下一代防病毒(NGAV)、端點檢測和響應(EDR)以及端點保護平台(EPP)等網絡安全解決方案面臨着濫用、篡改和利用,以實作初始通路和持久性。威脅者知道,破壞這些防禦系統往往更容易得到他們想要的東西。但有多少團隊在網絡安全中優先考慮防篡改?
想象一下你鎮上的一家小銀行。該銀行投資了最先進的安全裝置,有頂級的攝像頭和敏感的警報器,并與中央系統進行通信。在主要的保險箱上有一個大而硬的生物識别鎖,在厚重的鋼門後面有安全保障。
一切都感覺非常安全,直到有一天,電源關閉了。突然間,沒有電=沒有網絡=沒有安全。顯然,要繞過這個最先進的安全系統,你所要做的就是撥動為銀行供電的開關。
終止服務時間
我們都在電影中看到過這些場景,但在網絡安全領域,這其實離現實并不遙遠。網絡犯罪分子總是在研究,并試圖在開始攻擊之前終止所有監控工具和安全解決方案,如EDR、NGAV、EPP等。令人擔憂的是,這通常不是很複雜的做法,你隻需要終止系統程序和服務。
這有多難呢?如果一個攻擊者已經洩露了管理權限,他們可以運作一個簡單的腳本來殺死所有的程序。如果這不起作用,他們可以安裝一個被破壞的/有漏洞的核心驅動,從核心空間進行工作。此外,攻擊者還可以使用鈎子篡改的方法來避免監控。
為了繞過屬于微軟病毒倡議(MVI)并與早期啟動反惡意軟體(ELAM)驅動程式一起發貨的安全廠商(可以通過微軟更好地保護和隔離服務),威脅者可能會安裝一個較弱的安全廠商,競争相同的安全類别,可以用來消除ELAM服務。Morphisec實驗室的威脅研究團隊在野外發現了一些威脅行為者使用的流行戰術,其中之一是部署Malwarebytes子元件作為攻擊載體的一部分。
正常情況VS有針對性的篡改
我們可以将篡改技術分為兩類:一般的和有針對性的。
一般性的篡改方法
現代惡意軟體經常試圖關閉系統中的服務,然後再轉入下一步的攻擊載體。Windows服務控制管理器(SCM)提供了一個恢複機制,可以在終止後重新啟動服務。但SCM恢複機制本身并不是保護關鍵服務的一個超級有效的補救措施。問題是總是有一個時間差--即使是非常小的時間差--在這個時間差裡,一個服務沒有運作。即使服務快速恢複,安全系統通常是 "有狀态 "的服務,是以為了準确恢複,恢複服務之前的 "狀态 "是至關重要的。
一個持久的攻擊者也可以對系統使用DOS(拒絕服務)攻擊。這将運作一個終止/恢複的無限循環,是以服務忙于自己的恢複而不是檢測和預防。
有針對性的篡改
網絡幫派擷取流行的安全軟體,包括免費的和進階的,并研究其如何工作。他們經常發現産品中的特定錯誤,進而使他們能夠優雅地終止産品。終止一些安全産品的另一種方法是通過濫用DLL劫持漏洞的錯誤來劫持流量。這方面的一個例子是2019年發現的Mcafee防毒軟體的漏洞。
不幸的是,擁有最大市場佔有率的安全解決方案比小供應商更容易被篡改。這方面的一個例子是最近針對烏克蘭一家能源供應商的Indutroyer2攻擊。ESET研究部落格發現 "在連接配接到目标裝置之前,該惡意軟體終止了一個用于标準日常操作的合法程序。除此之外,它還通過在檔案名中添加.MZ來重命名這個應用程式。它這樣做是為了防止這個合法程序的自動重新開機"。
當Red Team評估篡改時,他們通常從終止使用者模式的應用程式開始,或手動關閉特定的程序。上面的引文說明了攻擊者是如何複雜和了解恢複選項的。
核心模式 VS. 使用者模式的篡改
關于防止使用者模式應用程式終止程序的問題已經寫了很多,如程序資料總管、任務管理器、PowerShell和Process Hacker。
Process Hacker帶有一個簽名的核心模式驅動程式,它具有終止任何使用者模式程序的進階權限。不幸的是,Process Hacker驅動程式可以被用于惡意目的。這種攻擊技術被稱為 "自帶易受攻擊的驅動程式"。
目前,關于核心模式篡改的資訊并不多。随着網絡犯罪集團變得越來越複雜,最近的攻擊顯示惡意代碼正在進入作業系統的低層。在核心模式下運作的代碼通常是受信任的代碼,具有廣泛的系統權限。這意味着它可以終止程序,删除系統回調,并在某些情況下,修改Windows核心的實際行為。微軟在幾年前推出了PatchGuard技術來處理核心鈎子。然而,它仍然不是無懈可擊的,不能防止對所有核心結構的篡改。
確定網絡安全中的防篡改是有效的
為了評估網絡工具的防篡改效果,需要尋找的一些東西包括:程序是否可以被各種工具終止,檔案是否可以在磁盤上被修改或重命名,以及保護是否在 "安全模式 "啟動時有效。
如前所述,另一個需要注意的重要因素是--也許是反直覺的--網絡安全供應商的規模。小型供應商被篡改的可能性明顯低于大型供應商,而開源EDR則是一個很容易的目标。例如,OpenEDR很容易被Process Hacker終止,盡管它有自我防禦功能。
對于網絡安全廠商來說,保持警惕以防止其産品被篡改是很重要的。如果網絡安全廠商能夠與作業系統廠商合作,将統一的防篡改解決方案标準化,那麼世界将會受益。這将使他們能夠就可信的安全解決方案如何被作業系統識别為關鍵系統達成一緻。MITRE對供應商也有幾個非常重要的建議。
虹科Morphisec對保護我們的産品不被篡改非常重視。我們所有的産品和服務都是防彈的,而且我們一直在尋找新的方法來加強我們終端解決方案的完整性。要了解更多關于虹科Morphisec革命性的移動目标防禦技術,即在運作時在記憶體中阻止網絡攻擊,請聯系我們。
拓展閱讀
Morphisec(摩菲斯)
- 勒索軟體(例如,Conti、Darkside、Lockbit)
- 後門程式(例如,Cobalt Strike、其他記憶體信标)
- 供應鍊(例如,CCleaner、華碩、Kaseya payloads、iTunes)
- 惡意軟體下載下傳程式(例如,Emotet、QBot、Qakbot、Trickbot、IceDid)