服务器租用用户通常情况下就是安装防火墙进行防御网络攻击,这样能防御大部分的攻击,可是还是会有部分恶意软件能够绕过防火墙,那么恶意软件是怎样绕过服务器租用用户的防火墙的?
恶意软件是怎么绕过防火墙的
1. 基于脚本的攻击
基于脚本的攻击也可称为 “无文件” 攻击,其中的恶意软件其实就是在已有合法应用中执行的脚本,可以利用 PowerShell 或其他已经安装的 Windows 组件。因为没有新软件被安装到系统里,所以很多传统防御都能够被绕过。
波耐蒙的研究显示,此类攻击十分容易造成数据泄露,且占比逐年上升,2017年占所有攻击类型的30%,去年该占比上升至35%。这种攻击几乎不留痕迹,没有可供杀毒软件扫描的实体恶意二进制文件。
或许会有一些网络流量能够被安全系统捕获。但攻击者也可以加密这些通信,并使用可信通信路由来悄悄渗漏数据。
今年早些时候发布的赛门铁克《互联网安全威胁报告》指出,过去一年中,恶意 PowerShell 脚本使用率增长了1000%。攻击者可以通过执行人类无法直接读取的指令来使用 PowerShell,比如 base64 编码的指令。PowerShell 如今应用广泛,因而对攻击者而言几乎可称得上是随处可得的趁手利用工具。
捕捉此类攻击的关键在于寻找常见应用执行不常见操作的实例。举个例子,如果你记录下环境中执行的后1,000条指令,那你要寻找的可能是出现了不到五次的那种。这么做往往都能翻出那些不正常的指令--通常也就是恶意指令。
2. 在流行基础设施上托管恶意站点
很多安全平台通过阻止用户点击恶意链接来抵御网络钓鱼攻击。比如说,安全平台可能会检查特定IP地址是否与其他恶意软件攻击活动相关联。但如果攻击者将恶意站点托管在 Azure 或谷歌云之类的东西上,那么这些恶意站点也就随其所在基础设施的广泛应用而不能被加入黑名单。
恶意软件只要成功进驻目标系统,往往会回连命令与控制 (C&C) 服务器,从这些服务器上获取指示下一步动作的指令,或者利用 C&C 服务器渗漏数据。如果 C&C 服务器托管在合法平台上,该通信信道也就能成功伪装了。
而且,这些服务往往有内置的加密功能。甚至在线照片共享网站都能被用作攻击的一部分。攻击者创建社交媒体账户,上传含有隐藏代码或指令的照片。恶意软件可内置访问该账户的预设操作,查看近照片,从中抽取隐藏指令,然后执行这些指令。
在 IT 部门和企业安全团队看来,所有迹象都只显示出有员工在浏览社交媒体而已。通过这种方式悄悄执行的恶意操作很难被捕捉到。甚至新一代的终端防护技术都对攻击者模仿正常用户行为的操作束手无策。
为抵御此类攻击,防御者需查找在非正常时段发生的 “正常” 通信,或者某应用被通常用不到它的部门使用的实例。
利用隐写术将指令隐藏到照片中的技术也能被用于在图片附件中隐藏指令。今年 5 月,ESET 发布了一份关于 Turla LightNeuron 微软 Exchange 邮件服务器后门的报告,指出 LightNeuron 利用电子邮件与其 C&C 服务器通信,并将往来消息隐藏在图片附件中,比如 PDF 或 JPG。
3. 中毒合法应用及实用程序
每家企业都有很多第三方应用、工具和实用程序为员工所用。如果攻击者黑掉开发这些工具的公司,渗透进升级功能中,或者潜入开源项目的代码库里,他们就可以植入后门和其他恶意代码。举个例子,流行系统清理工具 Cleaner 就曾被植入了后门。
赛门铁克《互联网安全威胁报告》中写道:针对软件供应链的攻击在2018年上升了78%。
开源代码尤其脆弱。首先,攻击者可以贡献合法漏洞修复或有用软件改进,在合法代码中隐藏恶意代码,用合法代码瞒过审查过程。
只要审查过程不检查贡献的全部功能,该贡献就能成为软件未来发布的一部分。更重要的是,还有可能成为商业软件包组件分支的一部分。
为防止此类事情发生,企业和软件开发人员必须仔细检查软件中的开源代码,将该代码映射回其确切源头,以便一旦出问题就能快速或修复。
4. 沙箱逃逸
下一代终端防护平台的一个常见功能就是沙箱--在安全虚拟环境中触发未知恶意软件。在恶意软件频繁变身以躲过特征码检测的时代,这种技术对防御者而言非常有用。
但这种防护如今也很容易被绕开。可以将恶意软件编写成只在沙箱外才恶意行为。比如说,只在与真人互动时才会,或者在满足其他条件时才触发恶意行为。
延时是常见的手法。恶意软件可能等待数小时、数天,乃至数周才,在攻击载荷被触发之前尽可能广泛地网络。又或者,恶意软件可以直接检查自身是否运行在虚拟机环境中。比如说,思科塔罗斯团队5月报告中就指出,新版本的 JasperLoader 恶意软件会查询 Windows 管理规范 (WMI) 子系统以找出自身运行环境,如果是在 VirtualBox、VMware 或 KVM 环境中,就会终止执行。
5. 未修复的漏洞
美国国家安全局 (NSA) 开发的 “永恒之蓝” 安全工具在 2017 年 7 月被泄露到了网上。自此,永恒之蓝被用到了多起重大网络攻击中,包括针对英国医疗系统的攻击,联邦快递所遭 4 亿美元的攻击,默克公司 6.7 亿美元攻击等等--尽管微软已经快速发布了补丁。
直到近还陆续有永恒之蓝的受害者出现。巴尔地摩市遭受的勒索软件攻击据称就用到了永恒之蓝漏洞。且巴尔地摩还不是个案。安全公司 ESET 报告称,自 2017 年起,涉永恒之蓝的攻击数量一直在上升,在今年春天达到了历史峰值。全球超过100万台主机仍在使用存在漏洞的过时 SMBv1 协议,其中有40万台都在美国。
意软件是怎样绕过服务器租用用户的防火墙的
湘西网站/软件服务相关信息
2022-10-24
2022-10-15
2021-05-17
2021-02-08
2021-02-07
2021-02-06
2021-02-06
2021-02-04
2021-02-03
2021-02-01