如果我們的網(wǎng)絡(luò)被入侵了會(huì)怎么樣?這是一段時(shí)間以來(lái)安全人員一直在問(wèn)的一個(gè)問(wèn)題。但出于各種各樣的原因，從網(wǎng)絡(luò)轉(zhuǎn)型到更復(fù)雜的攻擊方式等，該問(wèn)題現(xiàn)在變成了：我們?cè)趺粗牢覀兊木W(wǎng)絡(luò)是否已經(jīng)被入侵了?

[[276861]]

問(wèn)題轉(zhuǎn)變的原因之一在于，隨著網(wǎng)絡(luò)罪犯越來(lái)越精于檢測(cè)逃逸新策略的研究，他們幾乎不會(huì)在達(dá)成自己的目標(biāo)之前，給我們留下任何可供發(fā)現(xiàn)不妥的證據(jù)。

反分析攻擊策略的興起

安全人員大多會(huì)熟悉幾種用于確保攻擊成功的高級(jí)安全攻擊策略。比如采用機(jī)器學(xué)習(xí)結(jié)合變形或多態(tài)漏洞利用，摸透并適應(yīng)網(wǎng)絡(luò)防御，或者利用已經(jīng)部署在網(wǎng)絡(luò)上的工具。幸運(yùn)的是，很多安全人員都有應(yīng)對(duì)之策，可以檢測(cè)并有效響應(yīng)此類(lèi)攻擊。

因此，網(wǎng)絡(luò)罪犯也在應(yīng)用新技術(shù)以掩蓋他們的攻擊，繞過(guò)檢測(cè)和分析，以便能夠完成自己的攻擊計(jì)劃。常見(jiàn)的反分析技術(shù)包括，能使惡意軟件檢測(cè)自身是否處于沙箱環(huán)境或系統(tǒng)模擬器的例程，禁用受感染系統(tǒng)上安全工具的功能，使用垃圾數(shù)據(jù)困住反匯編等。MITRE 目前列出了超過(guò) 60 種反分析和逃逸技術(shù)，有新有舊，攻擊者可以用來(lái)繞過(guò)防御，逃逸檢測(cè)，在目標(biāo)系統(tǒng)上不受打擾地達(dá)成自己的目標(biāo)。

這看起來(lái)是一股快速發(fā)展的風(fēng)潮。上個(gè)季度，多份報(bào)告稱發(fā)現(xiàn)了內(nèi)置防御逃逸技術(shù)的新惡意軟件，表明該最新攻擊策略正處于快速上升期。其中一例惡意軟件是針對(duì)金融機(jī)構(gòu)的下載器，不僅包含沙箱檢測(cè)技術(shù)，還內(nèi)置有一個(gè)很聰明的工具，可以確定自身是否在模擬器內(nèi)運(yùn)行。該下載器還會(huì)檢查鼠標(biāo)移動(dòng)和調(diào)試器，以確保只在真實(shí)生產(chǎn)環(huán)境中運(yùn)行。而且，這并非個(gè)案。2019 年第二季度至少還曝出另外兩個(gè)下載器也運(yùn)用了類(lèi)似的高級(jí)逃逸機(jī)制，包括位置驗(yàn)證功能和用于延遲執(zhí)行的睡眠計(jì)時(shí)器。

另一股正在興起的趨勢(shì)是運(yùn)用 “因地制宜” 技術(shù)，劫持標(biāo)準(zhǔn)網(wǎng)絡(luò)工具來(lái)執(zhí)行惡意活動(dòng). 比如說(shuō)，PowerShell 可以直接從內(nèi)存執(zhí)行，很容易混淆，而且已經(jīng)獲得系統(tǒng)信任，也就可以繞過(guò)白名單防御機(jī)制。利用 PowerShell 的免費(fèi)惡意工具也很多，比如 PowerSploit、PowerShell Empire 和 Nishang 等。由于 PowerShell 這樣的工具已獲授權(quán)，且很多此類(lèi)工具可能無(wú)意中具備某種程度上的管理員權(quán)限，所以利用這些工具的惡意行為也就往往被歸類(lèi)成已授權(quán)行為了。

這些工具和類(lèi)似的反分析及其他逃逸戰(zhàn)術(shù)，對(duì)企業(yè)造成了極大挑戰(zhàn)，凸顯出多層次防御機(jī)制的重要性，企業(yè)防御必須超越傳統(tǒng)特征碼和基于行為的威脅檢測(cè)。

找出想深藏不露的惡意軟件

誠(chéng)然，采用特征碼和基于行為的安全工具檢測(cè)威脅，依然是安全武器庫(kù)中的重要部分。但這些方法還需要來(lái)自高級(jí)行為分析等先進(jìn)技術(shù)的加持，才可以識(shí)別和關(guān)聯(lián)那些單獨(dú)看可能不會(huì)觸發(fā)威脅警報(bào)的可疑行為。

而且，如果對(duì)上專(zhuān)門(mén)用于逃逸檢測(cè)的惡意軟件，這些策略的有效性也會(huì)直線下降。更糟的是，由于數(shù)字轉(zhuǎn)型不僅擴(kuò)寬了網(wǎng)絡(luò)邊界，還令網(wǎng)絡(luò)面臨“最弱一環(huán)”的困境;快速擴(kuò)張的網(wǎng)絡(luò)攻擊界面更加加劇了反分析和逃逸技術(shù)帶來(lái)的挑戰(zhàn)。新的云、WAN、移動(dòng)性和 IoT 策略都引入了各自獨(dú)特的安全風(fēng)險(xiǎn)，且往往都附帶各不相同的安全水平，問(wèn)題由此引發(fā)。

