虹科分享 | 移動(dòng)目標(biāo)防御 | 為什么要關(guān)心內(nèi)存中的攻擊？

盡管在網(wǎng)絡(luò)安全方面的投資不斷增加，但網(wǎng)絡(luò)犯罪仍在激增。每天的攻擊都會(huì)使醫(yī)療保健提供癱瘓，并擾亂金融/保險(xiǎn)服務(wù)公司、制造公司、律師事務(wù)所和軟件公司，以至于有關(guān)閉的風(fēng)險(xiǎn)。這在很大程度上是因?yàn)楣粢恢痹谧兓?，而防御沒有變化。如今的惡意軟件越來(lái)越多地在內(nèi)存中執(zhí)行運(yùn)行時(shí)攻擊。

根據(jù)微軟的數(shù)據(jù)，微軟產(chǎn)品中70%的漏洞是內(nèi)存安全問題。PurpleSec發(fā)現(xiàn)，2022年，內(nèi)存崩潰是最常見的零日攻擊類型，占攻擊的67.55%。對(duì)于依賴基于檢測(cè)的解決方案來(lái)應(yīng)對(duì)這些類型的攻擊的防御者來(lái)說(shuō)，這是一個(gè)大問題。

不久前，幾乎所有的惡意軟件都依賴于可執(zhí)行文件。威脅參與者在受害者環(huán)境中的磁盤上安裝了惡意軟件。該惡意軟件將通過(guò)函數(shù)調(diào)用、系統(tǒng)事件或消息與受感染的計(jì)算機(jī)交互或與命令和控制(C2)服務(wù)器通信。

傳統(tǒng)網(wǎng)絡(luò)安全在一定程度上運(yùn)作良好

但是，無(wú)論是在服務(wù)器上還是在受攻擊的終端上，該惡意軟件都會(huì)留下其存在的證據(jù)。防御者可以依靠端點(diǎn)保護(hù)平臺(tái)(EPP)、端點(diǎn)檢測(cè)和響應(yīng)(EDR/XDR)和防病毒(AV)等工具來(lái)發(fā)現(xiàn)惡意軟件部署的跡象。發(fā)現(xiàn)這些攻擊模式和特征是網(wǎng)絡(luò)安全技術(shù)演變的目的——在威脅造成真正破壞之前檢測(cè)和隔離威脅。

但隨著攻擊鏈現(xiàn)在進(jìn)入內(nèi)存，它們?cè)谝獧z測(cè)的特征或要分析的行為模式方面提供的東西很少。傳統(tǒng)的惡意軟件攻擊并沒有消失。只是更多的威脅在運(yùn)行時(shí)以設(shè)備內(nèi)存為目標(biāo)，而傳統(tǒng)的防御者對(duì)此的可見性有限。

內(nèi)存中攻擊可以安裝有關(guān)聯(lián)的文件，也可以沒有關(guān)聯(lián)的文件，并在最終用戶啟動(dòng)和關(guān)閉應(yīng)用程序之間的空間中工作。像Emotet、Jupyter、Cobalt Strike和供應(yīng)鏈攻擊這樣的運(yùn)行時(shí)攻擊可以在受害者的環(huán)境中移動(dòng)。

這些威脅通常不會(huì)在設(shè)備磁盤上留下可識(shí)別的印記。這些威脅的證據(jù)最終可能會(huì)在基于簽名的解決方案上顯示為警報(bào)。這包括安全信息和事件管理(SIEM)或安全協(xié)調(diào)、自動(dòng)化和響應(yīng)(SOAR)解決方案。但到那時(shí)，后衛(wèi)們通常已經(jīng)來(lái)不及做任何事情了。

隱蔽而強(qiáng)大的應(yīng)用程序運(yùn)行時(shí)攻擊為勒索軟件部署和數(shù)據(jù)外泄奠定了基礎(chǔ)。

內(nèi)存中的威脅無(wú)處不在

作為無(wú)文件惡意軟件的一項(xiàng)功能，完整的內(nèi)存中攻擊鏈在2010年代中期開始出現(xiàn)。臭名昭著的Angler漏洞工具包以其獨(dú)特的混淆而聞名，它授權(quán)網(wǎng)絡(luò)犯罪分子每月收取費(fèi)用來(lái)利用網(wǎng)絡(luò)瀏覽器漏洞。

