【51CTO.com快譯】很多技藝高超的黑客會(huì)選擇繞過惡意軟件，而使用其它常規(guī)管理工具。為了檢測(cè)出這類隱藏極深的犯罪分子，我們需要對(duì)網(wǎng)絡(luò)中的異?；顒?dòng)進(jìn)行全面監(jiān)控。

[[149396]]

如今網(wǎng)絡(luò)犯罪領(lǐng)域已經(jīng)在實(shí)施模式方面出現(xiàn)了巨大轉(zhuǎn)變。在各類規(guī)模最大且復(fù)雜程度最高的攻擊活動(dòng)中，惡意軟件已經(jīng)較少被用到。

相反，惡意入侵者們更傾向于使用內(nèi)置于各類操作系統(tǒng)當(dāng)中的合法工具來實(shí)現(xiàn)自己的邪惡意圖。這些合法工具，包括遠(yuǎn)程管理工具以及腳本引擎，相較于用途單一的惡意軟件往往更難被我們檢測(cè)到。

但這絕不算什么新鮮事物。早在計(jì)算技術(shù)發(fā)展的早期階段，合法工具就已經(jīng)成為實(shí)現(xiàn)黑客活動(dòng)的常見手段。計(jì)算機(jī)病毒與木馬程序直到上世紀(jì)八十年代末才開始出現(xiàn)，而在此之前，它們更多只是一種令人討厭的事物——還算不上真正的安全威脅。

而即使是在惡意軟件的全盛時(shí)期，此類代碼以及其它惡意工具也主要被用于突破防御體系，例如竊取登錄憑證、猜測(cè)密碼內(nèi)容、破解密碼哈希值或者安裝后門及遠(yuǎn)程訪問程序等。一旦惡意人士進(jìn)入到內(nèi)部環(huán)境，他們通常會(huì)立刻轉(zhuǎn)而使用常規(guī)管理工具，例如遠(yuǎn)程桌面，來實(shí)現(xiàn)自身在不同計(jì)算機(jī)之間的往來遷移。

時(shí)至今日，管理員及其安全軟件儲(chǔ)備已經(jīng)非常強(qiáng)大，足以檢測(cè)出各類惡意程序。沒錯(cuò)。殺毒軟件在應(yīng)對(duì)全新惡意代碼時(shí)幾乎毫無作用——但別急，只要稍過一段時(shí)間，它們就能夠揪出這些常見攻擊工具了。另外，防御者們也已經(jīng)成功利用應(yīng)用程序控制(例如白名單)程序來防止計(jì)算設(shè)備被安裝上未經(jīng)驗(yàn)證的軟件。

更為隱蔽的攻擊手段

攻擊者們已經(jīng)意識(shí)到，他們完全可以利用各類合法工具及腳本命令來實(shí)現(xiàn)惡意活動(dòng)，而不再需要大量惡意軟件作為輔助。

在多數(shù)情況下，“惡意軟件”的表現(xiàn)其實(shí)并不可怕，往往只是利用合法遠(yuǎn)程管理工具向家中撥打電話以申請(qǐng)登錄。舉例來說，大家能夠找到完整的PowerShell攻擊工具包，而網(wǎng)絡(luò)犯罪組織在使用這類資源方面顯然極有心得。

就目前來講，大多數(shù)攻擊者已經(jīng)能夠在不涉及惡意工具的前提下完成其需要實(shí)現(xiàn)的每項(xiàng)任務(wù)。他們熟知那些少為人知、鮮有使用但卻極為強(qiáng)大的程序。他們了解該工具的每一項(xiàng)功能以及每一條語法命令行參數(shù)，這能夠讓他們得以悄無聲息地加以運(yùn)用?？偠灾?，很多技術(shù)人員甚至應(yīng)該直接把工資卡交給這幫壞蛋：因?yàn)樗麄兊墓芾砉ぞ呤褂盟揭却蠖鄶?shù)管理員更加出色。

檢測(cè)惡意行為

當(dāng)惡意人士使用的完全屬于合法工具時(shí)，大家該如何檢測(cè)出這類惡意活動(dòng)?答案是追蹤異常行為。

簡單來講，異常行為是指那些超出正常范圍或者預(yù)期區(qū)間的行為。這顯然帶來了新的問題，也就是我們必須首先了解正常范圍在哪里;而制定這類基準(zhǔn)可能是防御工作當(dāng)中難度最高的部分。

首先我們應(yīng)當(dāng)著重保護(hù)企業(yè)當(dāng)中最為重要的資源以及與此類資源相連通的連接。收集來自較長時(shí)間周期的行為基準(zhǔn)——至少應(yīng)該為幾周，最好能達(dá)到幾個(gè)月。而后通過定義閾值來表示需要進(jìn)行調(diào)查的可疑活動(dòng)。

有時(shí)候閾值可以被設(shè)定為1——這代表著出現(xiàn)一次即代表可疑。最典型的例子就是某位域管理員接入到了某臺(tái)特定服務(wù)器，而事實(shí)上其應(yīng)該永遠(yuǎn)只接入到域控制器。再舉兩個(gè)例子：使用了公司幾乎從不使用的遠(yuǎn)程連接方法或者運(yùn)行了某個(gè)極少被使用的合法可執(zhí)行文件。

