網(wǎng)絡(luò)安全拐點(diǎn)：無惡意軟件攻擊主流化

何靜

過去幾年，安全人員關(guān)注的焦點(diǎn)是網(wǎng)絡(luò)犯罪的組織化和市場(chǎng)化趨勢(shì)，包括各種攻擊即服務(wù)（例如RaaS）、惡意軟件產(chǎn)業(yè)化發(fā)展等。但是2019-2020年，老式黑客電影中常出現(xiàn)的場(chǎng)景，黑客飛速敲擊鍵盤在命令行工具中輸入字符的“手動(dòng)攻擊”再次回歸主流。近日，據(jù)CrowdStrike，Rapid7等網(wǎng)絡(luò)安全公司的監(jiān)測(cè)分析，“無惡意軟件”攻擊勢(shì)頭正在上升成主流攻擊手段，對(duì)企業(yè)安全防御者構(gòu)成嚴(yán)重威脅和挑戰(zhàn)。

他帶著鍵盤來了

CrowdStrike的最新安全報(bào)告數(shù)據(jù)顯示，2019年，黑客用鍵盤逐行輸入命令的“手動(dòng)攻擊”反超了全球范圍內(nèi)由惡意軟件傳播引領(lǐng)的“現(xiàn)代化大規(guī)模自動(dòng)化攻擊”。

一段時(shí)間以來，經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)罪犯和國(guó)家黑客一直在通過新方法來提升“殺傷力”，例如，潛入目標(biāo)網(wǎng)絡(luò)并冒充真實(shí)用戶來掩蓋其安全工具的活動(dòng)，使用被盜的憑據(jù)并運(yùn)行合法的工具來竊取數(shù)據(jù)。

在CrowdStrike的威脅事件響應(yīng)報(bào)告中，此類所謂的“無惡意軟件”攻擊首次超越基于惡意軟件的攻擊，在2019年攻擊事件中的占比達(dá)到51 %，超過后者的49 %。而在2017年和2018年，全球攻擊事件中惡意軟件的占比還高達(dá)60 %，無惡意軟件攻擊的占比約40 %。

用CrowdStrike的話來說，無惡意軟件攻擊是一種潛入受害組織的方法，它沒有在計(jì)算機(jī)磁盤上使用惡意文件或文件片段。除了憑據(jù)或合法工具被盜外，這種類型的攻擊還可以從內(nèi)存中執(zhí)行代碼，并且只能通過檢測(cè)異常行為的高級(jí)工具和技術(shù)或通過威脅搜尋來檢測(cè)。

也許我們可以把這種趨勢(shì)解讀為：APT的常態(tài)化，但無論規(guī)模還是頻率和影響范圍，無惡意軟件攻擊都要遠(yuǎn)超APT。

從Crowdstrike的2019年網(wǎng)絡(luò)攻擊TTPs統(tǒng)計(jì)中也可以看到，一度被腳本小子和惡意軟件搶了風(fēng)頭的傳統(tǒng)黑客又回來了，他們主要使用“手動(dòng)模式攻擊”，例如命令行界面，Power Shell以及隱藏文件和目錄。這些技術(shù)在2019年觀測(cè)到的許多復(fù)雜攻擊中都發(fā)揮了重要作用，這些攻擊的一個(gè)共同特點(diǎn)就是攻擊中有黑客個(gè)人參與并引導(dǎo)。

安全專家擔(dān)心，如果攻擊者加倍實(shí)施無惡意軟件攻擊，那么企業(yè)現(xiàn)有的安全工具，乃至企業(yè)的整個(gè)安全防御體系將不堪重負(fù)，甚至形同虛設(shè)。

CrowdStrike的CTO Michael Sentonas表示：隨著越來越多的攻擊者找到繞過傳統(tǒng)安全工具的方法，無惡意軟件攻擊正在快速增長(zhǎng)。而且，攻擊者并不滿足于繞過常規(guī)的防病毒軟件，他們也開始繞過下一代AV產(chǎn)品，這推動(dòng)無惡意軟件攻擊大幅度升級(jí)。如果無惡意軟件攻擊占比達(dá)到60 %或以上，那將是一個(gè)極為嚴(yán)峻的問題。

Sentonas指出，問題在于大多數(shù)組織都沒有技術(shù)能力來區(qū)分合法用戶或竊取其憑據(jù)的攻擊者。

手動(dòng)化挑戰(zhàn)自動(dòng)化

根據(jù)CrowdStrike的報(bào)告，2019年大多數(shù)無惡意軟件的攻擊都發(fā)生在北美，其中3/4的攻擊并未在受害組織內(nèi)部部署惡意軟件。當(dāng)越來越多的攻擊者開始采用“手動(dòng)攻擊”，網(wǎng)絡(luò)安全業(yè)界開始流行的自動(dòng)化檢測(cè)和響應(yīng)（例如SOAR）技術(shù)就會(huì)面臨挑戰(zhàn)。

安全公司Rapid7的研究者也發(fā)現(xiàn)，越來越多的攻擊者滲透進(jìn)目標(biāo)時(shí)會(huì)放棄使用惡意軟件。Rapid7的研究主管Tod Beardsley說：攻擊者正在使用有效憑據(jù)或重用其他攻擊中獲取的憑據(jù)，這簡(jiǎn)直防不勝防。這不是可以輕松地用自動(dòng)化編排防御的威脅。

這同時(shí)也意味著，隨著手動(dòng)攻擊的流行，賬戶憑據(jù)的泄露，對(duì)企業(yè)的威脅越來越大。根據(jù)SANS針對(duì)企業(yè)安全部門的調(diào)查，失竊信息在地下黑市的交易變現(xiàn)與利用是未來12月內(nèi)，CSO們眼中最有價(jià)值的威脅情報(bào)信息之一。

CrowdStrike首席技術(shù)官Sentonas表示：2020年一件有趣的事情：無惡意軟件的攻擊是否會(huì)繼續(xù)增加，這是否與（攻擊者的）駐留時(shí)間相關(guān)？如果這是未來2～4年的網(wǎng)絡(luò)安全趨勢(shì)，那么我們就遇到大麻煩了，因?yàn)樵絹碓蕉嗟墓舴椒梢岳@過安全控制機(jī)制。

人的因素

Rapid 7的Beardsley認(rèn)為，面對(duì)自動(dòng)化安全運(yùn)營(yíng)和防御技術(shù)難以招架的手動(dòng)攻擊威脅，組織需要重視人的因素，授權(quán)最終用戶成為安全文化的一部分（安全是每個(gè)人的責(zé)任，而不僅是企業(yè)安全人員的責(zé)任）。

安全廠商Sophos的首席研究科學(xué)家Chester Wisniewski認(rèn)為：現(xiàn)在，有更多的攻擊者是人。因此對(duì)合法工具的惡意用途檢測(cè)尤為關(guān)鍵。例如，如果發(fā)現(xiàn)Nmap網(wǎng)絡(luò)監(jiān)視工具在DMZ中的Web服務(wù)器上運(yùn)行，那應(yīng)該是一個(gè)危險(xiǎn)信號(hào)。沒有人應(yīng)該在DMZ的服務(wù)器上運(yùn)行它。

Wisniewski指出，如果合法的安全工具在常規(guī)使用時(shí)間（范圍）以外運(yùn)行，則構(gòu)成安全事件。必須清楚，你可能不是唯一使用這些工具的人，使用者也可能是壞人。