看过《荒野求生》的人都了解,如果想在野外生存下来,一定要融入当地环境。如变色龙一般,让自己完美得藏匿于环境中,以成功获取食物。对于安全攻击者来说,也是如此。近年来出现的攻击大多偏向隐匿型,它们能悄悄融入用户的计算环境,长期潜伏。虽然用户防护高级威胁的能力在逐年提高,但是这些攻击者却有着足够的“创造力”,能迅速地创造出更新的攻击技术。这种新的形态,破坏力更大。它,就是非恶意软件攻击。
非恶意软件不是说攻击时真的不需要使用任何文件。而是攻击者使用被攻击主机中信任的系统程序或授权的协议来进行的一种恶意攻击。这种攻击无需运行任何恶意文件,就能达到攻击的目的。例如,攻击者定向发送钓鱼邮件,当你打开邮件时,会调用系统可信程序,如PowerShell,执行写好的攻击代码,达到攻击目的。攻击的代码只驻留在内存中,无落地文件,因此杀毒软件不会有任何响应。杰思安全在实践中,便遇过许多类似的案例。例如,某省气象局,便遇到一个利用PowerShell进行挖矿的恶意事件,攻击者只创建了一个计划任务,调用PowerShell定期执行挖矿命令,导致业务系统卡顿,而这一切攻击者没留下任何可疑文件。
由于非恶意软件攻击的强大破坏力和隐蔽性,被越来越多的黑客使用。在2018年全球网络攻击中,有超过40%的攻击者便采用了这种方式。据Malwarebytes发布的报告称,非恶意软件攻击正在迅速飙升,平均每3个感染中就有1个是非恶意软件攻击造成的。
面对如此神出鬼没的攻击,我们应采取哪些措施?当传统防御手段失效时,还能利用什么方式来保护企业?如何尽快发现非恶意软件攻击的踪迹?基于大量的成功实践经验,杰思认为快速检测及响应(EDR),是一个有效并可靠的办法,能弥补传统安全软件的不足。用户可以从评估、监测、响应几个方面入手。
威胁追踪关联分析
有些安全威胁能在用户网络中隐匿数月甚至数年。再隐匿的威胁,总会留下蛛丝马迹,因而需要检查和追踪当前与历史事件进行综合安全关联分析。从时间轴维度,对事件发生期间主机内各项变化进行汇总关联分析,还原事件全貌,找出隐匿威胁。用户必须使用能够识别历史攻击迹象的工具,如可疑的文件、网络访问、注册表项、用户登录、异常命令等。
账户监控与资产清点
账户监视和管理可以通过提高工作环境的可见性,以检测和防止未经授权的访问活动。防止由此导致的数据丢失,允许权限用户控制数据访问权,让用户实时了解访问权限是否被不当授予。资产清点显示网络上正在运行的计算机,允许用户有效部署安全体系结构,以确保没有恶意系统在内网环境运行。帮助安全和IT运营商区分环境中的托管资产、非托管资产和不可管理资产,并采取适当措施提高整体安全性。
异常命令监控
聪明的攻击者会利用PowerShell、svchost等系统自身进程,执行命令行达到挖矿、操控主机等目的,此类攻击没有落地的恶意程序,采用传统的文件检测甚至行为检测的方式无法捕获任何攻击信息。可采用记录windows系统中如cmd、PowerShell等进程执行的命令操作,并根据异常命令规则库判断其是否为有威胁的异常命令,并进行阻断实现防御。