從受信任的滲透測試工具到LOLBIN（living-off-the-land binaries），攻擊者正在通過濫用受信任的平臺和協(xié)議來逃避安全檢測。

　　CISO們擁有一系列不斷升級的工具來幫助其發(fā)現(xiàn)和阻止惡意活動，例如網(wǎng)絡(luò)監(jiān)視工具、病毒掃描程序、軟件組成分析（SCA）工具、數(shù)字取證和事件響應(yīng)（DFIR）解決方案等等。

　　但是，要知道，網(wǎng)絡(luò)安全本質(zhì)上是攻防之間的持續(xù)之戰(zhàn)，在防御者不斷完善自身技能和工具的同時，攻擊者也在不斷提出新的挑戰(zhàn)。

　　一些老式技術(shù)，例如隱寫術(shù)（steganography）——一種將包含惡意有效負載的信息隱藏在其他良性文件（如圖像）中的技術(shù)——正在發(fā)展，從而帶來了新的可能性。例如，最近有研究人員證明，甚至Twitter也無法幸免于隱寫術(shù)，該平臺上的圖像可能會被濫用以在其中壓縮多達3MB的ZIP檔案。

　　更糟糕的現(xiàn)實是，除了使用混淆、隱寫術(shù)以及惡意軟件打包技術(shù)之外，如今的威脅行為者還經(jīng)常利用合法服務(wù)、平臺、協(xié)議和工具來開展活動。這使他們能夠滲透進對人類分析人員和機器而言都看似“干凈”的流量或活動之中。

　　以下是如今網(wǎng)絡(luò)犯罪分子用來掩蓋其蹤跡的5種常見策略：

　　濫用不會發(fā)出警報的受信任平臺

　　這是安全專家在2020年就已經(jīng)發(fā)現(xiàn)的一個普遍現(xiàn)象，且一直持續(xù)到了今年。

　　從滲透測試服務(wù)和工具（例如Cobalt Strike和Ngrok）到已建立的開源代碼生態(tài)系統(tǒng)（如GitHub），再到圖像和文本網(wǎng)站（如Imgur和Pastebin），攻擊者在過去幾年中已將目標鎖定為廣泛的受信任平臺。

　　通常來說，Ngrok的受眾大多為道德黑客，他們會利用該服務(wù)收集數(shù)據(jù)或為入站連接建立模擬隧道，作為漏洞賞金練習(xí)或滲透測試活動的一部分。但如今，越來越多的惡意行為者卻在濫用Ngrok直接安裝僵尸網(wǎng)絡(luò)惡意軟件，或?qū)⒑戏ǖ?a target="_blank">通信服務(wù)連接到惡意服務(wù)器。在最近的示例中，SANS研究所的Xavier Mertens發(fā)現(xiàn)了一個用Python編寫的此類惡意軟件樣本，其中包含base64編碼的代碼，以便在使用Ngrok的受感染系統(tǒng)上植入后門。

　　由于Ngrok受到廣泛信任，因此遠程攻擊者可以通過Ngrok隧道連接到受感染的系統(tǒng)，而該隧道可能會繞過公司防火墻或NAT保護。

　　除此之外，GitHub也被濫用來將惡意軟件從Octopus Scanner托管到Gitpaste-12。最近，研究人員發(fā)現(xiàn)，一種新的惡意軟件使用帶有宏的Word文檔從GitHub下載PowerShell腳本。這個PowerShell腳本進一步從圖像托管服務(wù)Imgur下載合法的圖像文件，以解碼Windows系統(tǒng)上的Cobalt Strike腳本。Cobalt Strike是一種流行的滲透測試框架，用于模擬先進的現(xiàn)實世界網(wǎng)絡(luò)攻擊，但像任何安全軟件產(chǎn)品一樣，它同樣可能會遭到攻擊者的濫用。

　　同樣地，開發(fā)人員所依賴的自動化工具也無法幸免。

　　4月，攻擊者在一次自動攻擊中濫用了GitHub Actions來攻擊數(shù)百個存儲庫，該攻擊使用GitHub的服務(wù)器和資源進行加密貨幣挖掘。據(jù)悉，GitHub Actions 是 GitHub Universe 開發(fā)者大會上發(fā)布的一款被Github系統(tǒng)主管Sam Lambert稱為“再次改變軟件開發(fā)”的重磅功能，支持 CI/CD 并對開源項目免費，讓開發(fā)者能在 GitHub 服務(wù)器上直接執(zhí)行和測試代碼，幫助開發(fā)者和企業(yè)實現(xiàn)所有軟件工作流程的自動化。

