【宏虹分享】 移動目標防禦(MTD,Moving Target Defense) | 我們為什麼要關心RAM中的攻擊?

 

儘管在網路安全方面的投資不斷增加,但網路犯罪仍在激增。每天的攻擊都會使醫療保健提供癱瘓,並擾亂金融/保險服務公司、製造公司、律師事務所和軟體公司,以至於有關閉的風險。這在很大程度上是因為攻擊一直在變化,而防禦沒有變化。如今的惡意軟體越來越多地在RAM中執行運行時攻擊。

根據微軟的數據,微軟產品中70%的漏洞是RAM安全問題。PurpleSec發現,2022年,RAM崩潰是最常見的零日攻擊類型,佔攻擊的67.55%。對於依賴基於檢測的解決方案來應對這些類型的攻擊的防禦者來說,這是一個大問題。

不久前,幾乎所有的惡意軟體都依賴於可執行文件。威脅參與者在受害者環境中的磁盤上安裝了惡意軟體。該惡意軟體將通過函數調用、系統事件或消息與受感染的計算機交互或與命令和控制(C2)服務器通訊。

图片

傳統網路安全在一定程度上運作良好

但是,無論是在服務器上還是在受攻擊的終端上,該惡意軟體都會留下其存在的證據。防禦者可以依靠端點保護平台(EPP)、端點檢測和響應(EDR/XDR)和防病毒(AV)等工具來發現惡意軟體部署的跡象。發現這些攻擊模式和特徵是網路安全技術演變的目的——在威脅造成真正破壞之前檢測和隔離威脅。

但隨著攻擊鏈現在進入RAM,它們在要檢測的特徵或要分析的行為模式方面提供的東西很少。傳統的惡意軟體攻擊並沒有消失。只是更多的威脅在運行時以設備RAM為目標,而傳統的防禦者對此的可見性有限。

RAM中攻擊可以安裝有關聯的文件,也可以沒有關聯的文件,並在最終用戶啟動和關閉應用程式之間的空間中工作。像Emotet、Jupyter、Cobalt Strike和供應鏈攻擊這樣的運行時攻擊可以在受害者的環境中移動。

图片

這些威脅通常不會在設備磁盤上留下可識別的印記。這些威脅的證據最終可能會在基於簽名的解決方案上顯示為警報。這包括安全訊息和事件管理(SIEM)或安全協調、自動化和響應(SOAR)解決方案。但到那時,後衛們通常已經來不及做任何事情了。

隱蔽而強大的應用程式運行時攻擊為勒索軟體部署和數據外洩奠定了基礎。

RAM中的威脅無處不在

作為無文件惡意軟體的一項功能,完整的RAM中攻擊鏈在2010年代中期開始出現。臭名昭著的Angler漏洞工具包以其獨特的混淆而聞名,它授權網路犯罪分子每月收取費用來利用網路瀏覽器漏洞。

僅在2015年,網路犯罪分子就利用Angler從受害者那裡竊取和勒索了3400萬美元

近年來,在RAM方面的洩露激增。威脅參與者使用Cobalt Strike等工具從設備RAM惡意加載通訊信標。 Cobalt Strike是一種合法的五層攻擊解決方案。 2019至2020年間,使用Cobalt Strike的網路攻擊增加了161%。它通常被Conti使用,Conti是目前運營中最成功的勒索軟體集團,在2021年獲得了1.8億美元的收入

图片

為了逃避傳統的以簽名和行為為重點的安全解決方案,威脅參與者現在創建針對運行時RAM中的惡意軟體,並劫持合法進程。 Picus實驗室的2021年紅色報告將20多萬個惡意軟體文件映射到MITRE ATT&CK框架。

“他們發現,去年最流行的五種攻擊方式中,有三種是在RAM中發生的。”

RAM洩露現在是攻擊鏈的典型特徵,就像2021年愛爾蘭國家醫療服務體係被入侵之前那樣。

無法在運行時掃描設備RAM

在應用程式運行時期間,設備RAM中發生的情況對防禦者來說大多是不可見的。若要了解原因,請考慮解決方案如何在有人使用應用程式時嘗試掃描應用程式。 

解決方案必須:

1) 在應用程式的生命週期內多次掃描設備RAM,

2)同時偵聽正確的觸發操作,

3)以及查找惡意模式以捕獲正在進行的攻擊。

做這三件事的最大障礙是規模。在典型應用程式的運行時環境中,可能有4GB 的虛擬RAM。不可能足夠頻繁地掃描如此大量的數據,至少不會減慢應用程式的速度,以至於無法使用。因此,RAM掃描程序只能查看特定的RAM區域、特定的時間線觸發器和非常具體的參數——所有這些都假設RAM狀態是穩定和一致的。 

