網(wǎng)絡安全拐點：無惡意軟件攻擊主流化

何靜

過去幾年，安全人員關注的焦點是網(wǎng)絡犯罪的組織化和市場化趨勢，包括各種攻擊即服務（例如RaaS）、惡意軟件產(chǎn)業(yè)化發(fā)展等。但是2019-2020年，老式黑客電影中常出現(xiàn)的場景，黑客飛速敲擊鍵盤在命令行工具中輸入字符的“手動攻擊”再次回歸主流。近日，據(jù)CrowdStrike，Rapid7等網(wǎng)絡安全公司的監(jiān)測分析，“無惡意軟件”攻擊勢頭正在上升成主流攻擊手段，對企業(yè)安全防御者構(gòu)成嚴重威脅和挑戰(zhàn)。

他帶著鍵盤來了

CrowdStrike的最新安全報告數(shù)據(jù)顯示，2019年，黑客用鍵盤逐行輸入命令的“手動攻擊”反超了全球范圍內(nèi)由惡意軟件傳播引領的“現(xiàn)代化大規(guī)模自動化攻擊”。

一段時間以來，經(jīng)驗豐富的網(wǎng)絡罪犯和國家黑客一直在通過新方法來提升“殺傷力”，例如，潛入目標網(wǎng)絡并冒充真實用戶來掩蓋其安全工具的活動，使用被盜的憑據(jù)并運行合法的工具來竊取數(shù)據(jù)。

在CrowdStrike的威脅事件響應報告中，此類所謂的“無惡意軟件”攻擊首次超越基于惡意軟件的攻擊，在2019年攻擊事件中的占比達到51 %，超過后者的49 %。而在2017年和2018年，全球攻擊事件中惡意軟件的占比還高達60 %，無惡意軟件攻擊的占比約40 %。

用CrowdStrike的話來說，無惡意軟件攻擊是一種潛入受害組織的方法，它沒有在計算機磁盤上使用惡意文件或文件片段。除了憑據(jù)或合法工具被盜外，這種類型的攻擊還可以從內(nèi)存中執(zhí)行代碼，并且只能通過檢測異常行為的高級工具和技術或通過威脅搜尋來檢測。

也許我們可以把這種趨勢解讀為：APT的常態(tài)化，但無論規(guī)模還是頻率和影響范圍，無惡意軟件攻擊都要遠超APT。

從Crowdstrike的2019年網(wǎng)絡攻擊TTPs統(tǒng)計中也可以看到，一度被腳本小子和惡意軟件搶了風頭的傳統(tǒng)黑客又回來了，他們主要使用“手動模式攻擊”，例如命令行界面，Power Shell以及隱藏文件和目錄。這些技術在2019年觀測到的許多復雜攻擊中都發(fā)揮了重要作用，這些攻擊的一個共同特點就是攻擊中有黑客個人參與并引導。

安全專家擔心，如果攻擊者加倍實施無惡意軟件攻擊，那么企業(yè)現(xiàn)有的安全工具，乃至企業(yè)的整個安全防御體系將不堪重負，甚至形同虛設。

CrowdStrike的CTO Michael Sentonas表示：隨著越來越多的攻擊者找到繞過傳統(tǒng)安全工具的方法，無惡意軟件攻擊正在快速增長。而且，攻擊者并不滿足于繞過常規(guī)的防病毒軟件，他們也開始繞過下一代AV產(chǎn)品，這推動無惡意軟件攻擊大幅度升級。如果無惡意軟件攻擊占比達到60 %或以上，那將是一個極為嚴峻的問題。

Sentonas指出，問題在于大多數(shù)組織都沒有技術能力來區(qū)分合法用戶或竊取其憑據(jù)的攻擊者。

手動化挑戰(zhàn)自動化

根據(jù)CrowdStrike的報告，2019年大多數(shù)無惡意軟件的攻擊都發(fā)生在北美，其中3/4的攻擊并未在受害組織內(nèi)部部署惡意軟件。當越來越多的攻擊者開始采用“手動攻擊”，網(wǎng)絡安全業(yè)界開始流行的自動化檢測和響應（例如SOAR）技術就會面臨挑戰(zhàn)。

安全公司Rapid7的研究者也發(fā)現(xiàn)，越來越多的攻擊者滲透進目標時會放棄使用惡意軟件。Rapid7的研究主管Tod Beardsley說：攻擊者正在使用有效憑據(jù)或重用其他攻擊中獲取的憑據(jù)，這簡直防不勝防。這不是可以輕松地用自動化編排防御的威脅。

這同時也意味著，隨著手動攻擊的流行，賬戶憑據(jù)的泄露，對企業(yè)的威脅越來越大。根據(jù)SANS針對企業(yè)安全部門的調(diào)查，失竊信息在地下黑市的交易變現(xiàn)與利用是未來12月內(nèi)，CSO們眼中最有價值的威脅情報信息之一。

CrowdStrike首席技術官Sentonas表示：2020年一件有趣的事情：無惡意軟件的攻擊是否會繼續(xù)增加，這是否與（攻擊者的）駐留時間相關？如果這是未來2～4年的網(wǎng)絡安全趨勢，那么我們就遇到大麻煩了，因為越來越多的攻擊方法可以繞過安全控制機制。

人的因素

Rapid 7的Beardsley認為，面對自動化安全運營和防御技術難以招架的手動攻擊威脅，組織需要重視人的因素，授權最終用戶成為安全文化的一部分（安全是每個人的責任，而不僅是企業(yè)安全人員的責任）。

安全廠商Sophos的首席研究科學家Chester Wisniewski認為：現(xiàn)在，有更多的攻擊者是人。因此對合法工具的惡意用途檢測尤為關鍵。例如，如果發(fā)現(xiàn)Nmap網(wǎng)絡監(jiān)視工具在DMZ中的Web服務器上運行，那應該是一個危險信號。沒有人應該在DMZ的服務器上運行它。

Wisniewski指出，如果合法的安全工具在常規(guī)使用時間（范圍）以外運行，則構(gòu)成安全事件。必須清楚，你可能不是唯一使用這些工具的人，使用者也可能是壞人。