盡管在網(wǎng)絡(luò)安全方面的投資不斷增加，但網(wǎng)絡(luò)犯罪仍在激增。每天的攻擊都會使醫(yī)療保健提供癱瘓，并擾亂金融/保險服務(wù)公司、制造公司、律師事務(wù)所和軟件公司，以至于有關(guān)閉的風(fēng)險。這在很大程度上是因為攻擊一直在變化，而防御沒有變化。如今的惡意軟件越來越多地在內(nèi)存中執(zhí)行運(yùn)行時攻擊。

根據(jù)微軟的數(shù)據(jù)，微軟產(chǎn)品中70%的漏洞是內(nèi)存安全問題。PurpleSec發(fā)現(xiàn)，2022年，內(nèi)存崩潰是最常見的零日攻擊類型，占攻擊的67.55%。對于依賴基于檢測的解決方案來應(yīng)對這些類型的攻擊的防御者來說，這是一個大問題。

不久前，幾乎所有的惡意軟件都依賴于可執(zhí)行文件。威脅參與者在受害者環(huán)境中的磁盤上安裝了惡意軟件。該惡意軟件將通過函數(shù)調(diào)用、系統(tǒng)事件或消息與受感染的計算機(jī)交互或與命令和控制(C2)服務(wù)器通信。

傳統(tǒng)網(wǎng)絡(luò)安全在一定程度上運(yùn)作良好

但是，無論是在服務(wù)器上還是在受攻擊的終端上，該惡意軟件都會留下其存在的證據(jù)。防御者可以依靠端點(diǎn)保護(hù)平臺(EPP)、端點(diǎn)檢測和響應(yīng)(EDR/XDR)和防病毒(AV)等工具來發(fā)現(xiàn)惡意軟件部署的跡象。發(fā)現(xiàn)這些攻擊模式和特征是網(wǎng)絡(luò)安全技術(shù)演變的目的——在威脅造成真正破壞之前檢測和隔離威脅。

但隨著攻擊鏈現(xiàn)在進(jìn)入內(nèi)存，它們在要檢測的特征或要分析的行為模式方面提供的東西很少。傳統(tǒng)的惡意軟件攻擊并沒有消失。只是更多的威脅在運(yùn)行時以設(shè)備內(nèi)存為目標(biāo)，而傳統(tǒng)的防御者對此的可見性有限。

內(nèi)存中攻擊可以安裝有關(guān)聯(lián)的文件，也可以沒有關(guān)聯(lián)的文件，并在最終用戶啟動和關(guān)閉應(yīng)用程序之間的空間中工作。像Emotet、Jupyter、Cobalt Strike和供應(yīng)鏈攻擊這樣的運(yùn)行時攻擊可以在受害者的環(huán)境中移動。

這些威脅通常不會在設(shè)備磁盤上留下可識別的印記。這些威脅的證據(jù)最終可能會在基于簽名的解決方案上顯示為警報。這包括安全信息和事件管理(SIEM)或安全協(xié)調(diào)、自動化和響應(yīng)(SOAR)解決方案。但到那時，后衛(wèi)們通常已經(jīng)來不及做任何事情了。

隱蔽而強(qiáng)大的應(yīng)用程序運(yùn)行時攻擊為勒索軟件部署和數(shù)據(jù)外泄奠定了基礎(chǔ)。

內(nèi)存中的威脅無處不在

作為無文件惡意軟件的一項功能，完整的內(nèi)存中攻擊鏈在2010年代中期開始出現(xiàn)。臭名昭著的Angler漏洞工具包以其獨(dú)特的混淆而聞名，它授權(quán)網(wǎng)絡(luò)犯罪分子每月收取費(fèi)用來利用網(wǎng)絡(luò)瀏覽器漏洞。

僅在2015年，網(wǎng)絡(luò)犯罪分子就利用Angler從受害者那里竊取和勒索了3400萬美元。

近年來，在內(nèi)存方面的泄露激增。威脅參與者使用Cobalt Strike等工具從設(shè)備內(nèi)存惡意加載通信信標(biāo)。Cobalt Strike是一種合法的五層攻擊解決方案。2019至2020年間，使用Cobalt Strike的網(wǎng)絡(luò)攻擊增加了161%。它通常被Conti使用，Conti是目前運(yùn)營中最成功的勒索軟件集團(tuán)，在2021年獲得了1.8億美元的收入。

為了逃避傳統(tǒng)的以簽名和行為為重點(diǎn)的安全解決方案，威脅參與者現(xiàn)在創(chuàng)建針對運(yùn)行時內(nèi)存中的惡意軟件，并劫持合法進(jìn)程。Picus實驗室的2021年紅色報告將20多萬個惡意軟件文件映射到MITRE ATT&CK框架。

“他們發(fā)現(xiàn)，去年最流行的五種攻擊方式中，有三種是在內(nèi)存中發(fā)生的。”

內(nèi)存泄露現(xiàn)在是攻擊鏈的典型特征，就像2021年愛爾蘭國家醫(yī)療服務(wù)體系被入侵之前那樣。

無法在運(yùn)行時掃描設(shè)備內(nèi)存

在應(yīng)用程序運(yùn)行時期間，設(shè)備內(nèi)存中發(fā)生的情況對防御者來說大多是不可見的。若要了解原因，請考慮解決方案如何在有人使用應(yīng)用程序時嘗試掃描應(yīng)用程序。

