对抗反分析和逃逸技术的三种策略
星期三, 九月 11, 2019
如果我们的网络被入侵了会怎么样?这是一段时间以来安全人员一直在问的一个问题。但出于各种各样的原因,从网络转型到更复杂的攻击方式等,该问题现在变成了:我们怎么知道我们的网络是否已经被入侵了?
问题转变的原因之一在于,随着网络罪犯越来越精于检测逃逸新策略的研究,他们几乎不会在达成自己的目标之前,给我们留下任何可供发现不妥的证据。
安全人员大多会熟悉几种用于确保攻击成功的高级安全攻击策略。比如采用机器学习结合变形或多态漏洞利用,摸透并适应网络防御,或者利用已经部署在网络上的工具。幸运的是,很多安全人员都有应对之策,可以检测并有效响应此类攻击。
因此,网络罪犯也在应用新技术以掩盖他们的攻击,绕过检测和分析,以便能够完成自己的攻击计划。常见的反分析技术包括,能使恶意软件检测自身是否处于沙箱环境或系统模拟器的例程,禁用受感染系统上安全工具的功能,使用垃圾数据困住反汇编等。MITRE 目前列出了超过 60 种反分析和逃逸技术,有新有旧,攻击者可以用来绕过防御,逃逸检测,在目标系统上不受打扰地达成自己的目标。
这看起来是一股快速发展的风潮。上个季度,多份报告称发现了内置防御逃逸技术的新恶意软件,表明该最新攻击策略正处于快速上升期。其中一例恶意软件是针对金融机构的下载器,不仅包含沙箱检测技术,还内置有一个很聪明的工具,可以确定自身是否在模拟器内运行。该下载器还会检查鼠标移动和调试器,以确保只在真实生产环境中运行。而且,这并非个案。2019 年第二季度至少还曝出另外两个下载器也运用了类似的高级逃逸机制,包括位置验证功能和用于延迟执行的睡眠计时器。
另一股正在兴起的趋势是运用 “因地制宜” 技术,劫持标准网络工具来执行恶意活动. 比如说,PowerShell 可以直接从内存执行,很容易混淆,而且已经获得系统信任,也就可以绕过白名单防御机制。利用 PowerShell 的免费恶意工具也很多,比如 PowerSploit、PowerShell Empire 和 Nishang 等。由于 PowerShell 这样的工具已获授权,且很多此类工具可能无意中具备某种程度上的管理员权限,所以利用这些工具的恶意行为也就往往被归类成已授权行为了。
这些工具和类似的反分析及其他逃逸战术,对企业造成了极大挑战,凸显出多层次防御机制的重要性,企业防御必须超越传统特征码和基于行为的威胁检测。
诚然,采用特征码和基于行为的安全工具检测威胁,依然是安全武器库中的重要部分。但这些方法还需要来自高级行为分析等先进技术的加持,才可以识别和关联那些单独看可能不会触发威胁警报的可疑行为。
而且,如果对上专门用于逃逸检测的恶意软件,这些策略的有效性也会直线下降。更糟的是,由于数字转型不仅扩宽了网络边界,还令网络面临“最弱一环”的困境;快速扩张的网络攻击界面更加加剧了反分析和逃逸技术带来的挑战。新的云、WAN、移动性和 IoT 策略都引入了各自独特的安全风险,且往往都附带各不相同的安全水平,问题由此引发。
不过,有矛就有盾,恶意软件想藏,自然就有强大的工具来帮安全人员检测。包括:
1. 基于意图的网络分隔
建立在 “信任” 模型基础上的扁平网络,让已进入该网络的网络罪犯成为了受信环境的一部分,可以行迹不显地运行,然后迅速在整个网络上扩散威胁。而随着进一步深入网络,此类恶意活动也变得极难检测与限制,造成级联风险、有价值数据丢失,以及经济和品牌损害。
网络分隔能确保即使发生入侵,其影响也局限在预先确定的资源集上。然而,静态分隔,比如使用微分隔、宏分隔和应用分隔等各种分隔技术组合,保护数据和数字资产,并不总能轻易适应网络的快速变化。为适应需要横穿网络分隔的工作流、应用和交易,越来越多的例外被创建出来,网络分隔的有效性也随之逐步下降。
而采用基于意图的分隔,企业就能智慧分隔网络和基础设施资产,不用在意其位置,不管是在现场还是在多个云上。随后就能通过持续监视信任级别和自动适应安全策略,建立起动态细粒度访问控制。还可以更有效地运用高性能先进安全技术隔离关键 IT 资产,应用细粒度监视快速检测和阻止使用分析和自动化的威胁。
2. 诱骗技术
诱骗技术通过在模拟正常资产的基础设施上创建诱饵网络资源起效。这些诱饵可部署在虚拟环境或实体环境中,包含旨在诱骗网络罪犯以为自己发现了盗取凭证或提权之路的流量活动。
诱骗技术之所以在检测逃逸性恶意软件上如此有效,是因为源自合法设备的流量要么不会流入这些欺骗性诱饵,要么即便流入,其表现也是可预测的。也就是说,一旦陷阱被触发,隐秘设备就会暴露,可以立即展开应对措施。记录受影响诱饵更新的中央诱骗服务器会收到广播通知,该恶意软件所用相关攻击方法会被录制下来,基于意图的分隔自动介入,隔离被入侵的设备——即使该设备上的恶意软件本身不会被实际检测。
3. 集成安全
沙箱解决方案中增添 AI 可应对高级逃逸策略,比如能够检测拒绝在沙箱或模拟器中运行的恶意软件。不过,一旦发现反分析恶意软件,安全工具必须能够协同工作,共享威胁情报,以便可警戒其他具有类似行为的事件。
举个例子。网络分隔间检查点上应用的安全措施,就得能够锁定检测并实时更新。其他工具需相互配合,追溯恶意软件源头,沿可能同样被黑的数据路径追查威胁的行事手法。所以,各工具应深度集成至横跨整个分布式网络的单一内聚安全架构中,囊括核心实体网络、公共及私有多云环境、WAN 位置和移动及 IoT 设备。
检测逃逸性恶意软件的诀窍是要限制其活动范围,让它暴露自身,然后在整个网络上共享这些信息,提升检测和响应力度。基于意图的分隔、诱骗技术和集成安全架构在对抗检测与分析逃逸技术上具有举足轻重的作用,是揭露隐秘恶意软件的基本工具。
相关阅读