離地攻擊
根據(jù) SophosLabs 2019威脅報告的研究,網絡攻擊者借由濫用操作系統(tǒng)中常見的合法管理工具,成功地在 Windows 電腦上躲避偵測。
在
網絡安全領域,將這種手法稱之為“離地攻擊” ("living off the land") 或 "LoL",因為它不用下載專用工具。而最受偏好的目標是 PowerShell,這是一個功能強大的命令列命令介面,內建在所有近期的 Windows 電腦中 (即使只有少數(shù)使用者聽說過它)。其他目標還有 Windows Scripting Host (WScript.exe)、Windows Management Instrumentation Command Line (WMIC) 以及常見的外部工具,如 PsExec和WinSCP。這個簡單的策略就使我們難以偵測到攻擊。SophosLabs 2019威脅報告指出,雖然刪除工具是一種選擇,但大多數(shù)系統(tǒng)管理員不會這么做。因為PowerShell也是可以幫助系統(tǒng)管理員管理各種網絡的一個組成元件,因此必須存在并啟用,以便系統(tǒng)管理員能夠執(zhí)行如推送群組政策變更之類的操作。當然,攻擊者知道這一點,并會毫不客氣地將一系列指令碼和命令介面串接在一起,讓每個指令碼在不同的 Windows 處理序中運作。
根據(jù) SophosLabs 報告指出,攻擊一開始可能是執(zhí)行惡意 JavaScript,接著叫用wscript.exe,最終才會下載一個自訂的 PowerShell 指令碼。系統(tǒng)管理員面對的挑戰(zhàn):當包含多個純文字指令碼的各種檔案類型,以沒有特定順序且不具可預測性的方式串接時,如何區(qū)分電腦的正常操作與惡意軟件感染的異常行為就成了一項難題。
巨集攻擊2.0
與此同時,攻擊者仍沒有放棄使用變種的 Microsoft Office巨集攻擊,這是另一種不需要傳統(tǒng)的可執(zhí)行檔就能發(fā)動攻擊的手法。
近年來,諸如在文件中停用巨集或使用預覽模式等保護措施,已經有效減輕了這種攻擊的威力。不幸的是,攻擊者又利用新方法來說服人們使用巨集建立器工具來停用巨集,這些工具會將 Office、Flash和其他漏洞打包成一個文件,以便產生更精準的社交工程提示訊息。
更復雜的是,網絡犯罪分子已經從老舊的軟件漏洞轉向到更危險和更新的目標:SophosLabs 對惡意檔案的分析發(fā)現(xiàn),只有 3% 的漏洞利用攻擊鎖定 2017 年之前的漏洞。
由于端點安全產品現(xiàn)在會阻止或監(jiān)視經常使用的檔案類型,因此犯罪分子偏好使用更特別的檔案類型來發(fā)動攻擊,尤其是可以從Windows命令介面呼叫的的無害檔案類型,例如 .cmd(命令檔案)、.cpl (主控臺)、HTA (Windows 指令碼主機)、LNK (Windows 捷徑) 和 .PIF(程序資訊檔)。
橫向移動
雖然 Microsoft 在 2017年 5月 WannaCry 出現(xiàn)之前就釋出修補檔案,但EternalBlue漏洞利用攻擊(CVE-2017-0144)令人驚訝地成為惡意軟件作者的熱門標的。
加密貨幣挖礦軟件一直是 EternalBlue的愛用者,利用它透過網絡橫向移動以感染盡可能多的機器。
有了這些新手法 (離地攻擊工具、巨集攻擊、新型漏洞利用和加密挖礦),攻擊者會成為網絡安全一大挑戰(zhàn),因為他們常常會使系統(tǒng)管理員不知所措。
網絡技術在大大提高了我們生產效率的同時,也伴隨著網絡犯罪的發(fā)展。黑客、惡意軟件以及其他網絡漏洞進入我們的網絡并以驚人的速度發(fā)展,因此在網絡時代,最新的網絡安全是必要的。網絡犯罪在2019年會變得比以往更嚴峻,所以網絡安全也比以往更重要。所以對于企業(yè)用戶,最好辦法就是做好應對威脅的準備,保證企業(yè)網絡安全。
藍訊與深信服、天融信、啟明星辰、網康、山石網科、Cisco、Juniper、Sophos、Fortinet、卡巴斯基、賽門鐵克、趨勢等安全廠家長期合作,為各企業(yè)用戶提供針對性的網絡安全解決方案。歡迎來電咨詢,聯(lián)絡人:傅小姐 電話:18028990096
13580762200/13725734438/18028990096