解決方案必須 1） 在應(yīng)用程序的生命周期內(nèi)多次掃描設(shè)備內(nèi)存，同時 2） 偵聽正確的觸發(fā)操作，以及 3） 查找惡意模式以捕獲正在進(jìn)行的攻擊。做這三件事的最大障礙是規(guī)模。在典型應(yīng)用程序的運(yùn)行時環(huán)境中，可能有 4GB 的虛擬內(nèi)存。不可能足夠頻繁地掃描如此大量的數(shù)據(jù)，至少不會減慢應(yīng)用程序的速度，以至于無法使用。因此，內(nèi)存掃描程序只能查看特定的內(nèi)存區(qū)域、特定的時間線觸發(fā)器和非常具體的參數(shù)——所有這些都假設(shè)內(nèi)存狀態(tài)是穩(wěn)定和一致的。

在范圍如此有限的情況下，在最好的情況下，專注于內(nèi)存掃描的解決方案可能會占用3%到4%的應(yīng)用程序內(nèi)存。但威脅越來越多地使用多態(tài)來混淆他們的存在，甚至在內(nèi)存中也是如此。這意味著在如此小的設(shè)備內(nèi)存樣本中捕獲惡意活動將是奇跡。使這一問題雪上加霜的是，攻擊現(xiàn)在繞過或篡改了大多數(shù)解決方案用來發(fā)現(xiàn)正在進(jìn)行的攻擊的掛鉤。

毫不奇怪，遠(yuǎn)程訪問特洛伊木馬程序(RAT)、信息竊取程序和加載程序現(xiàn)在使用應(yīng)用程序內(nèi)存來隱藏更長時間。攻擊者在網(wǎng)絡(luò)中停留的平均時間約為11天。對于老鼠和信息竊取等高級威脅，這個數(shù)字更接近45天。

Windows和Linux應(yīng)用程序都是目標(biāo)

在內(nèi)存中，泄露不是一種單一類型的威脅。相反，這是導(dǎo)致廣泛后果的攻擊鏈的一個特征。例如，勒索軟件不一定與內(nèi)存運(yùn)行時攻擊相關(guān)聯(lián)。但要部署勒索軟件，威脅參與者通常必須滲透網(wǎng)絡(luò)并提升權(quán)限。這些過程往往在運(yùn)行時在內(nèi)存中發(fā)生。

網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)方法是檢測正在進(jìn)行的攻擊或被破壞后的攻擊。這使每種類型的組織和 IT 資產(chǎn)都面臨“隱形”運(yùn)行時攻擊的風(fēng)險。Morphisec的事件響應(yīng)團(tuán)隊已經(jīng)看到內(nèi)存中入侵被用于從金融機(jī)構(gòu)的服務(wù)器到醫(yī)院的端點(diǎn)以及介于兩者之間的所有情況。

這些威脅不僅針對 Windows 服務(wù)器和設(shè)備上的內(nèi)存進(jìn)程，它們還針對Linux。去年，由威脅行為者創(chuàng)建的惡意版本的Cobalt Strike專門用于Linux服務(wù)器。在金融等行業(yè)，Linux被用來為虛擬化平臺和網(wǎng)絡(luò)服務(wù)器提供動力，攻擊激增。攻擊通常會破壞內(nèi)存中的業(yè)務(wù)關(guān)鍵型服務(wù)器，從而為信息盜竊和數(shù)據(jù)加密奠定基礎(chǔ)。

防止內(nèi)存中運(yùn)行時攻擊

內(nèi)存中運(yùn)行時攻擊是一些最先進(jìn)的破壞性攻擊。他們不僅針對企業(yè)，現(xiàn)在還把整個政府都扣為人質(zhì)。因此，防御者必須專注于在運(yùn)行時阻止對應(yīng)用程序內(nèi)存的威脅。只專注于檢測是不好的;內(nèi)存中和無文件的惡意軟件實際上是不可見的。傳統(tǒng)的安全技術(shù)在受保護(hù)資產(chǎn)周圍豎起一堵墻，并依賴于檢測惡意活動，無法阻止多態(tài)和動態(tài)威脅。

相反，應(yīng)通過安全層確保有效的深度防御，從而首先防止內(nèi)存受損。這就是移動目標(biāo)防御（MTD）技術(shù)的作用。MTD 通過在運(yùn)行時變形（隨機(jī)化）應(yīng)用程序內(nèi)存、API 和其他操作系統(tǒng)資源，創(chuàng)建即使是高級威脅也無法穿透的動態(tài)攻擊面。實際上，它不斷地移動房屋的門，同時將假門留在原處，從而捕獲惡意軟件以進(jìn)行取證分析。即使威脅行為者能找到通往建筑物的門，當(dāng)他們返回時，它也不會在那里。因此，他們不能在同一端點(diǎn)上重用攻擊，更不用說在其他端點(diǎn)上了。

MTD 技術(shù)不是在攻擊發(fā)生后檢測到攻擊，而是先發(fā)制人地阻止攻擊，而無需簽名或可識別的行為。而且它不會影響系統(tǒng)性能、生成誤報警報或需要增加員工人數(shù)才能運(yùn)行。

擴(kuò)展閱讀

Morphisec（摩菲斯）

Morphisec（摩菲斯）作為移動目標(biāo)防御的領(lǐng)導(dǎo)者，已經(jīng)證明了這項技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動的漏洞預(yù)防解決方案，每天保護(hù)800多萬個端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無文件攻擊，這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護(hù)平臺（EPP）未能檢測和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門程序(例如，Cobalt Strike、其他內(nèi)存信標(biāo))

供應(yīng)鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關(guān)鍵應(yīng)用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。

免費(fèi)的Guard Lite解決方案，將微軟的Defener AV變成一個企業(yè)級的解決方案。讓企業(yè)可以從單一地點(diǎn)控制所有終端。