攻击者隐藏踪迹的5种方式

从受信任的攻击者隐藏踪迹的5种方式

一些老式技术,例如隐写术(steganography)——一种将包含恶意有效负载的渗透测试服务和工具(例如Cobalt Strike和Ngrok)到已建立的开源代码生态系统(如GitHub),再到图像和文本网站(如Imgur和Pastebin),攻击者在过去几年中已将目标锁定为广泛的受信任平台。

通常来说,Ngrok的受众大多为道德漏洞之后,软件供应链安全问题可能已经引起了公众的广泛关注,但实际上,这些攻击已经上升了一段时间。

无论是误植域名(typosquatting)、品牌劫持(brandj黑客入侵。调查发现,攻击从1月31日就开始进行,但第一个客户发现不对劲时已经是4月1日,这表示被入侵的软件在长达数月时间里正常流通,而Codecov一直被行业内多家公司用来测试代码错误和漏洞,其客户包括了消费品集团宝洁公司、网络托管公司GoDaddy Inc、澳大利亚软件公司Atlassian Corporation PLC在内的29,000多家企业,所以潜在受害者规模可想而知。

据悉,在此次攻击中,黑客利用Codecov的Docker映像创建过程中出现的错误,非法获得了其Bash Uploader脚本的访问权限并且进行了修改。而这意味着攻击者很有可能导出存储在Codecov用户的持续集成(CI)环境中的信息,最后将信息发送到Codecov基础架构之外的第三方服务器。

防范供应链攻击需要从多个方面进行努力。软件提供商将需要加大投资以确保其开发版本的安全。基于AI和ML的devops解决方案能够自动检测和阻止可疑软件组件,可以帮助防止域名抢注、品牌劫持和依赖混乱攻击。

此外,随着越来越多的公司采用Kubernetes或Docker容器来部署其应用程序,具有内置Web应用程序防火墙,并能够及早发现简单的错误配置错误的容器安全解决方案,可以帮助防止更大的妥协。

通过难以追踪的方式向加密货币支付转移

鉴于其分散化和注重隐私的设计,暗网市场卖家和勒索软件运营商经常使用加密货币进行支付。

然而,尽管并非由政府中央银行铸造或控制,但加密货币仍然缺乏与现金相同的匿名性。因此,网络犯罪分子开始不断寻找在账户间转移资金的创新方法,而且确实被他们找到了。

最近,与2016年Bitfinex黑客事件相关的价值7.6亿美元的比特币正在通过多个较小的交易被转移到新帐户中,交易金额从1 BTC到1,200 BTC不等。

不过,加密货币并非隐藏钱迹万无一失的方法。就在2020年美国总统大选之夜,美国政府清空了一个10亿美元的比特币钱包,其中包含与最臭名昭著的暗网市场“丝绸之路”相关的资金,而该市场本身已在2013年被关闭。

诸如Monero(XMR)和Zcash(ZEC)之类的其他一些加密货币,具有比比特币更匿名的匿名交易保护功能。随着攻击者不断寻找隐藏其踪迹的更好方法,犯罪分子和调查人员之间的较量无疑将在这方面继续。

使用通用渠道和协议

像受信任的平台和品牌一样,合法应用程序所使用的加密通道、端口和协议也为攻击者提供了另一种掩盖其足迹的方法。

例如,HTTPS是当今Web上最为普遍且不可缺少的协议,因此,在公司环境中很难禁用端口443(由HTTPS / SSL使用)。

然而,DoH(DNS Over HTTPS,一种用于解决域名的协议)也使用端口443,并且已被恶意软件开发者滥用来将其命令和控制(C2)命令传输到受感染的系统。2019年,Network Security 研究人员发现了首个利用DoH协议的恶意软件,它就是基于Lua编程语言的Godlua,通过使用DoH,该恶意软件可以通过加密的HTTPS连接隐藏其DNS流量,从而允许Godlua逃避被动DNS监控。

此外,这种情况还带来了两个问题。首先,通过滥用HTTPS或DoH之类的通用协议,攻击者享有与合法用户相同的端到端加密通道的隐私优势。

其次,这给网络管理员带来了挑战。阻止任何形式的DNS本身都是一个挑战,但是现在,由于DNS请求和响应都通过HTTPS进行了加密,因此对于安全专业人员来说,从经由网络传入和传出的许多HTTPS请求中拦截、筛选和分析可疑流量就变得很麻烦。

最近,研究人员Alex Birsan证实,通过依赖性混乱(dependency confusion)技术可以成功入侵超过35家大型技术公司,包括微软、苹果、特斯拉、PayPal、Yelp等。而此举,也让其顺利获得两家公司价值3万美元的漏洞悬赏。据Birsan介绍,通过使用DNS(端口53)窃取基本信息,能够最大程度地提高成功率。而之所以选择DNS,是因为由于性能要求和合法的DNS使用,公司防火墙极有可能不阻止DNS流量。

使用签名的二进制文件运行混淆的恶意软件

使用LOLBIN的无文件恶意软件仍然是一种有效的逃避技术。

LOLBIN是指合法的、经过数字签名的可执行文件,例如Microsoft签署的Windows可执行文件,攻击者可能会滥用这些可执行文件来以更高的特权启动恶意代码,或者逃避端点安全产品(例如防病毒软件)。

上个月,Microsoft分享了一些针对该方法的防御技术指南,企业可以采用这些建议来防止攻击者滥用Microsoft的Azure LOLBIN。

尽管混淆的恶意软件、运行时压缩器((Runtime Packer)、VM逃避或在图像中隐藏恶意有效负载是高级威胁惯用的已知逃避技术,但其真正的力量来自绕过安全产品或逃避“雷达”检测。

当有效负载在某种程度上与受信任的软件组件、协议、通道、服务或平台相结合时,这些攻击场景都将成为可能。

鸿蒙官方战略合作共建――HarmonyOS技术社区

版权声明:玥玥 发表于 2021-05-27 6:20:00。
转载请注明:攻击者隐藏踪迹的5种方式 | 女黑客导航