而在更多情況下，警報(bào)會(huì)在“特定閾值”被超出時(shí)觸發(fā)。這方面的典型例子就是大量錯(cuò)誤的密碼輸入嘗試。在企業(yè)當(dāng)中每天都會(huì)有用戶輸入錯(cuò)誤的密碼以及PIN碼內(nèi)容——在某些企業(yè)中，這類情況每天甚至?xí)霈F(xiàn)成千上萬次，但這些都屬于合法狀況。要解決這個(gè)問題，技巧在于找出哪個(gè)時(shí)間段內(nèi)集中出現(xiàn)了大量錯(cuò)誤的密碼輸入嘗試，且其頻度超過了正常情況。一般來講，我們可以為高權(quán)限賬戶或者關(guān)鍵性資產(chǎn)設(shè)定較少的嘗試次數(shù)閾值。

總體來講，異常行為應(yīng)當(dāng)被定義為由不明原因引起的狀況或者變化，具體包括：

◆位置

◆事件

◆時(shí)間

◆時(shí)長

◆來源

◆模式

我已經(jīng)列舉了以上這些例子，但大家也可以把以下異常狀況添加到自己的清單當(dāng)中：

◆來自用戶賬戶及計(jì)算機(jī)的、正常來講不應(yīng)存在的未認(rèn)證連接。

◆不合常理的活動(dòng)時(shí)間(例如在對(duì)應(yīng)員工已經(jīng)下班回家且不可能進(jìn)行遠(yuǎn)程登錄的時(shí)段，利用其賬戶進(jìn)行輸入或者執(zhí)行不合常理的操作)。

◆在多個(gè)不同位置利用同一賬戶進(jìn)行多次連接。

◆不合常理的發(fā)起位置或者目標(biāo)位置。

◆不合常理的網(wǎng)絡(luò)連接路徑(例如服務(wù)器到服務(wù)器、服務(wù)器到客戶端、客戶端到客戶端以及客戶端到服務(wù)器等等)。

◆超出正常范圍的傳輸帶寬占用或者文件訪問活動(dòng)。

◆使用訪問頻率極低的管理員程序

◆禁用殺毒檢測(cè)軟件。

◆不合常理的重置或者重啟。

◆不合常理的活動(dòng)中止?fàn)顩r。

◆大量數(shù)據(jù)被傳輸至國外位置。

◆不合常理的夜間數(shù)據(jù)傳輸活動(dòng)。

◆不合常理的本地關(guān)鍵性文件內(nèi)容修改操作。

◆不合常理的SSL/TLS連接。

◆不合常理的文件包歸檔或加密操作。

除了設(shè)定閾值與警報(bào)之外，另一大重點(diǎn)在于記錄命令行與腳本——包括腳本中的每一行內(nèi)容。目前微軟Windows系統(tǒng)已經(jīng)通過內(nèi)置事件監(jiān)控機(jī)制實(shí)現(xiàn)了這項(xiàng)功能，但在非Windows系統(tǒng)上我們則需要進(jìn)行修改或者采用第三方工具。

另一種理想的檢測(cè)手段是使用“蜜罐”技術(shù)。每家企業(yè)都應(yīng)當(dāng)在內(nèi)部環(huán)境中設(shè)置一套偽造系統(tǒng)。由于該系統(tǒng)并非真正的業(yè)務(wù)環(huán)境，因此合法員工或者系統(tǒng)(在經(jīng)過廣播與正常連接過濾之后)應(yīng)該不會(huì)嘗試接入。而一次不合常理的連接就意味著我們的環(huán)境面臨著潛在威脅。

實(shí)現(xiàn)自動(dòng)化監(jiān)控

大家需要盡可能多地使用自動(dòng)化異常檢測(cè)手段。每一個(gè)異常事件都應(yīng)當(dāng)?shù)玫酵咨普{(diào)查，并被確切定性為惡意活動(dòng)或者排除為正常行為。當(dāng)然，剛開始進(jìn)行檢測(cè)時(shí)肯定會(huì)出現(xiàn)大量虛假警報(bào)。不用擔(dān)心，只要對(duì)檢測(cè)及警報(bào)進(jìn)行細(xì)心調(diào)整，并在虛假警報(bào)過濾出去，觸發(fā)的準(zhǔn)確率將會(huì)不斷提高。

發(fā)生在工作站以及服務(wù)器上的警報(bào)也應(yīng)當(dāng)被發(fā)送至用戶及其主管處進(jìn)行審查。最重要的就是將不合常理的行為發(fā)送至對(duì)應(yīng)員工的主管處，這也正是追蹤內(nèi)部員工非法活動(dòng)的最佳處理方式。

利用合法工具進(jìn)行的異常活動(dòng)確實(shí)很難被我們追蹤到，不過需要注意的是，單憑惡意軟件檢測(cè)工具本身就能保障安全的好日子已經(jīng)一去不復(fù)返。如今很多企業(yè)在吸取這一教訓(xùn)的過程中付出了慘重的代價(jià)，希望大家能夠以更為積極的心態(tài)了解新型威脅并建立起相應(yīng)的防御措施。

英文：Catch attackers even when they don't use malware