黑客隱藏蹤跡的6種方式
CISO們擁有一系列不斷改進的工具來幫助發現和阻止惡意活動:包括網絡監控工具、病毒掃描程序、軟件成分分析(SCA)工具、數字取證和事件響應(DFIR)解決方案等等。
不過,網絡安全是一場持續不斷的攻防戰,攻擊者會繼續發起新的挑戰。
較老的技術,如隱寫術——將包括惡意有效載荷在內的信息隱藏在其他良性文件(如圖像)中的技術——也正在發展,帶來了新的可能性。例如,最近一名研究人員證明,即使是推特也不能幸免于隱寫術,因為平臺上的圖像可能被濫用來打包其中高達3MB的ZIP檔案。
然而,在我自己的研究中,我注意到除了使用混淆、隱寫術和惡意軟件打包技術之外,今天的威脅參與者也經常利用合法服務、平臺、協議和工具來進行他們的活動。這讓它們能夠與正常的流量或活動混合在一起,在人類分析師和機器看來,這些流量或活動可能是“干凈”的。
以下是網絡犯罪分子當前用來掩蓋蹤跡的五種方式。
濫用不會引發警報的可信平臺
這是安全專業人士在2020年就看到的一個常見現象,并已蔓延到了今年。
從滲透測試服務和工具(如Cobalt Strike和Ngrok),到已建立的開源代碼生態系統(如GitHub),再到圖像和文本網站(如Imgur和Pastebin),僅在過去的幾年里,攻擊者就瞄準了一系列受信任的平臺。
通常,Ngrok會作為bug賞金練習或滲透性測試項目的一部分,被有道德的黑客用來收集數據或為入站連接建立模擬隧道。但惡意行為者會濫用Ngrok來直接安裝僵尸網絡惡意軟件,或是將合法通信服務連接到惡意服務器。在最近的一個例子中,SANS研究所的Xavier Mertens發現了一個用Python編寫的惡意軟件樣本,其中包含了base64編碼的代碼,用于在使用了Ngrok的受感染系統上安裝后門。
由于Ngrok受到了廣泛的信任,遠程攻擊者可以通過Ngrok隧道來連接到受感染的系統,這可能會繞過公司防火墻或NAT保護。
GitHub還被濫用來托管從Octopus Scanner到Gitpaste-12的惡意軟件。最近,狡猾的攻擊者濫用GitHub和Imgur結合使用了一個開源的PowerShell腳本,這使得他們有可能在GitHub上托管一個簡單的腳本,從一張良性的Imgur照片中解析出Cobalt Strike的有效載荷。Cobalt Strike是一種流行的滲透性測試框架,用于模擬先進的真實網絡攻擊,但與任何安全軟件產品一樣,它也可能被對手濫用。
同樣,開發人員依賴的自動化工具也不能幸免于被利用。
2021年4月,攻擊者濫用GitHub Actions以數百個存儲庫為目標,發起了一場自動攻擊,利用GitHub的服務器和資源進行了加密貨幣的挖掘。
這些示例說明了為什么攻擊者認為瞄準合法平臺會有價值,而許多防火墻和安全監控工具可能還無法阻止這些平臺。
利用品牌價值、聲譽或知名度的上游攻擊
在SolarWinds爆出漏洞之后,軟件供應鏈安全問題可能已經引起了公眾的關注,但是這些攻擊在一段時間內一直在上升。
無論是以拼寫錯誤、品牌劫持或是依賴混淆的形式(最初作為概念驗證研究被發現,但后來被濫用于惡意目的),“上游”攻擊會利用已知合作伙伴生態系統中的信任,并利用品牌或軟件組件的受歡迎程度或聲譽。攻擊者的目標是將惡意代碼推送到與品牌相關聯的可信代碼庫,然后將代碼分發到下游的最終目標:該品牌的合作伙伴、客戶或用戶。
任何對所有人開放的系統也會對對手開放。因此,許多供應鏈攻擊的目標都是開源生態系統,而其中的一些生態系統為了堅持“向所有人開放”的原則而沒有進行嚴格的驗證。然而,商業組織也受到了這些攻擊。
在最近的一個案例中,有人將其比作SolarWinds事件,軟件測試公司Codecov披露了針對其Bash Uploader腳本的攻擊,該攻擊在兩個多月內一直未被發現。
Codecov擁有29000多家客戶,包括一些著名的全球品牌。在這次攻擊中,公司客戶端使用的上傳程序被修改,將系統的環境變量(密鑰、憑據和令牌)泄露給了攻擊者的IP地址。
防范供應鏈攻擊需要在多個方面采取行動。軟件提供商需要加大投資來保證他們的開發版本的安全。基于AI和ML的devops解決方案能夠自動檢測和阻止可疑的軟件組件,有助于防止打字錯誤、品牌劫持和依賴混淆攻擊。