不過(guò)，有矛就有盾，惡意軟件想藏，自然就有強(qiáng)大的工具來(lái)幫安全人員檢測(cè)。包括：

1. 基于意圖的網(wǎng)絡(luò)分隔

建立在 “信任” 模型基礎(chǔ)上的扁平網(wǎng)絡(luò)，讓已進(jìn)入該網(wǎng)絡(luò)的網(wǎng)絡(luò)罪犯成為了受信環(huán)境的一部分，可以行跡不顯地運(yùn)行，然后迅速在整個(gè)網(wǎng)絡(luò)上擴(kuò)散威脅。而隨著進(jìn)一步深入網(wǎng)絡(luò)，此類(lèi)惡意活動(dòng)也變得極難檢測(cè)與限制，造成級(jí)聯(lián)風(fēng)險(xiǎn)、有價(jià)值數(shù)據(jù)丟失，以及經(jīng)濟(jì)和品牌損害。

網(wǎng)絡(luò)分隔能確保即使發(fā)生入侵，其影響也局限在預(yù)先確定的資源集上。然而，靜態(tài)分隔，比如使用微分隔、宏分隔和應(yīng)用分隔等各種分隔技術(shù)組合，保護(hù)數(shù)據(jù)和數(shù)字資產(chǎn)，并不總能輕易適應(yīng)網(wǎng)絡(luò)的快速變化。為適應(yīng)需要橫穿網(wǎng)絡(luò)分隔的工作流、應(yīng)用和交易，越來(lái)越多的例外被創(chuàng)建出來(lái)，網(wǎng)絡(luò)分隔的有效性也隨之逐步下降。

而采用基于意圖的分隔，企業(yè)就能智慧分隔網(wǎng)絡(luò)和基礎(chǔ)設(shè)施資產(chǎn)，不用在意其位置，不管是在現(xiàn)場(chǎng)還是在多個(gè)云上。隨后就能通過(guò)持續(xù)監(jiān)視信任級(jí)別和自動(dòng)適應(yīng)安全策略，建立起動(dòng)態(tài)細(xì)粒度訪問(wèn)控制。還可以更有效地運(yùn)用高性能先進(jìn)安全技術(shù)隔離關(guān)鍵 IT 資產(chǎn)，應(yīng)用細(xì)粒度監(jiān)視快速檢測(cè)和阻止使用分析和自動(dòng)化的威脅。

2. 誘騙技術(shù)

誘騙技術(shù)通過(guò)在模擬正常資產(chǎn)的基礎(chǔ)設(shè)施上創(chuàng)建誘餌網(wǎng)絡(luò)資源起效。這些誘餌可部署在虛擬環(huán)境或?qū)嶓w環(huán)境中，包含旨在誘騙網(wǎng)絡(luò)罪犯以為自己發(fā)現(xiàn)了盜取憑證或提權(quán)之路的流量活動(dòng)。

誘騙技術(shù)之所以在檢測(cè)逃逸性惡意軟件上如此有效，是因?yàn)樵醋院戏ㄔO(shè)備的流量要么不會(huì)流入這些欺騙性誘餌，要么即便流入，其表現(xiàn)也是可預(yù)測(cè)的。也就是說(shuō)，一旦陷阱被觸發(fā)，隱秘設(shè)備就會(huì)暴露，可以立即展開(kāi)應(yīng)對(duì)措施。記錄受影響誘餌更新的中央誘騙服務(wù)器會(huì)收到廣播通知，該惡意軟件所用相關(guān)攻擊方法會(huì)被錄制下來(lái)，基于意圖的分隔自動(dòng)介入，隔離被入侵的設(shè)備——即使該設(shè)備上的惡意軟件本身不會(huì)被實(shí)際檢測(cè)。

3. 集成安全

沙箱解決方案中增添 AI 可應(yīng)對(duì)高級(jí)逃逸策略，比如能夠檢測(cè)拒絕在沙箱或模擬器中運(yùn)行的惡意軟件。不過(guò)，一旦發(fā)現(xiàn)反分析惡意軟件，安全工具必須能夠協(xié)同工作，共享威脅情報(bào)，以便可警戒其他具有類(lèi)似行為的事件。

舉個(gè)例子。網(wǎng)絡(luò)分隔間檢查點(diǎn)上應(yīng)用的安全措施，就得能夠鎖定檢測(cè)并實(shí)時(shí)更新。其他工具需相互配合，追溯惡意軟件源頭，沿可能同樣被黑的數(shù)據(jù)路徑追查威脅的行事手法。所以，各工具應(yīng)深度集成至橫跨整個(gè)分布式網(wǎng)絡(luò)的單一內(nèi)聚安全架構(gòu)中，囊括核心實(shí)體網(wǎng)絡(luò)、公共及私有多云環(huán)境、WAN 位置和移動(dòng)及 IoT 設(shè)備。

企業(yè)網(wǎng)絡(luò)能智取隱秘攻擊

檢測(cè)逃逸性惡意軟件的訣竅是要限制其活動(dòng)范圍，讓它暴露自身，然后在整個(gè)網(wǎng)絡(luò)上共享這些信息，提升檢測(cè)和響應(yīng)力度?；谝鈭D的分隔、誘騙技術(shù)和集成安全架構(gòu)在對(duì)抗檢測(cè)與分析逃逸技術(shù)上具有舉足輕重的作用，是揭露隱秘惡意軟件的基本工具。

【本文是51CTO專(zhuān)欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文