离地攻击
根据 SophosLabs 2019威胁报告的研究,网络攻击者借由滥用操作系统中常见的合法管理工具,成功地在 Windows 电脑上躲避侦测。
在
网络安全领域,将这种手法称之为“离地攻击” ("living off the land") 或 "LoL",因为它不用下载专用工具。而最受偏好的目标是 PowerShell,这是一个功能强大的命令列命令介面,内建在所有近期的 Windows 电脑中 (即使只有少数使用者听说过它)。其他目标还有 Windows Scripting Host (WScript.exe)、Windows Management Instrumentation Command Line (WMIC) 以及常见的外部工具,如 PsExec和WinSCP。这个简单的策略就使我们难以侦测到攻击。SophosLabs 2019威胁报告指出,虽然删除工具是一种选择,但大多数系统管理员不会这么做。因为PowerShell也是可以帮助系统管理员管理各种网络的一个组成元件,因此必须存在并启用,以便系统管理员能够执行如推送群组政策变更之类的操作。当然,攻击者知道这一点,并会毫不客气地将一系列指令码和命令介面串接在一起,让每个指令码在不同的 Windows 处理序中运作。
根据 SophosLabs 报告指出,攻击一开始可能是执行恶意 JavaScript,接着叫用wscript.exe,最终才会下载一个自订的 PowerShell 指令码。系统管理员面对的挑战:当包含多个纯文字指令码的各种档案类型,以没有特定顺序且不具可预测性的方式串接时,如何区分电脑的正常操作与恶意软件感染的异常行为就成了一项难题。
巨集攻击2.0
与此同时,攻击者仍没有放弃使用变种的 Microsoft Office巨集攻击,这是另一种不需要传统的可执行档就能发动攻击的手法。
近年来,诸如在文件中停用巨集或使用预览模式等保护措施,已经有效减轻了这种攻击的威力。不幸的是,攻击者又利用新方法来说服人们使用巨集建立器工具来停用巨集,这些工具会将 Office、Flash和其他漏洞打包成一个文件,以便产生更精准的社交工程提示讯息。
更复杂的是,网络犯罪分子已经从老旧的软件漏洞转向到更危险和更新的目标:SophosLabs 对恶意档案的分析发现,只有 3% 的漏洞利用攻击锁定 2017 年之前的漏洞。
由于端点安全产品现在会阻止或监视经常使用的档案类型,因此犯罪分子偏好使用更特别的档案类型来发动攻击,尤其是可以从Windows命令介面呼叫的的无害档案类型,例如 .cmd(命令档案)、.cpl (主控台)、HTA (Windows 指令码主机)、LNK (Windows 捷径) 和 .PIF(程序资讯档)。
横向移动
虽然 Microsoft 在 2017年 5月 WannaCry 出现之前就释出修补档案,但EternalBlue漏洞利用攻击(CVE-2017-0144)令人惊讶地成为恶意软件作者的热门标的。
加密货币挖矿软件一直是 EternalBlue的爱用者,利用它透过网络横向移动以感染尽可能多的机器。
有了这些新手法 (离地攻击工具、巨集攻击、新型漏洞利用和加密挖矿),攻击者会成为网络安全一大挑战,因为他们常常会使系统管理员不知所措。
网络技术在大大提高了我们生产效率的同时,也伴随着网络犯罪的发展。黑客、恶意软件以及其他网络漏洞进入我们的网络并以惊人的速度发展,因此在网络时代,最新的网络安全是必要的。网络犯罪在2019年会变得比以往更严峻,所以网络安全也比以往更重要。所以对于企业用户,最好办法就是做好应对威胁的准备,保证企业网络安全。
蓝讯与深信服、天融信、启明星辰、网康、山石网科、Cisco、Juniper、Sophos、Fortinet、卡巴斯基、赛门铁克、趋势等安全厂家长期合作,为各企业用户提供针对性的网络安全解决方案。欢迎来电咨询,联络人:傅小姐 电话:18028990096
18028990096/13725734438