图片

 在範圍如此有限的情況下,在最好的情況下,專注於RAM掃描的解決方案可能會佔用3%到4%的應用程式RAM。但威脅越來越多地使用多態來混淆他們的存在,甚至在RAM中也是如此。這意味著在如此小的設備RAM樣本中捕獲惡意活動將是奇蹟。使這一問題雪上加霜的是,攻擊現在繞過或篡改了大多數解決方案用來發現正在進行的攻擊的掛鉤。

過往攻擊者透過遠程存取特洛伊木馬程式(RAT)、訊息竊取程式和加載程式,現在它們使用應用程式RAM藉以爭取隱藏更久。攻擊者在網路中停留的平均時間約為11天。對於老鼠和訊息竊取等高級威脅,這個數字更接近45天。

Windows和Linux應用程式都是目標

在RAM中,洩露不是一種單一類型的威脅。相反,這是導致廣泛後果的攻擊鏈的一個特徵。例如,勒索軟體不一定與RAM運行時攻擊相關聯。但要部署勒索軟體,威脅參與者通常必須滲透網路並提升權限。這些過程往往在運行時在RAM中發生。

图片

網路安全的標準方法是檢測正在進行的攻擊或被破壞後的攻擊。這使每種類型的組織和IT 資產都面臨“隱形”運行時攻擊的風險。 Morphisec的事件響應團隊已經看到RAM中入侵被用於從金融機構的服務器到醫院的端點以及介於兩者之間的所有情況。 

這些威脅不僅針對Windows 服務器和設備上的RAM進程,它們還針對Linux。去年,由威脅行為者創建的惡意版本的Cobalt Strike專門用於Linux服務器。在金融等行業,Linux被用來為虛擬化平台和網路服務器提供動力,攻擊激增。攻擊通常會破壞RAM中的業務關鍵型服務器,從而為訊息盜竊和數據加密奠定基礎。 

防止RAM中運行時攻擊

RAM中運行時攻擊是一些最先進的破壞性攻擊。他們不僅針對企業,現在還把整個政府都扣為人質。因此,防禦者必須專注於在運行時阻止對應用程式RAM的威脅。只專注於檢測是不好的;RAM中和無文件的惡意軟體實際上是不可見的。傳統的安全技術在受保護資產周圍豎起一堵牆,並依賴於檢測惡意活動,無法阻止多態和動態威脅。

图片

相反,應通過安全層確保有效的深度防禦,從而首先防止RAM受損。這就是移動目標防禦(MTD)技術的作用。MTD 通過在運行時變形(隨機化)應用程式RAM、API 和其他操作系統資源,創建即使是高級威脅也無法穿透的動態攻擊面。實際上,它不斷地移動房屋的門,同時將假門留在原處,從而捕獲惡意軟體以進行取證分析。即使威脅行為者能找到通往建築物的門,當他們返回時,它也不會在那裡。因此,他們不能在同一端點上重用攻擊,更不用說在其他端點上了。 

MTD 技術不是在攻擊發生後檢測到攻擊,而是先發製人地阻止攻擊,而無需簽名或可識別的行為。而且它不會影響系統性能、生成誤報警報或需要增加員工人數才能運行。

擴展閱讀

Morphisec(摩菲斯)

Morphisec(摩菲斯)作為移動目標防禦的領導者,已經證明了這項技術的威力。他們已經在5000多家企業部署了MTD驅動的漏洞預防解決方案,每天保護800多萬個端點和服務器免受許多最先進的攻擊。事實上,Morphisec(摩菲斯)目前每天阻止15,000至30,000次勒索軟體、惡意軟體和無文件攻擊,這些攻擊是NGAV、EDR解決方案和端點保護平台(EPP)未能檢測和/或阻止的。 (例如,Morphisec客戶的成功案例,Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下,在第零日就被阻止的此類攻擊的例子包括但不限於:

– 勒索軟體(例如,Conti、Darkside、Lockbit)

– 後門程式(例如,Cobalt Strike、其他RAM信標)

– 供應鏈(例如,CCleaner、華碩、Kaseya payloads、iTunes)

– 惡意軟體下載程式(例如,Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec(摩菲斯)為關鍵應用程式,windows和linux本地和雲端服務器提供解決方案,2MB大小快速部署。免費的Guard Lite解決方案,將微軟的Defener AV變成一個企業級的解決方案。讓企業可以從單一地點控制所有終端。請聯繫我們免費獲取!

更多資訊歡迎到宏虹官網了解,或聯繫我們! >> https://hongtronics.com/morphisec-safe-internet-situation/

或到宏虹官方Youtube頻道了解更多產品資訊 >> https://youtube.com/@hongtronics