　　這些示例無一不在證實，攻擊者已經(jīng)發(fā)現(xiàn)了利用眾多防火墻和安全監(jiān)視工具可能無法阻止的合法平臺的巨大價值。

　　利用品牌價值、聲譽或知名度進行上游攻擊

　　在最近的SolarWinds漏洞之后，軟件供應(yīng)鏈安全問題可能已經(jīng)引起了公眾的廣泛關(guān)注，但實際上，這些攻擊已經(jīng)上升了一段時間。

　　無論是誤植域名（typosquatting）、品牌劫持（brandjacking）或是依賴混亂（dependency confusion，最初是作為概念驗證研究被發(fā)現(xiàn)，后來被濫用為惡意目的），“上游”攻擊都濫用了已知合作伙伴生態(tài)系統(tǒng)內(nèi)的信任，并利用了品牌或軟件組件的知名度或聲譽。攻擊者旨在將惡意代碼向上游推送到與品牌相關(guān)聯(lián)的受信任代碼庫，然后將其下游分發(fā)到最終目標：該品牌的合作伙伴、客戶或用戶等。

　　要知道，任何面向所有人開放的系統(tǒng)，同樣地也會向攻擊者開放。因此，許多供應(yīng)鏈攻擊都是針對開源生態(tài)系統(tǒng)的，而其中一些已經(jīng)懈怠于進行驗證，并堅持“向所有人開放”的原則。但是，商業(yè)組織也會由此受到攻擊影響。

　　最近，軟件審計平臺Codecov遭黑客入侵。調(diào)查發(fā)現(xiàn)，攻擊從1月31日就開始進行，但第一個客戶發(fā)現(xiàn)不對勁時已經(jīng)是4月1日，這表示被入侵的軟件在長達數(shù)月時間里正常流通，而Codecov一直被行業(yè)內(nèi)多家公司用來測試代碼錯誤和漏洞，其客戶包括了消費品集團寶潔公司、網(wǎng)絡(luò)托管公司GoDaddy Inc、澳大利亞軟件公司Atlassian Corporation PLC在內(nèi)的29，000多家企業(yè)，所以潛在受害者規(guī)?？上攵?/p>

　　據(jù)悉，在此次攻擊中，黑客利用Codecov的Docker映像創(chuàng)建過程中出現(xiàn)的錯誤，非法獲得了其Bash Uploader腳本的訪問權(quán)限并且進行了修改。而這意味著攻擊者很有可能導(dǎo)出存儲在Codecov用戶的持續(xù)集成（CI）環(huán)境中的信息，最后將信息發(fā)送到Codecov基礎(chǔ)架構(gòu)之外的第三方服務(wù)器。

　　防范供應(yīng)鏈攻擊需要從多個方面進行努力。軟件提供商將需要加大投資以確保其開發(fā)版本的安全。基于AI和ML的devops解決方案能夠自動檢測和阻止可疑軟件組件，可以幫助防止域名搶注、品牌劫持和依賴混亂攻擊。

　　此外，隨著越來越多的公司采用Kubernetes或Docker容器來部署其應(yīng)用程序，具有內(nèi)置Web應(yīng)用程序防火墻，并能夠及早發(fā)現(xiàn)簡單的錯誤配置錯誤的容器安全解決方案，可以幫助防止更大的妥協(xié)。

　　通過難以追蹤的方式向加密貨幣支付轉(zhuǎn)移

　　鑒于其分散化和注重隱私的設(shè)計，暗網(wǎng)市場賣家和勒索軟件運營商經(jīng)常使用加密貨幣進行支付。

　　然而，盡管并非由政府中央銀行鑄造或控制，但加密貨幣仍然缺乏與現(xiàn)金相同的匿名性。因此，網(wǎng)絡(luò)犯罪分子開始不斷尋找在賬戶間轉(zhuǎn)移資金的創(chuàng)新方法，而且確實被他們找到了。

