Maria Korolov

挫败或者绕过端点保护措施的攻击所造成的泄露事件越来越多。本文介绍了攻击者是怎么干的。

据Ponemon的《2018年端点安全风险状况报告》，63%的IT安全专业人士承认，过去12个月内，攻击频率有所上升，52%的受访者认为，事实上不可能停止所有攻击。他们的防病毒解决方案仅阻止了43%的攻击。64%的受访者说，他们的企业经历过一次甚至多次导致数据泄露的端点攻击。

这份报告是根据对660名IT安全专业人士的调查得出的，报告显示，大多数人（70%）承认，他们企业所面临的新威胁和未知威胁有所增加，而成功攻击的成本从平均500万美元增加到了710万美元。

然而，几乎每台计算机都内置了某种形式的保护措施。那么，为什么攻击者仍能得手呢？本文介绍攻击者绕过端点保护安全措施的几种主要方法。

1.基于脚本的攻击

在基于脚本或者“无文件”攻击中，恶意软件实际上是在现有合法应用软件中运行的脚本，它利用了PowerShell或者使用其他已安装的Windows组件。由于没有安装新的软件，因此，很多传统的防御系统都被它绕过了。

据Ponemon，这类攻击极有可能导致出现泄露，而且在所有攻击事件中，此类泄露事件占比从2017年的30%上升到去年的35%。Malwarebytes公司的高级安全研究员Jérome Segura介绍说：“伪代码非常少，例如，实际上扫描不到恶意软件二进制代码。”

安全系统只是能检测到有一些网络流量。“然而，攻击者也可以加密这些通信，使用可信的通信路由，悄悄地窃取数据。”

据今年年初发布的《赛门铁克互联网安全威胁报告》，去年恶意PowerShell脚本的使用增加了1000%。Digital Guardian公司的云服务安全架构师Naaman Hart介绍说：“例如，攻击者通过执行人类无法读取的命令来使用PowerShell，比如base64编码命令。PowerShell现在是必不可少的，因此攻击者通常总是会去利用它。”

Hart说，捕获此类攻击的关键是寻找常见应用软件执行异常操作的实例。他解释说：“例如，如果你跟踪自己环境中最后被执行的一千条命令，那就应该注意那些出现不到五次的命令。这通常会是一些不常见的命令，而这些命令往往就是恶意的。”

2.在流行的基础设施上托管恶意网站

很多安全平台通过阻止用户点击恶意链接来抵御网络钓鱼攻击。例如，他们可能会检查某一IP地址是否与其他恶意软件活动有关联。Segura说：“但是，如果把恶意链接托管在类似于Azure或者谷歌云的地方，而这些是使用非常广泛的基础设施，不会被列入黑名单。”Slack、GitHub和其他协作工具也可以用来帮助绕过防御。

一旦被安装了恶意软件，它通常会与命令和控制（C&C）服务器进行通信，以获取下一步行动的指令，并窃取数据。同样，如果C&C服务器被托管在其他合法的平台上，那么这一通信通道也可以被伪装起来。

Bitdefender公司的高级电子威胁分析师Liviu Arsene指出，而且，这些服务具有内置的加密功能。甚至网上照片共享网站也能被用于攻击。他说：“攻击者创建社交媒体帐户，并上传含有隐藏代码或者指令的图片。然后，该恶意软件接受指令，访问该帐户，查看最新的图片，提取图像中隐藏的一组指令，然后执行这些指令。”

对于IT部门和企业安全部门来说，这看起来就像员工正在浏览社交媒体网站。这很难被发现。即使是最新一代的端点保护技术也会遇到麻烦，因为攻击者模仿了正常的用户行为。

为了防止这种情况发生，防御方应查找这样的实例：在不该出现的时间出现了这些看似正常的通信，或者出现了某个部门通常不会使用的某个应用软件。

在图像中隐藏命令的技术被称为隐写术，也可以用于在图像附件中隐藏命令。5月份，ESET发布了一份关于Turla LightNeuron的报告，指出这是一个针对Microsoft Exchange邮件服务器的后门。据ESET，LightNeuron使用电子邮件与其命令和控制服务器进行通信，把消息隐藏在PDF或者JPG等图像附件中。

3.破坏合法的应用软件和实用程序

每家企业都有员工使用的很多第三方应用软件、工具和实用程序。如果攻击者通过进入开发这些应用软件的公司、攻入升级实用程序或者开源项目的代码库来攻破这些应用软件，那么，他们就能够安装后门和其他恶意代码。Arsene介紹说：“例如，Cleaner是一款流行的计算机实用程序，用于从计算机中清除可能不需要的文件和注册表项目——该程序被后门病毒感染了。”

