惡意軟件繞過端點保護的6種方法

Maria Korolov

挫敗或者繞過端點保護措施的攻擊所造成的泄露事件越來越多。本文介紹了攻擊者是怎么干的。

據Ponemon的《2018年端點安全風險狀況報告》，63%的IT安全專業人士承認，過去12個月內，攻擊頻率有所上升，52%的受訪者認為，事實上不可能停止所有攻擊。他們的防病毒解決方案僅阻止了43%的攻擊。64%的受訪者說，他們的企業經歷過一次甚至多次導致數據泄露的端點攻擊。

這份報告是根據對660名IT安全專業人士的調查得出的，報告顯示，大多數人（70%）承認，他們企業所面臨的新威脅和未知威脅有所增加，而成功攻擊的成本從平均500萬美元增加到了710萬美元。

然而，幾乎每臺計算機都內置了某種形式的保護措施。那么，為什么攻擊者仍能得手呢？本文介紹攻擊者繞過端點保護安全措施的幾種主要方法。

1.基于腳本的攻擊

在基于腳本或者“無文件”攻擊中，惡意軟件實際上是在現有合法應用軟件中運行的腳本，它利用了PowerShell或者使用其他已安裝的Windows組件。由于沒有安裝新的軟件，因此，很多傳統的防御系統都被它繞過了。

據Ponemon，這類攻擊極有可能導致出現泄露，而且在所有攻擊事件中，此類泄露事件占比從2017年的30%上升到去年的35%。Malwarebytes公司的高級安全研究員Jérome Segura介紹說：“偽代碼非常少，例如，實際上掃描不到惡意軟件二進制代碼。”

安全系統只是能檢測到有一些網絡流量。“然而，攻擊者也可以加密這些通信，使用可信的通信路由，悄悄地竊取數據。”

據今年年初發布的《賽門鐵克互聯網安全威脅報告》，去年惡意PowerShell腳本的使用增加了1000%。Digital Guardian公司的云服務安全架構師Naaman Hart介紹說：“例如，攻擊者通過執行人類無法讀取的命令來使用PowerShell，比如base64編碼命令。PowerShell現在是必不可少的，因此攻擊者通常總是會去利用它。”

Hart說，捕獲此類攻擊的關鍵是尋找常見應用軟件執行異常操作的實例。他解釋說：“例如，如果你跟蹤自己環境中最后被執行的一千條命令，那就應該注意那些出現不到五次的命令。這通常會是一些不常見的命令，而這些命令往往就是惡意的。”

2.在流行的基礎設施上托管惡意網站

很多安全平臺通過阻止用戶點擊惡意鏈接來抵御網絡釣魚攻擊。例如，他們可能會檢查某一IP地址是否與其他惡意軟件活動有關聯。Segura說：“但是，如果把惡意鏈接托管在類似于Azure或者谷歌云的地方，而這些是使用非常廣泛的基礎設施，不會被列入黑名單。”Slack、GitHub和其他協作工具也可以用來幫助繞過防御。

一旦被安裝了惡意軟件，它通常會與命令和控制（C&C）服務器進行通信，以獲取下一步行動的指令，并竊取數據。同樣，如果C&C服務器被托管在其他合法的平臺上，那么這一通信通道也可以被偽裝起來。

Bitdefender公司的高級電子威脅分析師Liviu Arsene指出，而且，這些服務具有內置的加密功能。甚至網上照片共享網站也能被用于攻擊。他說：“攻擊者創建社交媒體帳戶，并上傳含有隱藏代碼或者指令的圖片。然后，該惡意軟件接受指令，訪問該帳戶，查看最新的圖片，提取圖像中隱藏的一組指令，然后執行這些指令。”

對于IT部門和企業安全部門來說，這看起來就像員工正在瀏覽社交媒體網站。這很難被發現。即使是最新一代的端點保護技術也會遇到麻煩，因為攻擊者模仿了正常的用戶行為。

為了防止這種情況發生，防御方應查找這樣的實例：在不該出現的時間出現了這些看似正常的通信，或者出現了某個部門通常不會使用的某個應用軟件。

在圖像中隱藏命令的技術被稱為隱寫術，也可以用于在圖像附件中隱藏命令。5月份，ESET發布了一份關于Turla LightNeuron的報告，指出這是一個針對Microsoft Exchange郵件服務器的后門。據ESET，LightNeuron使用電子郵件與其命令和控制服務器進行通信，把消息隱藏在PDF或者JPG等圖像附件中。

3.破壞合法的應用軟件和實用程序

每家企業都有員工使用的很多第三方應用軟件、工具和實用程序。如果攻擊者通過進入開發這些應用軟件的公司、攻入升級實用程序或者開源項目的代碼庫來攻破這些應用軟件，那么，他們就能夠安裝后門和其他惡意代碼。Arsene介紹說：“例如，Cleaner是一款流行的計算機實用程序，用于從計算機中清除可能不需要的文件和注冊表項目——該程序被后門病毒感染了。”