　　最近，與2016年Bitfinex黑客事件相關(guān)的價值7.6億美元的比特幣正在通過多個較小的交易被轉(zhuǎn)移到新帳戶中，交易金額從1 BTC到1，200 BTC不等。

　　不過，加密貨幣并非隱藏錢跡萬無一失的方法。就在2020年美國總統(tǒng)大選之夜，美國政府清空了一個10億美元的比特幣錢包，其中包含與最臭名昭著的暗網(wǎng)市場“絲綢之路”相關(guān)的資金，而該市場本身已在2013年被關(guān)閉。

　　諸如Monero（XMR）和Zcash（ZEC）之類的其他一些加密貨幣，具有比比特幣更匿名的匿名交易保護功能。隨著攻擊者不斷尋找隱藏其蹤跡的更好方法，犯罪分子和調(diào)查人員之間的較量無疑將在這方面繼續(xù)。

　　使用通用渠道和協(xié)議

　　像受信任的平臺和品牌一樣，合法應(yīng)用程序所使用的加密通道、端口和協(xié)議也為攻擊者提供了另一種掩蓋其足跡的方法。

　　例如，HTTPS是當今Web上最為普遍且不可缺少的協(xié)議，因此，在公司環(huán)境中很難禁用端口443（由HTTPS / SSL使用）。

　　然而，DoH（DNS Over HTTPS，一種用于解決域名的協(xié)議）也使用端口443，并且已被惡意軟件開發(fā)者濫用來將其命令和控制（C2）命令傳輸?shù)绞芨腥镜南到y(tǒng)。2019年，Network Security 研究人員發(fā)現(xiàn)了首個利用DoH協(xié)議的惡意軟件，它就是基于Lua編程語言的Godlua，通過使用DoH，該惡意軟件可以通過加密的HTTPS連接隱藏其DNS流量，從而允許Godlua逃避被動DNS監(jiān)控。

　　此外，這種情況還帶來了兩個問題。首先，通過濫用HTTPS或DoH之類的通用協(xié)議，攻擊者享有與合法用戶相同的端到端加密通道的隱私優(yōu)勢。

　　其次，這給網(wǎng)絡(luò)管理員帶來了挑戰(zhàn)。阻止任何形式的DNS本身都是一個挑戰(zhàn)，但是現(xiàn)在，由于DNS請求和響應(yīng)都通過HTTPS進行了加密，因此對于安全專業(yè)人員來說，從經(jīng)由網(wǎng)絡(luò)傳入和傳出的許多HTTPS請求中攔截、篩選和分析可疑流量就變得很麻煩。

　　最近，研究人員Alex Birsan證實，通過依賴性混亂（dependency confusion）技術(shù)可以成功入侵超過35家大型技術(shù)公司，包括微軟、蘋果、特斯拉、PayPal、Yelp等。而此舉，也讓其順利獲得兩家公司價值3萬美元的漏洞懸賞。據(jù)Birsan介紹，通過使用DNS（端口53）竊取基本信息，能夠最大程度地提高成功率。而之所以選擇DNS，是因為由于性能要求和合法的DNS使用，公司防火墻極有可能不阻止DNS流量。

　　使用簽名的二進制文件運行混淆的惡意軟件

　　使用LOLBIN的無文件惡意軟件仍然是一種有效的逃避技術(shù)。

　　LOLBIN是指合法的、經(jīng)過數(shù)字簽名的可執(zhí)行文件，例如Microsoft簽署的Windows可執(zhí)行文件，攻擊者可能會濫用這些可執(zhí)行文件來以更高的特權(quán)啟動惡意代碼，或者逃避端點安全產(chǎn)品（例如防病毒軟件）。

　　上個月，Microsoft分享了一些針對該方法的防御技術(shù)指南，企業(yè)可以采用這些建議來防止攻擊者濫用Microsoft的Azure LOLBIN。

　　盡管混淆的惡意軟件、運行時壓縮器（（Runtime Packer）、VM逃避或在圖像中隱藏惡意有效負載是高級威脅慣用的已知逃避技術(shù)，但其真正的力量來自繞過安全產(chǎn)品或逃避“雷達”檢測。

　　當有效負載在某種程度上與受信任的軟件組件、協(xié)議、通道、服務(wù)或平臺相結(jié)合時，這些攻擊場景都將成為可能。
責(zé)編AJX