河北教育网-全国教育信息发布平台

河北教育网-全国教育信息发布平台

河北教育网以基础教育为核心,逐步打造高质量、高标准的一站式教育资讯平台。河北教育网涵盖了学历教育,中小学教育,婴幼儿教育,职业培训,外语培训,电脑培训等相关教育资讯栏目,河北教育网让你了解更权威、全面、专业、及时的全国教育资源!

菜单导航

五种网络犯罪分子掩盖其踪迹的常见策略

作者: 河北教育网 更新时间: 2022年07月06日 20:48:01 游览量: 80

简述:

从受信任的渗透测试工具到LOLBIN(living-off-the-land binaries),攻击者正在通过滥用受信任的平台和协议来逃避安全检测。 CISO们拥有一系列不断升级的工具来帮助其发现和阻止恶意活动

  从受信任的渗透测试工具到LOLBIN(living-off-the-land binaries),攻击者正在通过滥用受信任的平台和协议来逃避安全检测。

  CISO们拥有一系列不断升级的工具来帮助其发现和阻止恶意活动,例如网络监视工具、病毒扫描程序、软件组成分析(SCA)工具、数字取证和事件响应(DFIR)解决方案等等。

  但是,要知道,网络安全本质上是攻防之间的持续之战,在防御者不断完善自身技能和工具的同时,攻击者也在不断提出新的挑战。

  一些老式技术,例如隐写术(steganography)——一种将包含恶意有效负载的信息隐藏在其他良性文件(如图像)中的技术——正在发展,从而带来了新的可能性。例如,最近有研究人员证明,甚至Twitter也无法幸免于隐写术,该平台上的图像可能会被滥用以在其中压缩多达3MB的ZIP档案。

  更糟糕的现实是,除了使用混淆、隐写术以及恶意软件打包技术之外,如今的威胁行为者还经常利用合法服务、平台、协议和工具来开展活动。这使他们能够渗透进对人类分析人员和机器而言都看似“干净”的流量或活动之中。

  以下是如今网络犯罪分子用来掩盖其踪迹的5种常见策略:

  滥用不会发出警报的受信任平台

  这是安全专家在2020年就已经发现的一个普遍现象,且一直持续到了今年。

  从渗透测试服务和工具(例如Cobalt Strike和Ngrok)到已建立的开源代码生态系统(如GitHub),再到图像和文本网站(如Imgur和Pastebin),攻击者在过去几年中已将目标锁定为广泛的受信任平台。

  通常来说,Ngrok的受众大多为道德黑客,他们会利用该服务收集数据或为入站连接建立模拟隧道,作为漏洞赏金练习或渗透测试活动的一部分。但如今,越来越多的恶意行为者却在滥用Ngrok直接安装僵尸网络恶意软件,或将合法的通信服务连接到恶意服务器。在最近的示例中,SANS研究所的Xavier Mertens发现了一个用Python编写的此类恶意软件样本,其中包含base64编码的代码,以便在使用Ngrok的受感染系统上植入后门。

  由于Ngrok受到广泛信任,因此远程攻击者可以通过Ngrok隧道连接到受感染的系统,而该隧道可能会绕过公司防火墙或NAT保护。

  除此之外,GitHub也被滥用来将恶意软件从Octopus Scanner托管到Gitpaste-12。最近,研究人员发现,一种新的恶意软件使用带有宏的Word文档从GitHub下载PowerShell脚本。这个PowerShell脚本进一步从图像托管服务Imgur下载合法的图像文件,以解码Windows系统上的Cobalt Strike脚本。Cobalt Strike是一种流行的渗透测试框架,用于模拟先进的现实世界网络攻击,但像任何安全软件产品一样,它同样可能会遭到攻击者的滥用。

  同样地,开发人员所依赖的自动化工具也无法幸免。

  4月,攻击者在一次自动攻击中滥用了GitHub AcTIons来攻击数百个存储库,该攻击使用GitHub的服务器和资源进行加密货币挖掘。据悉,GitHub AcTIons 是 GitHub Universe 开发者大会上发布的一款被Github系统主管Sam Lambert称为“再次改变软件开发”的重磅功能,支持 CI/CD 并对开源项目免费,让开发者能在 GitHub 服务器上直接执行和测试代码,帮助开发者和企业实现所有软件工作流程的自动化。

  这些示例无一不在证实,攻击者已经发现了利用众多防火墙和安全监视工具可能无法阻止的合法平台的巨大价值。

  利用品牌价值、声誉或知名度进行上游攻击

  在最近的SolarWinds漏洞之后,软件供应链安全问题可能已经引起了公众的广泛关注,但实际上,这些攻击已经上升了一段时间。

  无论是误植域名(typosquatTIng)、品牌劫持(brandjacking)或是依赖混乱(dependency confusion,最初是作为概念验证研究被发现,后来被滥用为恶意目的),“上游”攻击都滥用了已知合作伙伴生态系统内的信任,并利用了品牌或软件组件的知名度或声誉。攻击者旨在将恶意代码向上游推送到与品牌相关联的受信任代码库,然后将其下游分发到最终目标:该品牌的合作伙伴、客户或用户等。

  要知道,任何面向所有人开放的系统,同样地也会向攻击者开放。因此,许多供应链攻击都是针对开源生态系统的,而其中一些已经懈怠于进行验证,并坚持“向所有人开放”的原则。但是,商业组织也会由此受到攻击影响。

  最近,软件审计平台Codecov遭黑客入侵。调查发现,攻击从1月31日就开始进行,但第一个客户发现不对劲时已经是4月1日,这表示被入侵的软件在长达数月时间里正常流通,而Codecov一直被行业内多家公司用来测试代码错误和漏洞,其客户包括了消费品集团宝洁公司、网络托管公司GoDaddy Inc、澳大利亚软件公司Atlassian CorporaTIon PLC在内的29,000多家企业,所以潜在受害者规模可想而知。