2023年6月，云原生安全領(lǐng)域的權(quán)威機(jī)構(gòu)Aqua Security公司發(fā)布了一份研究報(bào)告，揭示了網(wǎng)絡(luò)安全領(lǐng)域一個(gè)令人深感擔(dān)憂的發(fā)展趨勢(shì)。該報(bào)告顯示，與2022年《云原生威脅報(bào)告》相比，基于內(nèi)存的攻擊出現(xiàn)了前所未有的1400%的驚人增長(zhǎng)。

2023年7月，Wiz公司網(wǎng)絡(luò)安全研究人員做出了突破性的發(fā)現(xiàn)，發(fā)現(xiàn)了一個(gè)基于python的無(wú)文件惡意軟件，名為“PyLoose”。這次攻擊是第一次記錄在案的基于python的無(wú)文件攻擊，明確針對(duì)現(xiàn)實(shí)場(chǎng)景中的云工作負(fù)載。使用Linux無(wú)文件技術(shù)memfd,PyLoose巧妙地將XMRigMiner直接加載到內(nèi)存中，避免了將有效負(fù)載寫入磁盤的需要，并利用了操作系統(tǒng)的功能來(lái)利用它。

這種反復(fù)發(fā)生的網(wǎng)絡(luò)安全事件凸顯了傳統(tǒng)云安全措施面臨的重大挑戰(zhàn)。以下深入研究基于內(nèi)存的攻擊的技術(shù)方面、它們對(duì)傳統(tǒng)安全防御的規(guī)避，并討論保護(hù)云基礎(chǔ)設(shè)施的主動(dòng)策略。

了解基于內(nèi)存的攻擊

基于內(nèi)存的攻擊，通常被稱為“無(wú)文件攻擊”，已經(jīng)成為黑客的首選武器。與依賴于存儲(chǔ)在磁盤上的惡意文件的傳統(tǒng)攻擊不同，基于內(nèi)存的攻擊利用了目標(biāo)系統(tǒng)的易失性內(nèi)存。由于駐留在內(nèi)存中，這些攻擊在系統(tǒng)上留下的痕跡很小，因此難以檢測(cè)和阻止。

通常情況下，基于內(nèi)存的攻擊是通過(guò)高級(jí)腳本語(yǔ)言(如PowerShell或JavaScript)實(shí)現(xiàn)的。它允許網(wǎng)絡(luò)攻擊者將惡意代碼直接注入運(yùn)行進(jìn)程的內(nèi)存空間。一旦代碼被執(zhí)行，攻擊就可以悄悄地進(jìn)行，執(zhí)行從數(shù)據(jù)竊取和操縱到整個(gè)系統(tǒng)危害的各種操作。

規(guī)避傳統(tǒng)云安全防御

基于內(nèi)存的攻擊激增的部分原因是它們能夠避開(kāi)傳統(tǒng)的云安全防御。惡意行為者正在投入大量資源來(lái)實(shí)現(xiàn)先進(jìn)的規(guī)避技術(shù)，旨在隱藏他們的活動(dòng)并在受損的系統(tǒng)中獲得強(qiáng)大的立足點(diǎn)。根據(jù)Aqua Security公司的研究，對(duì)六個(gè)月數(shù)據(jù)的分析顯示，超過(guò)50%的網(wǎng)絡(luò)攻擊是專門針對(duì)繞過(guò)防御措施的。

以下了解這些網(wǎng)絡(luò)攻擊繞過(guò)傳統(tǒng)安全措施的一些主要方式：

(1)缺乏基于簽名的檢測(cè)：傳統(tǒng)的防病毒軟件和入侵檢測(cè)系統(tǒng)(IDS)嚴(yán)重依賴基于簽名的檢測(cè)來(lái)識(shí)別已知的惡意軟件和惡意文件。由于基于內(nèi)存的攻擊不涉及將文件寫入磁盤，因此它們有效地避免觸發(fā)這些簽名，使它們對(duì)許多安全解決方案不可見(jiàn)。

(2)基于行為的規(guī)避：基于內(nèi)存的攻擊通常使用已經(jīng)在系統(tǒng)上運(yùn)行的合法進(jìn)程，這使得基于行為的檢測(cè)系統(tǒng)難以區(qū)分正常活動(dòng)和惡意活動(dòng)。這使得網(wǎng)絡(luò)攻擊能夠無(wú)縫地融入環(huán)境。

