近年來,各種網(wǎng)絡(luò)攻擊的數(shù)量和頻率都在增加,尤其是經(jīng)歷了極速演變的勒索軟件。五年前,勒索軟件對于大多數(shù)組織來說是一個相對遙遠(yuǎn)的問題。但如今,每分鐘都會發(fā)生數(shù)次勒索軟件的攻擊入侵。很少會有高管會輕視這種惡意軟件對其組織所構(gòu)成的威脅,但并沒有多少人知道如何去防止勒索軟件的攻擊。
典型的勒索軟件攻擊更加危險的勒索軟件
近年來勒索軟件入侵次數(shù)上升,勒索軟件入侵作為一種犯罪商業(yè)活動的增長也催化了其深刻的技術(shù)轉(zhuǎn)變。
值得注意的是,一方面,今天的第三代勒索軟件已經(jīng)成為一種勒索與拒絕訪問相結(jié)合的多層次威脅;另一個方面,惡意軟件開發(fā)人員繼續(xù)完善勒索軟件的交付和部署方法。因此,勒索軟件正變得更加危險,并且常常能夠完全避開安全機制的控制。
目前最令人擔(dān)憂的發(fā)展可能是基于文件的勒索軟件部署方式的轉(zhuǎn)變。現(xiàn)在,一個有效載荷交付的攻擊鏈往往在設(shè)備運行時的內(nèi)存中開始和結(jié)束。這對大多數(shù)組織來說是一個極其脆弱的攻擊媒介。為了應(yīng)對這種攻擊部署的深刻變化,需要重新評估終端組織的防御措施是否有效。
如何防御勒索軟件
01 勒索軟件防御的困境?
在防御勒索軟件時,安全專業(yè)人員通常依靠威脅情報的反饋來關(guān)聯(lián)和分析信息,從而評估安全防御措施,并優(yōu)先采取減少風(fēng)險的行動。不幸的是,威脅情報源監(jiān)測的環(huán)境和攻擊發(fā)生的地方之間存在著嚴(yán)重的差距。由于掃描監(jiān)測解決方案通常專注于靜態(tài)文件和網(wǎng)絡(luò)行為,這些資料提供的靜態(tài)入侵指標(biāo)(IOC)往往導(dǎo)致安全團(tuán)隊落后于攻擊者一步。這意味著絕大多數(shù)組織都沒有對一個關(guān)鍵的威脅載體進(jìn)行防御的設(shè)備內(nèi)存。
大多數(shù)網(wǎng)絡(luò)安全解決方案難以覆蓋這一漏洞,原因很簡單:在運行期間掃描內(nèi)存和進(jìn)程會使一切都變慢,設(shè)備和服務(wù)器的使用很少能與持續(xù)地掃描設(shè)備的內(nèi)存的設(shè)施兼容。因此,大多數(shù)安全解決方案只在運行開始和結(jié)束時掃描設(shè)備。他們依賴威脅留下的可檢測的特征,這些特征是經(jīng)過訓(xùn)練的,可以識別的。然而,現(xiàn)代勒索軟件使用內(nèi)存攻擊鏈,無情地利用了這種方法的弱點。
02 內(nèi)存攻擊是如何進(jìn)行的?
第一階段:
下載器被下載到受害者的設(shè)備上。在這一點上,任何基于靜態(tài)IOC的威脅情報 反饋都是多余的。例如,無論誘餌是通過惡意的Excel安裝的,還是通過遠(yuǎn)程代碼執(zhí)行的無文件安裝的,高度混淆的攻擊都不會出現(xiàn)在威脅情報反饋中,直到攻擊被了解和分類。
第二階段:
加載器部署威脅。通過運行時下載或代碼注入等過程獲得對設(shè)備運行時內(nèi)存的訪問。到現(xiàn)在,攻擊已經(jīng)完全脫離了傳統(tǒng)終端防御的監(jiān)測。
第三階段:
有效載荷部署。可能是像RAT或內(nèi)存中的反向外殼,同樣發(fā)生在設(shè)備運行時內(nèi)存中。這意味著攻擊又是不可見的,只有在造成破壞后才能被靜態(tài)地檢測到。從這里,威脅可以在網(wǎng)絡(luò)中橫向移動,關(guān)閉解決方案的控制,并部署勒索軟件。當(dāng)勒索軟件攻擊引起防御者的注意時,游戲已經(jīng)結(jié)束。
勒索軟件攻擊鏈我們注意到,內(nèi)存攻擊鏈往往涉及像Cobalt Strike這樣的惡意軟件或像Conti這樣的內(nèi)存勒索軟件菌株部署。在像這樣的攻擊中,在使用API調(diào)用下載惡意的.dll文件之前,一個shellcode通常被分配到設(shè)備內(nèi)存的動態(tài)空間。
這類威脅具有高度規(guī)避性,主要存在于設(shè)備內(nèi)存中,因此任何級別的NGAV或最佳EDR都無法可靠地檢測和阻止它們。網(wǎng)絡(luò)安全界必須通過升級威脅情報并專注于內(nèi)存檢測來應(yīng)對這些類型的攻擊。
03 如何抵御勒索軟件的攻擊?
如何防止勒索軟件攻擊的答案是使用虹科Morphisec移動目標(biāo)防御(MTD)技術(shù)。它提供了針對零和內(nèi)存攻擊的主動、輕量級保護(hù)。
·什么是移動目標(biāo)防御(MTD)技術(shù)?
移動目標(biāo)防御(MTD)技術(shù)是業(yè)界領(lǐng)先的高級攻擊的解決方案。它為每一個面臨內(nèi)存攻擊的組織提供了一種低影響、高效力的防御性解決方案。
·移動目標(biāo)防御(MTD)技術(shù)如何抵御勒索軟件的攻擊?
1.通過在運行期間對設(shè)備內(nèi)存進(jìn)行變形,移動目標(biāo)防御(MTD)技術(shù)增強了企業(yè)現(xiàn)有的安全堆棧,以阻止和歸因于無文件的攻擊,否則就無法檢測到其入侵。
2.客戶通常會增強他們現(xiàn)有的解決方案,包括AV和EDR,以創(chuàng)建深度防御。而將MTD技術(shù)與操作系統(tǒng)原生的Windows Defender配對,可以創(chuàng)造出一個極具成本效益的安全堆棧,能夠擊敗高級威脅。
·虹科Morphisec移動目標(biāo)防御(MTD)技術(shù)的優(yōu)勢
在安全行業(yè)中獨一無二的是,虹科Morphisec的MTD技術(shù)利用多態(tài)性,以不可預(yù)測的方式向?qū)κ蛛[藏應(yīng)用程序和操作系統(tǒng)目標(biāo)。這導(dǎo)致了攻擊面的急劇減少,使目標(biāo)無法找到。它提出的誘餌,在不影響可用性的情況下欺騙和誘捕入侵威脅。虹科Morphisec的MTD依靠內(nèi)存中動態(tài)變化阻止并使得隱蔽性的攻擊者暴露出來。
-
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3064瀏覽量
59230
發(fā)布評論請先 登錄
相關(guān)推薦
評論