■ 河北 劉興

編者按：當(dāng)前企業(yè)如不采取分層級(jí)的安全策略，將極易被網(wǎng)絡(luò)攻擊所攻破。本文將對(duì)此探討來(lái)自一個(gè)端點(diǎn)攻擊的實(shí)例，以建議用戶(hù)加強(qiáng)分層安全防護(hù)措施。

隨著各種攻擊手段的不斷提升，網(wǎng)絡(luò)威脅變得越來(lái)越隱蔽和復(fù)雜。令人擔(dān)憂(yōu)的是，當(dāng)前大多數(shù)惡意軟件都能夠規(guī)避傳統(tǒng)的基于簽名的反惡意軟件的檢測(cè)，這使得惡意軟件可以輕松地傳播到用戶(hù)端點(diǎn)。由此帶來(lái)的結(jié)果是，缺乏分層分級(jí)安全防護(hù)手段的企業(yè)經(jīng)常令自己處于不安全的狀態(tài)。此外，由于不安全的密碼策略，攻擊者在盜取用戶(hù)憑據(jù)或通過(guò)暴力手段破解憑據(jù)方面成功率也很高。

在過(guò)去的十年中，整個(gè)網(wǎng)絡(luò)安全威脅格局發(fā)生了重大變化，但有一件事情保持不變：端點(diǎn)正在受到網(wǎng)絡(luò)攻擊者的“圍獵”。表面上看，攻擊者在滲透入目標(biāo)系統(tǒng)之后，學(xué)會(huì)了變得更有耐心，但實(shí)質(zhì)上是在擴(kuò)大對(duì)目標(biāo)的攻擊范圍。

以Norsk Hydro 勒索軟件攻擊為例，最初的感染時(shí)間段往往是發(fā)生在攻擊者執(zhí)行勒索軟件并鎖定目標(biāo)計(jì)算機(jī)系統(tǒng)之前的三個(gè)月。不管是對(duì)于該勒索軟件還是用戶(hù)來(lái)說(shuō)，這個(gè)時(shí)間足夠長(zhǎng)。受害用戶(hù)完全可以在該勒索軟件對(duì)自己造成損害之前就檢測(cè)出漏洞。但是事實(shí)是，大多數(shù)企業(yè)根本就沒(méi)有完善的分層安全策略。

IBM 發(fā)布的2020 年數(shù)據(jù)泄露成本報(bào)告顯示，受害企業(yè)平均需要280 天才能發(fā)現(xiàn)并遏制攻擊行為。也就是說(shuō)，攻擊者可能正潛伏在您的網(wǎng)絡(luò)上醞釀他們的計(jì)劃長(zhǎng)達(dá)9個(gè)多月。

那么，攻擊者這段時(shí)間到底在做什么？它們是如何做到不被發(fā)現(xiàn)進(jìn)入端點(diǎn)的？讓我們一步步來(lái)揭露。

攻擊者通常以網(wǎng)絡(luò)釣魚(yú)作為開(kāi)始。無(wú)論您看到的哪種安全報(bào)告，它們大多都會(huì)指出類(lèi)似的結(jié)果——大約90%的網(wǎng)絡(luò)攻擊都是從網(wǎng)絡(luò)釣魚(yú)開(kāi)始的。成功實(shí)施的網(wǎng)絡(luò)釣魚(yú)包括幾種不同的方式，從破壞憑據(jù)到通過(guò)在計(jì)算機(jī)上運(yùn)行遠(yuǎn)程訪(fǎng)問(wèn)木馬等。對(duì)于憑據(jù)攻擊，最近攻擊者有在利用眾所周知的云服務(wù)的可自定義子域來(lái)托管看似合法的身份驗(yàn)證表單。

來(lái)自WatchGuard 威脅實(shí)驗(yàn)室遇到的一個(gè)網(wǎng)絡(luò)釣魚(yú)事例表明，電子郵件中的鏈接是針對(duì)單個(gè)收件人定制的，攻擊者可以利用此鏈接將受害者的電子郵件地址填充為偽造表格，以提高信譽(yù)。該網(wǎng)絡(luò)釣魚(yú)甚至托管在Microsoft 所屬的域中，但其實(shí)是位于攻擊者控制下的子域（servicemanager00）中，因此有些沒(méi)有經(jīng)驗(yàn)的用戶(hù)可能會(huì)對(duì)此信以為真。

對(duì)于惡意軟件攻擊來(lái)說(shuō)，攻擊者（或至少是成功的攻擊者）已基本上不再將惡意軟件以可執(zhí)行文件的方式添加到電子郵件。因?yàn)楝F(xiàn)在很多用戶(hù)已認(rèn)識(shí)到啟動(dòng)未知的可執(zhí)行電子郵件附件是一個(gè)很不安全的行為，并且大多數(shù)電子郵件服務(wù)和客戶(hù)端都具有一定的安全技術(shù)以阻止類(lèi)似的攻擊。取而代之的是，攻擊者開(kāi)始利用dropper文件，通常以宏文件格式的Office 文檔或JavaScript文件的形式存在。

