恶意软件绕过终端防护的六种方式

终端防护措施被突破而造成的数据泄露事件数量持续上升。攻击者为何能够屡屡得手?

波耐蒙研究所《2018 终端安全风险状态》报告显示：63%的 IT 安全人员认为过去一年中攻击频率有所上升;52%的受访者称不能切实阻止所有攻击。他们的反病毒解决方案只能阻挡43%的攻击。64%的受访者称，自家公司至少经历过一次造成数据泄露的终端攻击。

该报告基于对660名IT安全人员的问卷调查，结果显示大多数受访者 (70%) 称自家公司面临的新威胁和未知威胁增加了，防线被突破所造成的平均损失也从500万美元上升到了710万美元。

但是几乎每一台计算机都设置了某种形式的防护措施。为什么攻击者仍能渗入呢?下面就为大家列出攻击者用于绕过终端防护措施的主要方法。

1. 基于脚本的攻击

基于脚本的攻击也可称为 “无文件” 攻击，其中的恶意软件其实就是在已有合法应用中执行的脚本，可以利用 PowerShell 或其他已经安装的 Windows 组件。因为没有新软件被安装到系统里，所以很多传统防御都能够被绕过。

波耐蒙的研究显示，此类攻击十分容易造成数据泄露，且占比逐年上升，2017年占所有攻击类型的30%，去年该占比上升至35%。这种攻击几乎不留痕迹，没有可供杀毒软件扫描的实体恶意二进制文件。

或许会有一些网络流量能够被安全系统捕获。但攻击者也可以加密这些通信，并使用可信通信路由来悄悄渗漏数据。

今年早些时候发布的赛门铁克《互联网安全威胁报告》指出，过去一年中，恶意 PowerShell 脚本使用率增长了1000%。攻击者可以通过执行人类无法直接读取的指令来使用 PowerShell，比如 base64 编码的指令。PowerShell 如今应用广泛，因而对攻击者而言几乎可称得上是随处可得的趁手利用工具。

捕捉此类攻击的关键在于寻找常见应用执行不常见操作的实例。举个例子，如果你记录下环境中执行的最后1,000条指令，那你要寻找的可能是出现了不到五次的那种。这么做往往都能翻出那些不正常的指令——通常也就是恶意指令。

2. 在流行基础设施上托管恶意站点

很多安全平台通过阻止用户点击恶意链接来抵御网络钓鱼攻击。比如说，安全平台可能会检查特定IP地址是否与其他恶意软件攻击活动相关联。但如果攻击者将恶意站点托管在 Azure 或谷歌云之类的东西上，那么这些恶意站点也就随其所在基础设施的广泛应用而不能被加入黑名单。

恶意软件只要成功进驻目标系统，往往会回连命令与控制 (C&C) 服务器，从这些服务器上获取指示下一步动作的指令，或者利用 C&C 服务器渗漏数据。如果 C&C 服务器托管在合法平台上，该通信信道也就能成功伪装了。

而且，这些服务往往有内置的加密功能。甚至在线照片共享网站都能被用作攻击的一部分。攻击者创建社交媒体账户，上传含有隐藏代码或指令的照片。恶意软件可内置访问该账户的预设操作，查看最近照片，从中抽取隐藏指令，然后执行这些指令。

在 IT 部门和企业安全团队看来，所有迹象都只显示出有员工在浏览社交媒体而已。通过这种方式悄悄执行的恶意操作很难被捕捉到。甚至最新一代的终端防护技术都对攻击者模仿正常用户行为的操作束手无策。

为抵御此类攻击，防御者需查找在非正常时段发生的 “正常” 通信，或者某应用被通常用不到它的部门使用的实例。

利用隐写术将指令隐藏到照片中的技术也能被用于在图片附件中隐藏指令。今年 5 月，ESET 发布了一份关于 Turla LightNeuron 微软 Exchange 邮件服务器后门的报告，指出 LightNeuron 利用电子邮件与其 C&C 服务器通信，并将往来消息隐藏在图片附件中，比如 PDF 或 JPG。

3. 中毒合法应用及实用程序

每家企业都有很多第三方应用、工具和实用程序为员工所用。如果攻击者黑掉开发这些工具的公司，渗透进升级功能中，或者潜入开源项目的代码库里，他们就可以植入后门和其他恶意代码。举个例子，流行系统清理工具 Cleaner 就曾被植入了后门。

赛门铁克《互联网安全威胁报告》中写道：针对软件供应链的攻击在2018年上升了78%。

开源代码尤其脆弱。首先，攻击者可以贡献合法漏洞修复或有用软件改进，在合法代码中隐藏恶意代码，用合法代码瞒过审查过程。

只要审查过程不检查贡献的全部功能，该贡献就能成为软件未来发布的一部分。更重要的是，还有可能成为商业软件包组件分支的一部分。

为防止此类事情发生，企业和软件开发人员必须仔细检查软件中的开源代码，将该代码映射回其确切源头，以便一旦出问题就能快速清除或修复。

4. 沙箱逃逸