESET研究博客發(fā)現 "在連接到目標設備之前,該惡意軟件終止了一個(gè)用于標準日常操作的合法進(jìn)程。除此之外,它還通過(guò)在文件名中添加.MZ來(lái)重命名這個(gè)應用程序。它這樣做是為了防止這個(gè)合法進(jìn)程的自動(dòng)重啟"。
當Red Team評估篡改時(shí),他們通常從終止用戶(hù)模式的應用程序開(kāi)始,或手動(dòng)關(guān)閉特定的進(jìn)程。上面的引文說(shuō)明了攻擊者是如何復雜和了解恢復選項的。
內核模式 VS. 用戶(hù)模式的篡改
關(guān)于防止用戶(hù)模式應用程序終止進(jìn)程的問(wèn)題已經(jīng)寫(xiě)了很多,如進(jìn)程資源管理器、任務(wù)管理器、PowerShell和Process Hacker。
Process Hacker帶有一個(gè)簽名的內核模式驅動(dòng)程序,它具有終止任何用戶(hù)模式進(jìn)程的高級權限。不幸的是,Process Hacker驅動(dòng)程序可以被用于惡意目的。這種攻擊技術(shù)被稱(chēng)為 "自帶易受攻擊的驅動(dòng)程序"。
目前,關(guān)于內核模式篡改的信息并不多。隨著(zhù)網(wǎng)絡(luò )犯罪集團變得越來(lái)越復雜,最近的攻擊顯示惡意代碼正在進(jìn)入操作系統的低層。在內核模式下運行的代碼通常是受信任的代碼,具有廣泛的系統權限。這意味著(zhù)它可以終止進(jìn)程,刪除系統回調,并在某些情況下,修改Windows內核的實(shí)際行為。微軟在幾年前推出了PatchGuard技術(shù)來(lái)處理內核鉤子。然而,它仍然不是無(wú)懈可擊的,不能防止對所有內核結構的篡改。
確保網(wǎng)絡(luò )安全中的防篡改是有效的
為了評估網(wǎng)絡(luò )工具的防篡改效果,需要尋找的一些東西包括:進(jìn)程是否可以被各種工具終止,文件是否可以在磁盤(pán)上被修改或重命名,以及保護是否在 "安全模式 "啟動(dòng)時(shí)有效。
如前所述,另一個(gè)需要注意的重要因素是--也許是反直覺(jué)的--網(wǎng)絡(luò )安全供應商的規模。小型供應商被篡改的可能性明顯低于大型供應商,而開(kāi)源EDR則是一個(gè)很容易的目標。例如,OpenEDR很容易被Process Hacker終止,盡管它有自我防御功能。
對于網(wǎng)絡(luò )安全廠(chǎng)商來(lái)說(shuō),保持警惕以防止其產(chǎn)品被篡改是很重要的。如果網(wǎng)絡(luò )安全廠(chǎng)商能夠與操作系統廠(chǎng)商合作,將統一的防篡改解決方案標準化,那么世界將會(huì )受益。這將使他們能夠就可信的安全解決方案如何被操作系統識別為關(guān)鍵系統達成一致。MITRE對供應商也有幾個(gè)非常重要的建議。
虹科Morphisec對保護我們的產(chǎn)品不被篡改非常重視。我們所有的產(chǎn)品和服務(wù)都是防彈的,而且我們一直在尋找新的方法來(lái)加強我們終端解決方案的完整性。要了解更多關(guān)于虹科Morphisec革命性的移動(dòng)目標防御技術(shù),即在運行時(shí)在內存中阻止網(wǎng)絡(luò )攻擊,請聯(lián)系我們。
拓展閱讀
Morphisec(摩菲斯)
Morphisec(摩菲斯)作為移動(dòng)目標防御的領(lǐng)導者,已經(jīng)證明了這項技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅動(dòng)的漏洞預防解決方案,每天保護800多萬(wàn)個(gè)端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實(shí)上,Morphisec(摩菲斯)目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無(wú)文件攻擊,這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護平臺(EPP)未能檢測和/或阻止的。(例如,Morphisec客戶(hù)的成功案例,Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無(wú)法阻止的情況下,在第零日就被阻止的此類(lèi)攻擊的例子包括但不限于:
勒索軟件(例如,Conti、Darkside、Lockbit)
后門(mén)程序(例如,Cobalt Strike、其他內存信標)
供應鏈(例如,CCleaner、華碩、Kaseya payloads、iTunes)
惡意軟件下載程序(例如,Emotet、QBot、Qakbot、Trickbot、IceDid)
Morphisec(摩菲斯)為關(guān)鍵應用程序,windows和linux本地和云服務(wù)器提供解決方案,2MB大小快速部署。
免費的Guard Lite解決方案,將微軟的Defener AV變成一個(gè)企業(yè)級的解決方案。讓企業(yè)可以從單一地點(diǎn)控制所有終端。
-
網(wǎng)絡(luò )安全
+關(guān)注
關(guān)注
10文章
2983瀏覽量
58789
發(fā)布評論請先 登錄
相關(guān)推薦
評論