实战攻防演习“以攻促防”系列内容连载至今,已经覆盖了攻击方演习开始前的侦查、武器构建,以及载荷投递的各个步骤。在突破防守边界、完成载荷投递后,攻击者下一步要做的就是成功“投毒”,即目标植入。在这一阶段,从攻击者的视角来看防守,无非就是一场“他逃、他追,他插翅难飞”的博弈大戏。
江湖高手都是怎样成功投毒的?
在古龙武侠小说《多情剑客无情剑》中,有这样一位用毒高手,名为五毒童子,苗疆极乐峒峒主,擅长下毒,身形矮小如幼童,绝招为“极乐虫”与五毒水晶。五毒童子的用毒功夫可谓是出神入化,已经达到登峰造极的程度,可借用一切动植物为媒产生毒杀人,武林中人无不闻风丧胆。在追杀主人公李寻欢的过程中,曾言到:“到今夜为止,死在我手上的人已有三百九十二个,非但从来没有一人见到过我,根本连我的影子都看不到。”
攻击者的“秘密武器”:0day、无文件攻击与高级后门
荆轲刺秦王式的图穷匕见并不是一个好的选择。早期的实战攻防演习聚焦内网边界的攻击,近几年则更流行供应链攻击、社工钓鱼等手段。攻击者的攻击手法五花八门,攻击样本多种多样,防守方的查杀水平也水涨船高。
大多数情况下,针对攻击行为,现有的查杀防护系统可以对比恶意软件特征库快速自行处置。但仍有个别极难被发现的“秘密武器”如0day漏洞攻击、无文件攻击和高级后门等。
-
从攻击者视角来看,0day漏洞攻击成功的关键在于穿透现有基于规则的防护技术,具有极强的突发性和破坏性。即使防守方在发现攻击后意识到了0day漏洞的存在,但仍然无法立即修复漏洞,多数情况下只能被迫关停服务器或者系统,等待厂商发布漏洞补丁。漏洞的复杂程度、影响范围不同,造成补丁发布的周期可能是几个小时,也可能是几天。最后,防守方还需要耗费较长时间验证修复。攻击者利用这种攻防信息的不对称发起攻击,往往战无不胜,可以直接威胁核心系统安全。对于防守方来说,这种看不见的、未知的威胁才是最可怕的。
-
另一种无文件攻击,其中一种常用的手段“内存马”,其历史可以追溯到十几年前。这种古老的攻击手段通过将木马注入到系统进程和删除自身进程的方式,来躲避杀毒软件的查杀和实现自身的隐藏。随着防守方的防护设备越来越专业、防线越来越牢固,很多传统的基于文件形式的Webshell很容易被检测到,以内存马为代表的无文件攻击在这几年的攻防演习中越来越流行,逐渐成为攻击者的必备武器。删除自身并且在内存中驻留隐藏,意味着内存马具有较强的隐蔽性,增加了检测难度,内存马之所以会受到攻击者青睐,不仅仅是这一特点。随着攻击目标和手段的变化,加上技术的发展,内存马也开始演变,其种类繁多,有二进制代码片段(Shellcode)、PowerShell脚本、Web中间件等类型,每种类型又可细分,不同类型内存马的执行方式、恶意代码触发机制各不相同,导致检测方式多样,同时,其攻击范围涵盖操作系统脚本、进程,Java容器和Web服务程序等,攻击方式多变且复杂。
-
还有一种是指令劫持类高级后门。此前,奇安盘古实验室发布报告,发现美国国家安全局的黑客组织“方程式”利用顶级后门“电幕行动(Bvp47),对包括中国在内的45个国家开展长达十几年的监控,再次证明类似“双脉冲星、鬼影变种”等这类高级后门绝非个例。它们普遍通过更改原本正常的指令控制流,进行额外的恶意逻辑判断或执行,从而实现攻击者的恶意目的。因此,当安全软件读取文件中的代码进行匹配时,攻击者就可以将更改过的、与内存中一致的数据返回给调用者,让其认为两者是一致的并不存在问题,从而绕过安全检测,实现隐匿效果。
隐蔽性强、种类多、范围广……这些攻击手段都让防守队如临大敌。
防守有道:新一代安全软件让威胁无所遁形
-
针对服务器侧的恶意攻击,服务器安全管理系统(椒图)基于服务器轻量级Agent,能有效保护服务器操作系统及应用,通过资产清点、基线检查、漏洞检测、虚拟补丁、应用防护(RASP、IN-APP WAF)、系统加固、Webshell&病毒查杀、攻击溯源等功能,有效抵御黑客攻击和恶意代码,实现资产发现-漏洞检测-漏洞利用防护的闭环管理,帮助防守方从战前准备、攻防对抗、回溯分析三个阶段构建服务器端防护体系。
从网络攻防实战角度出发,椒图的实战化能力可以有效守护企业服务器安全,使操作系统内核、中间件、应用等具有免疫力。在攻防对抗阶段,针对各类恶意软件攻击,尤其是0day漏洞攻击和无文件攻击等,椒图聚焦服务内部的持续监测与响应,这也是其核心优势所在,通过内核探针、RASP探针、IN-APP WAF探针、Webshell沙盒、无文件攻击检测引擎等多项检测技术,构建服务器异常模型,在历年实战攻防演习期间,椒图曾多次帮助防守队发现0day攻击。
-
在实战攻防演习中,终端就是攻防对抗的“着陆点”、双方必争之地。随着攻防手段的不断升级,传统的已知病毒攻击、漏洞利用等攻击方式,攻守双方都已“知己知彼”。运用钓鱼、挖矿、无文件攻击、横向渗透等综合攻击手段对终端进行持续高级威胁输入,反而成为目前攻防演练和用户实际终端安全防护中的常见攻击方式。
-
针对0day问题和高级后门的问题,奇安信历时四年打造了全新一代安全技术“天狗”,并推出了领先业界的产品——奇安信天狗安全防护平台。
作为“冬奥安全保障”四大黑科技之首,该技术将安全检测能力下沉到内存指令层,基于内存指令执行序列进行安全检测的技术,配合“非白即黑”的安全策略,能够有效解决0day漏洞攻击问题。值得一提的是,针对高级后门,“天狗”还创新使用了CPU硬件能力,实现了对全控制流进行检测。利用该创新技术可以发现各类公开或未公开的指令劫持类高级后门,从而有效保障安全产品的能力不会被这些后门影响从而失去应有的效果,让安全检测结果可信。
目前,“奇安信天狗安全防护平台”已在多个重点客户处大规模使用,在0day和高级后门领域效果出色,曾帮助客户发现多起0day漏洞攻击和高级后门事件。
相关阅读
原文始发于微信公众号(奇安信集团):攻防博弈:一场“他逃、他追,他插翅难飞”对抗之战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论