据《赛门铁克互联网安全威胁报告》，2018年针对软件供应链的攻击数量增长了78%。

Synopsys公司的首席安全策略师Tim Mackey指出，开源代码特别容易受到攻击。首先，攻击者贡献出合法的漏洞修复或者软件改进——实际上是有效的。他解释说：“为了通过审查过程，合法的代码是用来掩盖任何恶意代码的。如果审查过程没有审查所贡献的全部功能，那么，这种贡献将成为软件未来版本的一部分，而更重要的是，它可能成为嵌入到商业软件包中的一种组件。”

Mackey继续说，为了防止这种情况发生，企业和软件开发人员必须仔细检查软件是否有开源代码，然后把这些代码映射回其精确的原始来源，以便一旦发现该代码就可以快速删除或者修复。

4.沙箱逃避

下一代端点保护平台的一个常见功能是沙箱，在安全、虚拟的环境中“引爆”未知的恶意软件。如果攻击者不断修改恶意软件，使其不会被基于签名的防御系统捕获，那么，这是一种非常有用的技术，能够有效的发现这种行为。

Lucy安全公司的创始人Oliver Münchow说：“然而，黑客也能轻易地绕过这些过滤器。”他们采用不同的方式来编写恶意软件，以避免被发现，即只会激活沙箱之外的恶意行为。例如，它可能只在真实的人与之交互时才被激活，或者在满足其他条件时被激活。

例如，恶意软件会等待一段时间，可能要等上几个小时、几天，甚至几周才被引爆，从而在有效载荷触发之前，被尽可能地传播开来。或者，恶意软件会检查一下它是否在管理程序环境中运行。据Cisco Talos于5月份发布的一份报告，比如，最新版本的JasperLoader恶意软件查询Windows Management Instrumentation子系统，以查明它在哪里运行，如果它在VirtualBox VMware或者KVM环境中，它将终止执行。

5.没有打补丁的漏洞

由国家安全局（NSA）最先开发出来的安全工具EtheralBlue于2017年在网上被泄露了。从那时起，尽管微软很快发布了一个补丁，但EtheralBlue还是卷入了针对英国医疗系统的攻击、对联邦快递的攻击（造成了4亿美元的损失）、对默克公司的攻击（造成了6.7亿美元的损失），以及对很多其他目标的攻击。

最近，巴尔的摩遭受了一次勒索软件攻击，据称该攻击利用了EternalBlue漏洞。不仅仅是巴尔的摩，据安全公司ESET，自2017年以来，涉及EternalBlue的攻击次数一直在上升，并且今年春天达到了历史高峰。ESET报道说，世界上仍有近100万台机器使用过时的、易受攻击的SMB v1协议，其中40多万台是在美国。

据Ponemon，65%的企业表示，很难及时打上补丁，这甚至是一项极其艰巨的任务。

6.击败安全代理

今年4月份，Absolute安全公司发布了一项历时一年对全球600万台设备的研究结果。一般的设備会有十个安全代理，有很多端点保护措施。然而，这并不总是那么有效。首先，代理会相互重叠、碰撞和干扰。任何时间都会发现，7%的端点未能进行保护，21%端点的系统已经过时。

即使安装了最新而且完全有效的端点保护安全代理，一旦攻击者站稳脚跟（例如，通过使用EternalBlue），他们也会有多种方法关闭端点保护服务。BTB安全公司顾问Humberto Gauna介绍说，例如，他们会使用PowerShell等现有的合法应用软件。

Gauna补充说，他们还可以对端点安全代理发起拒绝服务攻击，压垮端点安全代理，使其无法继续工作，他们还会利用没有正确配置的代理。然后，攻击者修改注册表，提升权限，以便在恢复后能够覆盖端点保护服务。

Gauna说，防范这种情况的方法是建立一个更严格的权限等级制度，并保持补丁的一致性。

以上方法都很复杂。它们通常出现在民族国家攻击者的攻击中。

他们经常得手。位于瑞典的网络安全公司Baffin Bay Networks的威胁研究主管Justin Shattuck介绍说，现在，它们被更广泛的攻击者使用了。他说：“这的确是个问题。”

Shattuck说，这些攻击程序被打包放在暗网上，即使不太懂技术的人也能使用。这不仅使得企业不得不去防御越来越多的复杂攻击，而且加大了政府干预的难度。他说：“不太懂技术的人承担所有风险。如果他们被抓到，我们通常也很难找到打包和提供攻击能力的人。”

Maria Korolov过去20年一直涉足新兴技术和新兴市场。

原文网址

https：//www.csoonline.com/article/3400860/6-ways-malware-can-bypass-endpoint-protection.html