據《賽門鐵克互聯網安全威脅報告》，2018年針對軟件供應鏈的攻擊數量增長了78%。

Synopsys公司的首席安全策略師Tim Mackey指出，開源代碼特別容易受到攻擊。首先，攻擊者貢獻出合法的漏洞修復或者軟件改進——實際上是有效的。他解釋說：“為了通過審查過程，合法的代碼是用來掩蓋任何惡意代碼的。如果審查過程沒有審查所貢獻的全部功能，那么，這種貢獻將成為軟件未來版本的一部分，而更重要的是，它可能成為嵌入到商業軟件包中的一種組件。”

Mackey繼續說，為了防止這種情況發生，企業和軟件開發人員必須仔細檢查軟件是否有開源代碼，然后把這些代碼映射回其精確的原始來源，以便一旦發現該代碼就可以快速刪除或者修復。

4.沙箱逃避

下一代端點保護平臺的一個常見功能是沙箱，在安全、虛擬的環境中“引爆”未知的惡意軟件。如果攻擊者不斷修改惡意軟件，使其不會被基于簽名的防御系統捕獲，那么，這是一種非常有用的技術，能夠有效的發現這種行為。

Lucy安全公司的創始人Oliver Münchow說：“然而，黑客也能輕易地繞過這些過濾器。”他們采用不同的方式來編寫惡意軟件，以避免被發現，即只會激活沙箱之外的惡意行為。例如，它可能只在真實的人與之交互時才被激活，或者在滿足其他條件時被激活。

例如，惡意軟件會等待一段時間，可能要等上幾個小時、幾天，甚至幾周才被引爆，從而在有效載荷觸發之前，被盡可能地傳播開來。或者，惡意軟件會檢查一下它是否在管理程序環境中運行。據Cisco Talos于5月份發布的一份報告，比如，最新版本的JasperLoader惡意軟件查詢Windows Management Instrumentation子系統，以查明它在哪里運行，如果它在VirtualBox VMware或者KVM環境中，它將終止執行。

5.沒有打補丁的漏洞

由國家安全局（NSA）最先開發出來的安全工具EtheralBlue于2017年在網上被泄露了。從那時起，盡管微軟很快發布了一個補丁，但EtheralBlue還是卷入了針對英國醫療系統的攻擊、對聯邦快遞的攻擊（造成了4億美元的損失）、對默克公司的攻擊（造成了6.7億美元的損失），以及對很多其他目標的攻擊。

最近，巴爾的摩遭受了一次勒索軟件攻擊，據稱該攻擊利用了EternalBlue漏洞。不僅僅是巴爾的摩，據安全公司ESET，自2017年以來，涉及EternalBlue的攻擊次數一直在上升，并且今年春天達到了歷史高峰。ESET報道說，世界上仍有近100萬臺機器使用過時的、易受攻擊的SMB v1協議，其中40多萬臺是在美國。

據Ponemon，65%的企業表示，很難及時打上補丁，這甚至是一項極其艱巨的任務。

6.擊敗安全代理

今年4月份，Absolute安全公司發布了一項歷時一年對全球600萬臺設備的研究結果。一般的設備會有十個安全代理，有很多端點保護措施。然而，這并不總是那么有效。首先，代理會相互重疊、碰撞和干擾。任何時間都會發現，7%的端點未能進行保護，21%端點的系統已經過時。

即使安裝了最新而且完全有效的端點保護安全代理，一旦攻擊者站穩腳跟（例如，通過使用EternalBlue），他們也會有多種方法關閉端點保護服務。BTB安全公司顧問Humberto Gauna介紹說，例如，他們會使用PowerShell等現有的合法應用軟件。

Gauna補充說，他們還可以對端點安全代理發起拒絕服務攻擊，壓垮端點安全代理，使其無法繼續工作，他們還會利用沒有正確配置的代理。然后，攻擊者修改注冊表，提升權限，以便在恢復后能夠覆蓋端點保護服務。

Gauna說，防范這種情況的方法是建立一個更嚴格的權限等級制度，并保持補丁的一致性。

以上方法都很復雜。它們通常出現在民族國家攻擊者的攻擊中。

他們經常得手。位于瑞典的網絡安全公司Baffin Bay Networks的威脅研究主管Justin Shattuck介紹說，現在，它們被更廣泛的攻擊者使用了。他說：“這的確是個問題。”

Shattuck說，這些攻擊程序被打包放在暗網上，即使不太懂技術的人也能使用。這不僅使得企業不得不去防御越來越多的復雜攻擊，而且加大了政府干預的難度。他說：“不太懂技術的人承擔所有風險。如果他們被抓到，我們通常也很難找到打包和提供攻擊能力的人。”

Maria Korolov過去20年一直涉足新興技術和新興市場。

原文網址

https：//www.csoonline.com/article/3400860/6-ways-malware-can-bypass-endpoint-protection.html