僅在2015年，網(wǎng)絡(luò)犯罪分子就利用Angler從受害者那里竊取和勒索了3400萬(wàn)美元。

近年來(lái)，在內(nèi)存方面的泄露激增。威脅參與者使用Cobalt Strike等工具從設(shè)備內(nèi)存惡意加載通信信標(biāo)。Cobalt Strike是一種合法的五層攻擊解決方案。2019至2020年間，使用Cobalt Strike的網(wǎng)絡(luò)攻擊增加了161%。它通常被Conti使用，Conti是目前運(yùn)營(yíng)中最成功的勒索軟件集團(tuán)，在2021年獲得了1.8億美元的收入。

為了逃避傳統(tǒng)的以簽名和行為為重點(diǎn)的安全解決方案，威脅參與者現(xiàn)在創(chuàng)建針對(duì)運(yùn)行時(shí)內(nèi)存中的惡意軟件，并劫持合法進(jìn)程。Picus實(shí)驗(yàn)室的2021年紅色報(bào)告將20多萬(wàn)個(gè)惡意軟件文件映射到MITRE ATT&CK框架。

“他們發(fā)現(xiàn)，去年最流行的五種攻擊方式中，有三種是在內(nèi)存中發(fā)生的。”

內(nèi)存泄露現(xiàn)在是攻擊鏈的典型特征，就像2021年愛爾蘭國(guó)家醫(yī)療服務(wù)體系被入侵之前那樣。

無(wú)法在運(yùn)行時(shí)掃描設(shè)備內(nèi)存

在應(yīng)用程序運(yùn)行時(shí)期間，設(shè)備內(nèi)存中發(fā)生的情況對(duì)防御者來(lái)說(shuō)大多是不可見的。若要了解原因，請(qǐng)考慮解決方案如何在有人使用應(yīng)用程序時(shí)嘗試掃描應(yīng)用程序。

解決方案必須 1） 在應(yīng)用程序的生命周期內(nèi)多次掃描設(shè)備內(nèi)存，同時(shí) 2） 偵聽正確的觸發(fā)操作，以及 3） 查找惡意模式以捕獲正在進(jìn)行的攻擊。做這三件事的最大障礙是規(guī)模。在典型應(yīng)用程序的運(yùn)行時(shí)環(huán)境中，可能有 4GB 的虛擬內(nèi)存。不可能足夠頻繁地掃描如此大量的數(shù)據(jù)，至少不會(huì)減慢應(yīng)用程序的速度，以至于無(wú)法使用。因此，內(nèi)存掃描程序只能查看特定的內(nèi)存區(qū)域、特定的時(shí)間線觸發(fā)器和非常具體的參數(shù)——所有這些都假設(shè)內(nèi)存狀態(tài)是穩(wěn)定和一致的。

在范圍如此有限的情況下，在最好的情況下，專注于內(nèi)存掃描的解決方案可能會(huì)占用3%到4%的應(yīng)用程序內(nèi)存。但威脅越來(lái)越多地使用多態(tài)來(lái)混淆他們的存在，甚至在內(nèi)存中也是如此。這意味著在如此小的設(shè)備內(nèi)存樣本中捕獲惡意活動(dòng)將是奇跡。使這一問題雪上加霜的是，攻擊現(xiàn)在繞過(guò)或篡改了大多數(shù)解決方案用來(lái)發(fā)現(xiàn)正在進(jìn)行的攻擊的掛鉤。

毫不奇怪，遠(yuǎn)程訪問特洛伊木馬程序(RAT)、信息竊取程序和加載程序現(xiàn)在使用應(yīng)用程序內(nèi)存來(lái)隱藏更長(zhǎng)時(shí)間。攻擊者在網(wǎng)絡(luò)中停留的平均時(shí)間約為11天。對(duì)于老鼠和信息竊取等高級(jí)威脅，這個(gè)數(shù)字更接近45天。

Windows和Linux應(yīng)用程序都是目標(biāo)

在內(nèi)存中，泄露不是一種單一類型的威脅。相反，這是導(dǎo)致廣泛后果的攻擊鏈的一個(gè)特征。例如，勒索軟件不一定與內(nèi)存運(yùn)行時(shí)攻擊相關(guān)聯(lián)。但要部署勒索軟件，威脅參與者通常必須滲透網(wǎng)絡(luò)并提升權(quán)限。這些過(guò)程往往在運(yùn)行時(shí)在內(nèi)存中發(fā)生。

