本文來自微信公眾號(hào)“GoUpSec”。
2023年,隨著企業(yè)安全防御技術(shù)和方法的不斷完善,越來越多的攻擊者開始另辟蹊徑,尋找能夠突破傳統(tǒng)網(wǎng)絡(luò)安全解決方案,更有效地進(jìn)行滲透并駐留的攻擊方法,以下我們整理了2023年呈上升趨勢(shì),將在四季度“興風(fēng)作浪”的八大新興安全威脅:
一、令牌/云API濫用
攻擊者正不斷摸索新的攻擊技術(shù)和方法來滲透系統(tǒng)和網(wǎng)絡(luò),對(duì)令牌和云API的濫用正變得更加普遍。令牌通常比用戶賬號(hào)更容易被竊取,可以授予對(duì)通過多重身份驗(yàn)證(MFA)建立的會(huì)話的訪問權(quán)限,這使它們成為攻擊者的重要目標(biāo)。
此外,在集成生態(tài)系統(tǒng)(例如Office 365等Windows應(yīng)用程序)中令牌的位置缺乏明確性,這增加了防止未經(jīng)授權(quán)訪問的挑戰(zhàn)。這種模糊性使得防御者很難識(shí)別那些可提取令牌的進(jìn)程,從而導(dǎo)致傳統(tǒng)防御機(jī)制的效率降低。
二、攻擊者利用EDR防護(hù)范圍之外的系統(tǒng)來實(shí)現(xiàn)持久性
攻擊者越來越多地針對(duì)傳統(tǒng)端點(diǎn)檢測(cè)和響應(yīng)(EDR)或防病毒(AV)解決方案防護(hù)范圍之外的系統(tǒng)。辦公設(shè)備、路由器和物聯(lián)網(wǎng)設(shè)備經(jīng)常被EDR等基于代理的端點(diǎn)安全解決方案所忽視,因而成為尋求在網(wǎng)絡(luò)中建立持久性的攻擊者的熱門目標(biāo)。這些系統(tǒng)缺乏集中式日志記錄,使得入侵的檢測(cè)和修復(fù)進(jìn)一步復(fù)雜化。
未來幾個(gè)月,預(yù)計(jì)攻擊者將繼續(xù)完善其工具集,添加更多Linux工具、隧道工具、ARM架構(gòu)編譯工具以及多平臺(tái)工具。
三、利用易受攻擊的驅(qū)動(dòng)程序
越來越多攻擊者的開始利用存在漏洞的驅(qū)動(dòng)程序?qū)?quán)限提升到本地系統(tǒng)。攻擊者尤其青睞簽名的易受攻擊驅(qū)動(dòng)程序,因?yàn)榇祟愹?qū)動(dòng)程序可用于在攻擊早期禁用防病毒軟件或EDR等安全解決方案。
盡管微軟已經(jīng)著手解決這個(gè)問題,例如部署易受攻擊驅(qū)動(dòng)程序阻止列表,但該方法對(duì)新威脅的反應(yīng)遲緩,其對(duì)手動(dòng)更新的依賴也經(jīng)常導(dǎo)致系統(tǒng)暴露。
LOLDrivers等項(xiàng)目旨在通過提供易受攻擊驅(qū)動(dòng)程序和相關(guān)檢測(cè)機(jī)制的全面列表來彌補(bǔ)這一差距。
四、惡意.lnk、.html、PDF中的嵌入式Office文檔和.iso文件
網(wǎng)絡(luò)攻擊感染鏈通常包括一些流行的文件類型,例如.lnk、.html、.pdf和.iso文件。
最新的威脅趨勢(shì)是將辦公文檔嵌入到PDF文件中,這種策略預(yù)計(jì)會(huì)越來越流行。
HTML文件還被用于HTML走私——用JavaScript將嵌入文件寫入磁盤。這種多重方法使傳統(tǒng)安全解決方案更難檢測(cè)和阻止惡意文件。
五、Havoc
Havoc是一個(gè)C2框架,因其強(qiáng)大的功能集和積極的開發(fā)迭代而受到攻擊者歡迎。
Havoc的主要功能包括通過Ekko、Ziliean或FOLIAGE進(jìn)行睡眠混淆、x64返回地址欺騙、Nt*API的間接系統(tǒng)調(diào)用、SMB支持、令牌庫(kù)以及各種內(nèi)置的后利用命令。
Havoc能通過硬件斷點(diǎn)(Breakpoint)修補(bǔ)Amsi/Etw,在“睡眠”期間使用代理庫(kù)加載并復(fù)制堆棧,這使得Havoc對(duì)于攻擊者來說特別有吸引力。
六、濫用合法遠(yuǎn)程訪問軟件實(shí)現(xiàn)持久性
遠(yuǎn)程訪問木馬通常難以逃避防病毒軟件的檢測(cè),因此攻擊者開始轉(zhuǎn)向合法的遠(yuǎn)程訪問軟件作為替代方案。
這些合法的遠(yuǎn)程訪問軟件(包括ConnectWise Control、Anydesk、NetSupport、TeamViewer、Atera、LogMeIn和Splashtop等)通常不會(huì)被安全解決方案歸入為“可疑”軟件清單(PUA)。因此,攻擊者對(duì)此類軟件的使用常常能逃避檢測(cè),進(jìn)而實(shí)現(xiàn)持久性駐留。
七、隧道工具(例如,ngrok、frp等)
隧道工具能幫助攻擊者建立從內(nèi)部服務(wù)到遠(yuǎn)程系統(tǒng)的代理連接,同時(shí)避免檢測(cè)。隧道工具通常支持多種架構(gòu),符合使用辦公設(shè)備、路由器和物聯(lián)網(wǎng)系統(tǒng)實(shí)現(xiàn)持久性駐留的趨勢(shì)。
如今,越來越多的攻擊者開始熱衷于使用隧道工具建立秘密通信渠道。
八、SEO中毒
SEO(搜索引擎優(yōu)化)中毒是指攻擊者操縱搜索引擎排名以引誘用戶訪問惡意網(wǎng)站的攻擊技術(shù)。
自2023年初以來SEO中毒攻擊顯著增加,涉及多種攻擊策略,包括關(guān)鍵詞填充、偽裝、人為提高點(diǎn)擊率以及使用專用鏈接網(wǎng)絡(luò)。
一些攻擊者還善于使用針對(duì)性SEO中毒(例如魚叉式網(wǎng)絡(luò)釣魚)來攻擊特定受眾。這使得識(shí)別和防御此類攻擊變得更加困難,因?yàn)槭轻槍?duì)受害者量身定制的。
結(jié)論
網(wǎng)絡(luò)安全態(tài)勢(shì)正高速發(fā)展,企業(yè)安全團(tuán)隊(duì)需要及時(shí)了解新興威脅趨勢(shì),這對(duì)制定有效的防御策略至關(guān)重要。本文介紹的八種安全威脅預(yù)計(jì)將在未來幾個(gè)月對(duì)安全威脅態(tài)勢(shì)產(chǎn)生重大影響,安全團(tuán)隊(duì)需要有針對(duì)性地調(diào)整防御措施,更好地保護(hù)企業(yè)和個(gè)人免受網(wǎng)絡(luò)威脅。