(3)加密的有效負(fù)載：許多基于內(nèi)存的攻擊利用加密技術(shù)來(lái)混淆其有效負(fù)載，使其無(wú)法被安全掃描儀讀取。這種策略防止安全工具檢查攻擊的內(nèi)容并理解其意圖。

(4)減少內(nèi)存占用：通過(guò)僅在內(nèi)存空間內(nèi)操作，基于內(nèi)存的攻擊在系統(tǒng)上留下的內(nèi)存占用可以忽略不計(jì)。這種規(guī)避特征使得攻擊后的分析更加困難。

技術(shù)緩解戰(zhàn)略

為了應(yīng)對(duì)日益增長(zhǎng)的基于內(nèi)存的攻擊威脅，云安全專業(yè)人員和IT管理員必須采用結(jié)合各種安全技術(shù)和最佳實(shí)踐的多層方法。以下是企業(yè)可以采用的關(guān)鍵緩解策略，以防止基于內(nèi)存的惡意軟件。

(1)端點(diǎn)檢測(cè)和響應(yīng)(EDR)：端點(diǎn)檢測(cè)和響應(yīng)(EDR)解決方案提供端點(diǎn)的實(shí)時(shí)監(jiān)控，包括服務(wù)器和工作站，使組織能夠檢測(cè)和響應(yīng)可疑活動(dòng)，即使它們發(fā)生在內(nèi)存中。利用機(jī)器學(xué)習(xí)和行為分析，EDR工具可以識(shí)別表明基于內(nèi)存的攻擊的異?；顒?dòng)。

(2)內(nèi)存完整性保護(hù)：現(xiàn)代操作系統(tǒng)和云平臺(tái)提供內(nèi)存完整性保護(hù)機(jī)制。例如，微軟在Windows 10、Windows 11和Windows Server 2016及更高版本中引入了基于虛擬化的安全(VBS)特性，即內(nèi)存完整性)，以打擊內(nèi)存漏洞，增強(qiáng)系統(tǒng)安全性。這些特性確保了系統(tǒng)內(nèi)存空間的完整性，防止了未經(jīng)授權(quán)的修改和篡改。

(3)定期軟件更新和補(bǔ)丁管理：使所有軟件和應(yīng)用程序保持最新對(duì)于減輕基于內(nèi)存的攻擊至關(guān)重要。網(wǎng)絡(luò)攻擊者經(jīng)常利用未打補(bǔ)丁軟件中的已知漏洞滲透系統(tǒng)。定期更新有助于消除這些安全漏洞。

(4)特權(quán)升級(jí)緩解：限制用戶特權(quán)和實(shí)現(xiàn)最小特權(quán)原則可以減輕基于內(nèi)存的攻擊的影響。限制用戶在未經(jīng)授權(quán)的情況下執(zhí)行腳本或訪問(wèn)關(guān)鍵系統(tǒng)資源，可以減少攻擊面。

(5)網(wǎng)絡(luò)分段：將云計(jì)算網(wǎng)絡(luò)正確地分割為不同的安全區(qū)域可以限制網(wǎng)絡(luò)攻擊者在環(huán)境中的橫向移動(dòng)。企業(yè)可以通過(guò)使用防火墻和訪問(wèn)控制來(lái)控制基于內(nèi)存的攻擊的影響。

(6)行為分析：實(shí)現(xiàn)監(jiān)視用戶和進(jìn)程行為的行為分析工具可以幫助識(shí)別表明基于內(nèi)存的攻擊的可疑活動(dòng)。例如，Mixpanel、Amplitude和FullStory等流行的用戶行為分析工具可以檢測(cè)未授權(quán)的向運(yùn)行進(jìn)程注入代碼的企圖。

結(jié)語(yǔ)

隨著基于內(nèi)存的攻擊的激增仍在挑戰(zhàn)傳統(tǒng)的云安全防御，對(duì)主動(dòng)和全面的安全措施的需求變得至關(guān)重要。采用結(jié)合端點(diǎn)檢測(cè)和響應(yīng)、內(nèi)存完整性保護(hù)和定期更新的多層方法可以加強(qiáng)對(duì)這些難以捉摸的威脅的防御。

威脅形勢(shì)不斷變化，企業(yè)必須保持警惕，適應(yīng)新的安全挑戰(zhàn)，并投資于尖端技術(shù)，以保護(hù)其云計(jì)算基礎(chǔ)設(shè)施和敏感數(shù)據(jù)。只有保持積極主動(dòng)和信息靈通，才能在數(shù)字時(shí)代抵御黑客不斷的攻擊。