此外,隨著越來越多的公司采用Kubernetes或Docker容器來部署他們的應用程序,容器安全解決方案具有內置的網絡應用程序防火墻,并且能夠及早發現簡單的配置錯誤,這將有助于防止更大的危害。
通過難以追蹤的方法進行加密貨幣支付
考慮到其分散和注重隱私的設計,Darknet marketplace的賣家和軟件運營商經常交易加密貨幣。
但是,盡管不是由政府中央銀行鑄造或控制的,加密貨幣仍然缺乏與現金相同的匿名性。
因此,網絡犯罪分子找到了在賬戶間轉移資金的創新方法。
最近,與2016年Bitfinex黑客事件有關的價值超過7.6億美元的比特幣以多筆較小的交易轉移到了新賬戶,交易金額從1 BTC到1200 BTC不等。
加密貨幣并不是一種完全萬無一失的隱藏資金蹤跡的方法。2020年美國總統大選當晚,美國政府清空了一個價值10億美元的比特幣錢包,里面裝著與最臭名昭著的暗網市場“絲綢之路”有關的資金,該市場本身已于2013年關閉。
其他的一些加密貨幣,如門羅幣(XMR)和Zcash(ZEC),在匿名交易方面比比特幣具有更廣泛的隱私保護能力。毫無疑問的,隨著攻擊者不斷尋找更好的方法來隱藏他們的蹤跡,犯罪分子和調查人員之間的沖突將在這條戰線上繼續下去。
使用公共通道和協議
像可信平臺和品牌一樣,合法應用程序所使用的加密通道、端口和協議為攻擊者提供了另一種掩蓋其足跡的方式。
例如,HTTPS協議是當今網絡普遍不可或缺的協議,因此,端口443(由HTTPS/SSL使用)在公司環境中很難被阻止。
然而,HTTPS上的DNS(DoH)——一種解析域的協議——也使用端口443,并且被惡意軟件作者濫用,將其命令和控制(C2)命令傳輸到了受感染的系統。
這個問題有兩個方面。首先,通過濫用HTTPS或DoH等常用協議,攻擊者與合法用戶一樣享有端到端加密通道的隱私優勢。
其次,這給網絡管理員也帶來了困難。阻止任何形式的域名系統本身就是一個挑戰,但是現在,鑒于域名系統請求和響應會在HTTPS被加密,安全專業人員攔截、挑選和分析來自通過網絡進出的許多HTTPS請求的可疑流量就成了一件麻煩事。
研究人員Alex Birsan展示了依賴混淆技術,侵入了35家以上的大型科技公司,他能夠通過使用DNS(端口53)泄露基本信息來最大限度地提高成功率。Birsan之所以選擇DNS,是因為出于性能要求和合法的DNS使用,公司防火墻不阻塞DNS流量的可能性很高。
使用簽名的二進制文件運行混淆的惡意軟件
使用非本地二進制文件(LOLBIN)的無文件惡意軟件的常見概念仍然是一種有效的規避技術。
LOLBIN指的是合法的、經過數字簽名的可執行文件,例如微軟簽署的Windows可執行文件,攻擊者可以濫用這些文件以提升的權限啟動惡意代碼,或者逃避防病毒等端點安全產品。
上個月,微軟分享了一些企業可以采用的防御技術指南,以防止攻擊者濫用微軟的Azure LOLBIN。
在另一個例子中,我分析的最近才發現的Linux和macOS惡意軟件在所有領先的防病毒產品中具有完美的零檢測率。
在二進制文件中包含混淆代碼,這確實有助于規避檢測。然而,進一步的調查還顯示,該惡意軟件是使用數百個合法的開源組件構建的,并以與合法應用程序相同的方式進行的惡意活動,例如獲得管理權限。
雖然混淆惡意軟件、運行時打包程序、虛擬機規避或在圖像中隱藏惡意有效負載是高級威脅所使用的已知規避技術,但它們的真正威力來自于繞過安全產品或在它們的雷達下運行。
當有效載荷能夠在某種程度上與可信軟件組件、協議、通道、服務或平臺相結合時,這就成為了可能。
用不常見的編程語言編寫惡意軟件
根據BlackBerry Research and Intelligence團隊的最新報告,惡意軟件作者正在更多地使用不常見的編程語言,以部分更好地逃避檢測。使用的主要語言有Go、D、Nim和Rust。
這些語言以幾種不同的方式增加了混淆。首先,用新語言重寫惡意軟件意味著基于簽名的檢測工具將不再標記它(至少是在創建新簽名之前)。其次,黑莓研究人員還表示,這些語言本身也起到了混淆層的作用。例如,用于解碼、加載和部署其他常見惡意軟件的第一階段惡意軟件是用一種不常見的語言編寫的,這將有助于逃避端點檢測。
黑莓研究人員指出,目前很少有針對用這些語言編寫的惡意軟件的定制混淆。其中最常見的一種是Gobfuscate,用于使用Go編碼的惡意軟件。它能夠處理包、函數、類型和方法名,以及全局變量和字符串。