網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)方法是檢測(cè)正在進(jìn)行的攻擊或被破壞后的攻擊。這使每種類型的組織和 IT 資產(chǎn)都面臨“隱形”運(yùn)行時(shí)攻擊的風(fēng)險(xiǎn)。Morphisec的事件響應(yīng)團(tuán)隊(duì)已經(jīng)看到內(nèi)存中入侵被用于從金融機(jī)構(gòu)的服務(wù)器到醫(yī)院的端點(diǎn)以及介于兩者之間的所有情況。

這些威脅不僅針對(duì) Windows 服務(wù)器和設(shè)備上的內(nèi)存進(jìn)程，它們還針對(duì)Linux。去年，由威脅行為者創(chuàng)建的惡意版本的Cobalt Strike專門用于Linux服務(wù)器。在金融等行業(yè)，Linux被用來(lái)為虛擬化平臺(tái)和網(wǎng)絡(luò)服務(wù)器提供動(dòng)力，攻擊激增。攻擊通常會(huì)破壞內(nèi)存中的業(yè)務(wù)關(guān)鍵型服務(wù)器，從而為信息盜竊和數(shù)據(jù)加密奠定基礎(chǔ)。

防止內(nèi)存中運(yùn)行時(shí)攻擊

內(nèi)存中運(yùn)行時(shí)攻擊是一些最先進(jìn)的破壞性攻擊。他們不僅針對(duì)企業(yè)，現(xiàn)在還把整個(gè)政府都扣為人質(zhì)。因此，防御者必須專注于在運(yùn)行時(shí)阻止對(duì)應(yīng)用程序內(nèi)存的威脅。只專注于檢測(cè)是不好的;內(nèi)存中和無(wú)文件的惡意軟件實(shí)際上是不可見的。傳統(tǒng)的安全技術(shù)在受保護(hù)資產(chǎn)周圍豎起一堵墻，并依賴于檢測(cè)惡意活動(dòng)，無(wú)法阻止多態(tài)和動(dòng)態(tài)威脅。

相反，應(yīng)通過(guò)安全層確保有效的深度防御，從而首先防止內(nèi)存受損。這就是移動(dòng)目標(biāo)防御（MTD）技術(shù)的作用。MTD 通過(guò)在運(yùn)行時(shí)變形（隨機(jī)化）應(yīng)用程序內(nèi)存、API 和其他操作系統(tǒng)資源，創(chuàng)建即使是高級(jí)威脅也無(wú)法穿透的動(dòng)態(tài)攻擊面。實(shí)際上，它不斷地移動(dòng)房屋的門，同時(shí)將假門留在原處，從而捕獲惡意軟件以進(jìn)行取證分析。即使威脅行為者能找到通往建筑物的門，當(dāng)他們返回時(shí)，它也不會(huì)在那里。因此，他們不能在同一端點(diǎn)上重用攻擊，更不用說(shuō)在其他端點(diǎn)上了。

MTD 技術(shù)不是在攻擊發(fā)生后檢測(cè)到攻擊，而是先發(fā)制人地阻止攻擊，而無(wú)需簽名或可識(shí)別的行為。而且它不會(huì)影響系統(tǒng)性能、生成誤報(bào)警報(bào)或需要增加員工人數(shù)才能運(yùn)行。

擴(kuò)展閱讀

Morphisec（摩菲斯）

Morphisec（摩菲斯）作為移動(dòng)目標(biāo)防御的領(lǐng)導(dǎo)者，已經(jīng)證明了這項(xiàng)技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動(dòng)的漏洞預(yù)防解決方案，每天保護(hù)800多萬(wàn)個(gè)端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實(shí)上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無(wú)文件攻擊，這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護(hù)平臺(tái)（EPP）未能檢測(cè)和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評(píng)論和PeerSpot評(píng)論)在其他NGAV和EDR解決方案無(wú)法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門程序(例如，Cobalt Strike、其他內(nèi)存信標(biāo))

供應(yīng)鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關(guān)鍵應(yīng)用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。

免費(fèi)的Guard Lite解決方案，將微軟的Defener AV變成一個(gè)企業(yè)級(jí)的解決方案。讓企業(yè)可以從單一地點(diǎn)控制所有終端。