【案例分享-網路安全】您的網路安全是否防篡改?

下一代防病毒(NGAV)、端點檢測和響應(EDR)以及端點保護平台(EPP)等網絡安全解決方案面臨著濫用、篡改和利用,以實現初始訪問和持久性。威脅者知道,破壞這些防禦系統往往更容易得到他們想要的東西。但有多少團隊在網絡安全中優先考慮防篡改?

想像一下你鎮上的一家小銀行。該銀行投資了最先進的安全設備,有頂級的攝像頭和敏感的警報器,並與中央系統進行通信。在主要的保險箱上有一個大而硬的生物識別鎖,在厚重的鋼門後面有安全保障(如下圖所示)。

一切都感到非常安全,直到有一天,電源關閉了。突然間沒有電=沒有網路=沒有安全,顯然要繞過這個最先進的安全系統,你所要做的就是開啟為銀行供電的開關。

終止服務時間

我們都在電影中看到過這些場景,但在網絡安全領域,這其實離現實並不遙遠。網絡犯罪分子總是在研究,並試圖在開始攻擊之前終止的所有監控工具和安全解決方案,如EDR、NGAV、EPP等。令人擔憂的是,這通常不是很複雜的做法,你只需要終止系統進程和服務。

這有多難呢?如果一個攻擊者已經洩露了管理權限,他們可以運行一個簡單的腳本來殺死所有的進程。如果這不起作用,他們可以安裝一個被破壞的/有漏洞的內核驅動,從內核空間進行工作。此外,攻擊者還可以使用鉤子篡改的方法來避免監控。

為了繞過屬於微軟病毒倡議(MVI)並與早期啟動反惡意軟件(ELAM)驅動程序一起發貨的安全廠商(可以通過微軟更好地保護和隔離服務),威脅者可能會安裝一個較弱的安全廠商,競爭相同的安全類別,可以用來消除ELAM服務。

Morphisec實驗室的威脅研究團隊在野外發現了一些威脅行為者使用的流行戰術,其中之一是部署Malwarebytes子組件作為攻擊載體的一部分。

正常情況VS有針對性篡改

一般型篡改方法

現代惡意軟體經常試圖關閉系統中的服務,然後再轉入下一步的攻擊載體。 Windows服務控制管理器(SCM)提供了一個恢復機制,可以在終止後重新啟動服務,但SCM恢復機製本身並不是保護關鍵服務的超級有效補救措施。

問題是總是有一個時間差”即使是非常小的時間差”在這個時間差裡,一個服務沒有運行。即使服務快速恢復,安全系統通常是 “有狀態 “的服務,所以為了準確恢復,恢復服務之前的 “狀態 “是至關重要的。

一個持久的攻擊者也可以對系統使用DOS(拒絕服務)攻擊,這將運行一個終止/恢復的無限循環,因此服務忙於自己的恢復而不是檢測和預防。

有針對性篡改

網絡犯罪團伙獲取流行的安全軟體,包括免費的和高級的,並研究其如何工作,他們經常發現產品中的特定錯誤,從而使他們能夠輕鬆地終止產品。

終止一些安全產品的另一種方法,是通過濫用DLL劫持漏洞的錯誤來劫持流量。這方面的一個例子是2019年發現的Mcafee殺毒軟件的漏洞。

不幸的是,擁有最大市場的安全解決方案比小供應商更容易被篡改。這方面的一個例子是最近針對烏克蘭一家能源供應商的Indutroyer2攻擊。 ESET研究博客發現 “在連接到目標設備之前,該惡意軟體終止了一個用於標準日常操作的合法進程。

除此之外,它還通過在文件名中添加.MZ來重命名這個應用程序。它這樣做是為了防止這個合法進程的自動重啟”。

當Red Team評估篡改時,他們通常從終止用戶模式的應用程序開始,或手動關閉特定的進程。上面的引文說明了攻擊者是如何複雜和了解恢復選項的。

內核模式VS用戶模式的篡改

關於防止用戶模式應用程序終止進程的問題已經寫了很多,如進程資源管理器、任務管理器、PowerShell和Process Hacker。

Process Hacker帶有一個簽名的內核模式驅動程序,它具有終止任何用戶模式進程的高級權限。不幸的是,Process Hacker驅動程序可以被用於惡意目的。這種攻擊技術被稱為 “自帶易受攻擊的驅動程序”。

目前,關於內核模式篡改的訊息並不多。隨著網絡犯罪集團變得越來越複雜,最近的攻擊顯示惡意代碼正在進入操作系統的低層。在內核模式下運行的代碼通常是受信任的代碼,具有廣泛的系統權限。

這意味著它可以終止進程,刪除系統回調,並在某些情況下,修改Windows內核的實際行為。微軟在幾年前推出了PatchGuard技術來處理內核鉤子,然而,它仍然不是無懈可擊的,不能防止對所有內核結構的篡改。

確保網路安全中的防篡改是有效的

為了評估網絡工具的防篡改效果,需要尋找的一些東西包括:進程是否可以被各種工具終止,文件是否可以在磁盤上被修改或重命名,以及保護是否在 “安全模式 “啟動時有效。

如前所述,另一個需要注意的重要因素是-反直覺的網絡安全供應商的規模。小型供應商被篡改的可能性明顯低於大型供應商,而開源EDR則是一個很容易的目標。例如,OpenEDR很容易被Process Hacker終止,儘管它有自我防禦功能。

對於網絡安全廠商來說,保持警惕以防止其產品被篡改是很重要的。如果網絡安全廠商能夠與操作系統廠商合作,將統一的防篡改解決方案標準化,那麼世界將會受益。這將使他們能夠就可信的安全解決方案如何被操作系統識別為關鍵系統達成一致。 MITRE對供應商也有幾個非常重要的建議。

Morphisec對保護我們的產品不被篡改非常重視。我們所有的產品和服務都是防彈的,而且我們一直在尋找新的方法來加強我們終端解決方案的完整性。要了解更多關於Morphisec革命性的移動目標防禦技術,即在運行時在內存中阻止網絡攻擊,請聯繫我們。

Morphisec

Morphisec作為移動目標防禦的領導者,已經證明了這項技術的威力。他們已經在5000多家企業部署了MTD驅動的漏洞預防解決方案,每天保護800多萬個端點和服務器免受許多最先進的攻擊。

事實上,Morphisec目前每天阻止15,000至30,000次勒索軟體、惡意軟體和無文件攻擊,這些攻擊是NGAV、EDR解決方案和端點保護平台(EPP)未能檢測和/或阻止的。在其他NGAV和EDR解決方案無法阻止的情況下,在第零日就被阻止的此類攻擊的例子包括但不限於:

  • 勒索軟件(例如,Conti、Darkside、Lockbit)
  • 後門程序(例如,Cobalt Strike、其他內存信標)
  • 供應鏈(例如,CCleaner、華碩、Kaseya payloads、iTunes)
  • 惡意軟件下載程序(例如,Emotet、QBot、Qakbot、Trickbot、IceDid)

聯絡我們