如果收件人尚未更新其Microsoft Office 最新版本，或沒(méi)有一定的安全能力來(lái)避免使用啟用宏的文檔，那么對(duì)這種攻擊方式就要留意了。而通過(guò)利用JavaScript 是最近較為常見(jiàn)的一種攻擊方式，它利用Windows 的內(nèi)置腳本引擎來(lái)發(fā)起攻擊。在任一種情況下，dropper 文件僅僅通過(guò)識(shí)別操作系統(tǒng)，然后調(diào)用主目錄即可獲取Secondary Payload。

Secondary Payload 通常是某種形式的遠(yuǎn)程訪(fǎng)問(wèn)木馬或僵尸網(wǎng)絡(luò)，其中包括一整套工具，如鍵盤(pán)記錄器、Shell 腳本注入器以及下載其他模塊的能力。此后很長(zhǎng)時(shí)間內(nèi)，感染通常不僅限于單個(gè)端點(diǎn)。攻擊者可以利用自己的立足點(diǎn)來(lái)感染受害者網(wǎng)絡(luò)上的其他目標(biāo)，并試圖將它們“一網(wǎng)打盡”。

如果攻擊者設(shè)法獲得一組有效的憑據(jù)，并且用戶(hù)尚未部署多因素身份驗(yàn)證，那么這將更加容易讓攻擊者得逞了。這會(huì)讓攻擊者從“大門(mén)口”大大方方地進(jìn)入。然后，他們可以在遠(yuǎn)程攻擊中使用受害者自己的服務(wù)（例如內(nèi)置的Windows 腳本引擎和軟件部署服務(wù)）來(lái)執(zhí)行惡意行為。此時(shí)攻擊者通常利用PowerShell 部署無(wú)文件惡意軟件，來(lái)加密和/或泄露用戶(hù)關(guān)鍵數(shù)據(jù)。

WatchGuard 威脅實(shí)驗(yàn)室最近發(fā)現(xiàn)了一個(gè)攻擊行為。當(dāng)被發(fā)現(xiàn)時(shí)，該威脅至少破壞了一個(gè)本地帳戶(hù)和一個(gè)具有管理權(quán)限的域帳戶(hù)，攻擊者已在受害者的網(wǎng)絡(luò)上存在了一段時(shí)間。安全團(tuán)隊(duì)尚無(wú)法確定攻擊者是如何獲得證書(shū)的，或者它們?cè)诰W(wǎng)絡(luò)中存在了多長(zhǎng)時(shí)間。但是一旦開(kāi)啟了安全檢測(cè)服務(wù)，指示燈就會(huì)立即亮起，以識(shí)別漏洞。

在這次攻擊中，攻擊者使用了Visual Basic 腳本和兩個(gè)流行的PowerShell 工具包（PowerSploit 和Cobalt Strike）的組合，以繪制受害者的網(wǎng)絡(luò)并啟動(dòng)惡意軟件。安全團(tuán)隊(duì)觀(guān)察到的一種行為來(lái)自Cobalt Strike 的外殼代碼解碼器，它使攻擊者能夠下載惡意命令，并將其加載到內(nèi)存中，然后從那里直接執(zhí)行它們，而代碼不會(huì)觸及受害者的硬盤(pán)。而傳統(tǒng)端點(diǎn)反惡意軟件引擎通常是使用依靠掃描文件來(lái)識(shí)別威脅的，這使得傳統(tǒng)檢測(cè)方式無(wú)法及時(shí)檢測(cè)出這些無(wú)文件惡意軟件攻擊。

在該用戶(hù)網(wǎng)絡(luò)的其他地方，安全團(tuán)隊(duì)發(fā)現(xiàn)攻擊者使用了內(nèi)置的Windows 工具PsExec 啟動(dòng)了具有系統(tǒng)級(jí)特權(quán)的遠(yuǎn)程訪(fǎng)問(wèn)木馬，這是由于域管理員憑據(jù)的泄露而發(fā)現(xiàn)的。該團(tuán)隊(duì)還確定了攻擊者試圖使用基于命令行的云存儲(chǔ)管理工具將敏感數(shù)據(jù)泄露到DropBox 帳戶(hù)。

幸運(yùn)的是，該用戶(hù)快速識(shí)別并清除了惡意軟件。但是，如果受害者沒(méi)有更改被盜的憑據(jù)，那么攻擊者可能會(huì)隨時(shí)再次發(fā)起攻擊。如果受害者將高級(jí)端點(diǎn)檢測(cè)和響應(yīng)（EDR）引擎作為其分層安全策略的一部分來(lái)進(jìn)行部署，他們就可能會(huì)減少那些因被盜憑據(jù)所造成的損害。

攻擊者當(dāng)在實(shí)施無(wú)差別的攻擊時(shí)，哪怕是小型企業(yè)也無(wú)法幸免于難。如今僅僅依靠單層保護(hù)已無(wú)法再確保企業(yè)網(wǎng)絡(luò)安全。無(wú)論企業(yè)的規(guī)模大小如何，采用分層安全策略來(lái)檢測(cè)并阻止端點(diǎn)攻擊是至關(guān)重要的。這意味著包括從邊緣到端點(diǎn)的保護(hù)，以及對(duì)用戶(hù)的安全培訓(xùn)等。而且，不要忘記實(shí)施多因素身份驗(yàn)證（MFA），這也是阻斷攻擊的重要手段。