恶意软件绕过终端防护的六种方式

稿源：安全牛 2019-06-14 21:19:53

终端防护措施被突破而造成的数据泄露事件数量持续上升。攻击者为何能够屡屡得手？

波耐蒙研究所《2018 终端安全风险状态》报告显示：63%的 IT 安全人员认为过去一年中攻击频率有所上升；52%的受访者称不能切实阻止所有攻击。他们的反病毒解决方案只能阻挡43%的攻击。64%的受访者称，自家公司至少经历过一次造成数据泄露的终端攻击。

该报告基于对660名IT安全人员的问卷调查，结果显示大多数受访者 (70%) 称自家公司面临的新威胁和未知威胁增加了，防线被突破所造成的平均损失也从500万美元上升到了710万美元。

但是几乎每一台计算机都设置了某种形式的防护措施。为什么攻击者仍能渗入呢？下面就为大家列出攻击者用于绕过终端防护措施的主要方法。

1. 基于脚本的攻击

基于脚本的攻击也可称为 “无文件” 攻击，其中的恶意软件其实就是在已有合法应用中执行的脚本，可以利用 PowerShell 或其他已经安装的 Windows 组件。因为没有新软件被安装到系统里，所以很多传统防御都能够被绕过。

波耐蒙的研究显示，此类攻击十分容易造成数据泄露，且占比逐年上升，2017年占所有攻击类型的30%，去年该占比上升至35%。这种攻击几乎不留痕迹，没有可供杀毒软件扫描的实体恶意二进制文件。

或许会有一些网络流量能够被安全系统捕获。但攻击者也可以加密这些通信，并使用可信通信路由来悄悄渗漏数据。

今年早些时候发布的赛门铁克《互联网安全威胁报告》指出，过去一年中，恶意 PowerShell 脚本使用率增长了1000%。攻击者可以通过执行人类无法直接读取的指令来使用 PowerShell，比如 base64 编码的指令。PowerShell 如今应用广泛，因而对攻击者而言几乎可称得上是随处可得的趁手利用工具。

捕捉此类攻击的关键在于寻找常见应用执行不常见操作的实例。举个例子，如果你记录下环境中执行的最后1,000条指令，那你要寻找的可能是出现了不到五次的那种。这么做往往都能翻出那些不正常的指令——通常也就是恶意指令。

2. 在流行基础设施上托管恶意站点

很多安全平台通过阻止用户点击恶意链接来抵御网络钓鱼攻击。比如说，安全平台可能会检查特定IP地址是否与其他恶意软件攻击活动相关联。但如果攻击者将恶意站点托管在 Azure 或谷歌云之类的东西上，那么这些恶意站点也就随其所在基础设施的广泛应用而不能被加入黑名单。

恶意软件只要成功进驻目标系统，往往会回连命令与控制 (C&C) 服务器，从这些服务器上获取指示下一步动作的指令，或者利用 C&C 服务器渗漏数据。如果 C&C 服务器托管在合法平台上，该通信信道也就能成功伪装了。

而且，这些服务往往有内置的加密功能。甚至在线照片共享网站都能被用作攻击的一部分。攻击者创建社交媒体账户，上传含有隐藏代码或指令的照片。恶意软件可内置访问该账户的预设操作，查看最近照片，从中抽取隐藏指令，然后执行这些指令。

在 IT 部门和企业安全团队看来，所有迹象都只显示出有员工在浏览社交媒体而已。通过这种方式悄悄执行的恶意操作很难被捕捉到。甚至最新一代的终端防护技术都对攻击者模仿正常用户行为的操作束手无策。

为抵御此类攻击，防御者需查找在非正常时段发生的 “正常” 通信，或者某应用被通常用不到它的部门使用的实例。

利用隐写术将指令隐藏到照片中的技术也能被用于在图片附件中隐藏指令。今年 5 月，ESET 发布了一份关于 Turla LightNeuron 微软 Exchange 邮件服务器后门的报告，指出 LightNeuron 利用电子邮件与其 C&C 服务器通信，并将往来消息隐藏在图片附件中，比如 PDF 或 JPG。

3. 中毒合法应用及实用程序

每家企业都有很多第三方应用、工具和实用程序为员工所用。如果攻击者黑掉开发这些工具的公司，渗透进升级功能中，或者潜入开源项目的代码库里，他们就可以植入后门和其他恶意代码。举个例子，流行系统清理工具 Cleaner 就曾被植入了后门。

