過去兩年我們共同見證了一場前所未有的網路變革風暴。遠端工作、雲端化和軟體即服務(SaaS)應用程式的興起不只改變了我們的業務模式,也打開了安全漏洞的潘多拉盒子。一種全新的攻擊出現,他們使用當今網路工作者最關鍵的工具作為武器:瀏覽器。並利用高度規避性自適應威脅(Highly Evasive Adaptive Threats,HEAT)來破壞瀏覽器,獲得端點的初始訪問權限,最終部署勒索軟體或惡意程式等威脅。
由於它們能夠逃避檢測並將惡意負載傳送到端點,因此我們很容易將HEAT攻擊與進階持續性威脅(Advanced Persistent Threats,APT)混淆。但是,這兩者之間存在關鍵差異,它們在攻擊狙殺鏈完全不同的階段作用。
什麼是高度規避性自適應威脅?
名稱中的兩個關鍵描述是規避性和自適應性——對於攻擊者而言非常重要。他們希望盡可能規避,以避免被發現,關鍵是要最大限度地提高攻擊成功的機率。
因此,這意味著他們了解如何繞過一般採用的安全技術。無論是對電子郵件還是沙箱的網路釣魚檢測,都有一個相當容易理解的“標準”技術來保護組織。如果知道自己可以規避哪種類型的檢測,那麼成功的機率就會更高。
自適應性部分是如何隨著時間的推移而變化以保持這種規避性。例如規避 URL 信譽,攻擊者不是快速註冊並公布一個寫滿內容和惡意軟體的網頁,而是了解 URL 信譽系統如何確定網頁是否是惡意的,並以他們知道將被系統歸類為合法網頁的方式操作。攻擊者會在使用某個網域之前先註冊一段時間,這樣它就不是新的了。然後他們用所有相關且主題相似的內容進行填充。一旦確認該網頁已被認為是好的,他們就可以使用它進行攻擊。如果 URL 信譽解決方案或搜尋引擎發生變化,那麼他們可以監視它並在將其用於 HEAT 攻擊之前更改他們對該網站的操作。
另一個關鍵是關於初始訪問。這不一定是一類新的惡意軟體。這是一種以非常有效的方式將惡意內容植入受害設備的方法。因此,無論是勒索軟體、鍵盤記錄程式還是任何其他類型的惡意軟體,他們都會使用 HEAT 攻擊將其傳播出去。
什麼是進階持續性威脅?
APT 是一類設計為無法被檢測的威脅。一旦他們進入網路,他們就會盡可能長時間地待在那裡,並執行威脅行為者想做的任何事情——無論是四處搜索尋找數據、竊取數據、竊取憑證,或部署勒索軟體。
HEAT 攻擊和 APT 有什麼區別?
HEAT攻擊用於獲取進入網路的初始訪問權限,然後便可以部署APT。 HEAT 攻擊可以讓你進入目標網路,然後 APT 即能讓你做出攻擊、竊取或破壞。HEAT 攻擊本身不會造成任何損害——它提供造成損害的媒介,我認為這是兩者之間最大的區別。但它們不一定應該被看作是截然不同和獨立的,因為它們可以結合在一起,甚至在同一次攻擊中使用。例如,諾貝利姆攻擊使用HTML走私,這是HEAT的特徵,向受害者傳遞APT。這是兩者合作而不是重疊或分離很好的例子。
HEAT攻擊存在於網路流量和瀏覽器中,儘管瀏覽器位於終端,但終端安全解決方案並不一定能夠看到瀏覽器內部發生的事情。瀏覽器是一個極其強大的平台,在發生任何事情之前,您可以在應用程式內運行腳本和執行代碼。這是一個巨大的潛在盲點。瀏覽器不僅是一個盲點,而且也是最容易受攻擊的介入點。
我們在線上花費大量時間使用瀏覽器。每個設備都有瀏覽器 – 可能比設備還多。它是最廣泛部署的企業應用程式。我們使用瀏覽器訪問所有內容,不僅僅是網站,還包括應用程式。瀏覽器涵蓋了我們用於生活和工作的所有事物,但對於像終端檢測和響應(EDR)這樣的傳統安全解決方案來說,它的可視性極低。Menlo Security 主要的瀏覽器隔離技術解決方案正是瞄準使用者端點安全而來,其所開發的產品不側重於資安風險偵測的技術,轉而以新的防護架構,讓隔離的網頁可以迅速建構在雲端平台上,將欲開啟的網頁加以開啟、轉換與傳輸到終端使用者電腦的瀏覽器上,讓使用者幾乎毫無感覺到中間層運算與保護的處理程序,任何網站上所隱含的任何透過執行腳本語言(Script language)的主動式內容可以被限制與禁止,讓終端使用者的瀏覽器上網行為得以保持絕對的安全。
資料來源:Menlo Security blog