赛门铁克《互联网安全威胁报告》中写道：针对软件供应链的攻击在2018年上升了78%。

开源代码尤其脆弱。首先，攻击者可以贡献合法漏洞修复或有用软件改进，在合法代码中隐藏恶意代码，用合法代码瞒过审查过程。

只要审查过程不检查贡献的全部功能，该贡献就能成为软件未来发布的一部分。更重要的是，还有可能成为商业软件包组件分支的一部分。

为防止此类事情发生，企业和软件开发人员必须仔细检查软件中的开源代码，将该代码映射回其确切源头，以便一旦出问题就能快速清除或修复。

4. 沙箱逃逸

下一代终端防护平台的一个常见功能就是沙箱——在安全虚拟环境中触发未知恶意软件。在恶意软件频繁变身以躲过特征码检测的时代，这种技术对防御者而言非常有用。

但这种防护如今也很容易被黑客绕开。黑客可以将恶意软件编写成只在沙箱外才激活恶意行为。比如说，只在与真人互动时才会激活，或者在满足其他条件时才触发恶意行为。

延时是最常见的手法。恶意软件可能等待数小时、数天，乃至数周才激活，在攻击载荷被触发之前尽可能广泛地感染网络。又或者，恶意软件可以直接检查自身是否运行在虚拟机环境中。比如说，思科塔罗斯团队5月报告中就指出，最新版本的 JasperLoader 恶意软件会查询 Windows 管理规范 (WMI) 子系统以找出自身运行环境，如果是在 VirtualBox、VMware 或 KVM 环境中，就会终止执行。

5. 未修复的漏洞

美国国家安全局 (NSA) 开发的 “永恒之蓝” 安全工具在 2017 年 7 月被泄露到了网上。自此，永恒之蓝被用到了多起重大网络攻击中，包括针对英国医疗系统的攻击，联邦快递所遭 4 亿美元的攻击，默克公司 6.7 亿美元攻击等等——尽管微软已经快速发布了补丁。

直到最近还陆续有永恒之蓝的受害者出现。巴尔地摩市遭受的勒索软件攻击据称就用到了永恒之蓝漏洞。且巴尔地摩还不是个案。安全公司 ESET 报告称，自 2017 年起，涉永恒之蓝的攻击数量一直在上升，在今年春天达到了历史峰值。全球超过100万台主机仍在使用存在漏洞的过时 SMBv1 协议，其中有40万台都在美国。

波耐蒙研究所表示，65%的公司企业认为保持更新很难或极端困难。

6. 拿下安全代理

今年 4 月，Absolute Security 发布了其针对全球600 万台设备为期一年的研究报告《2019终端安全趋势》。报告显示，每台设备上平均装有十个安全代理。终端防护措施不可谓不丰富了。但数量并不能保证有效性。首先，代理之间互有重叠，还会相互抵触和干扰。随时都有7%的终端缺乏防护，21%的终端装有过时的系统。

即便安装了终端防护安全，且防护有效，保持更新，一旦攻击者建立了立足点，比如通过利用永恒之蓝漏洞，他们也有很多种方法可以关闭终端防护服务。运用 PowerShell 之类已有合法应用就是方法之一。

攻击者还可以针对终端安全代理发起拒绝服务攻击，让代理过载而无法继续提供防护功能，或者利用未能恰当配置的安全代理。然后，攻击者就可以修改注册表以提升权限，在安全代理恢复时凌驾于终端防护服务之上。

抵御此类攻击的方法是通过持续修复来打造更严格的权限层级。

上述方法都比较复杂，通常出现在民族国家攻击者发起的攻击中。

不过，这都是老黄历了，如今能运用此类方法的攻击者已经不局限于黑客国家队，网络犯罪团伙甚至普通黑客也能用。

暗网上就提供有打包出售的攻击，不需要具备太多黑客技术就能使用。这不仅仅增大了公司企业需抵御的复杂攻击数量，也让执法机构更难以介入。能被抓到的都是高端黑客工具的下游普通用户，真正打包销售这些工具的人却隐身暗网背后。

波耐蒙研究所《2018终端安全风险状态》报告：

https://cdn2.hubspot.net/hubfs/468115/whitepapers/state-of-endpoint-security-2018.pdf

赛门铁克《互联网安全威胁报告》：

https://www.symantec.com/security-center/threat-report

ESET 关于 Turla LightNeuron 后门的报告：

https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf