CISO們擁有一系列不斷改進(jìn)的工具來幫助發(fā)現(xiàn)和阻止惡意活動(dòng)：包括網(wǎng)絡(luò)監(jiān)控工具、病毒掃描程序、軟件成分分析(SCA)工具、數(shù)字取證和事件響應(yīng)(DFIR)解決方案等等。

不過，網(wǎng)絡(luò)安全是一場(chǎng)持續(xù)不斷的攻防戰(zhàn)，攻擊者會(huì)繼續(xù)發(fā)起新的挑戰(zhàn)。

較老的技術(shù)，如隱寫術(shù)——將包括惡意有效載荷在內(nèi)的信息隱藏在其他良性文件(如圖像)中的技術(shù)——也正在發(fā)展，帶來了新的可能性。例如，最近一名研究人員證明，即使是推特也不能幸免于隱寫術(shù)，因?yàn)槠脚_(tái)上的圖像可能被濫用來打包其中高達(dá)3MB的ZIP檔案。

然而，在我自己的研究中，我注意到除了使用混淆、隱寫術(shù)和惡意軟件打包技術(shù)之外，今天的威脅參與者也經(jīng)常利用合法服務(wù)、平臺(tái)、協(xié)議和工具來進(jìn)行他們的活動(dòng)。這讓它們能夠與正常的流量或活動(dòng)混合在一起，在人類分析師和機(jī)器看來，這些流量或活動(dòng)可能是“干凈”的。

以下是網(wǎng)絡(luò)犯罪分子當(dāng)前用來掩蓋蹤跡的六種方式。

濫用不會(huì)引發(fā)警報(bào)的可信平臺(tái)

這是安全專業(yè)人士在2020年就看到的一個(gè)常見現(xiàn)象，并已蔓延到了今年。

從滲透測(cè)試服務(wù)和工具(如Cobalt Strike和Ngrok)，到已建立的開源代碼生態(tài)系統(tǒng)(如GitHub)，再到圖像和文本網(wǎng)站(如Imgur和Pastebin)，僅在過去的幾年里，攻擊者就瞄準(zhǔn)了一系列受信任的平臺(tái)。

通常，Ngrok會(huì)作為bug賞金練習(xí)或滲透性測(cè)試項(xiàng)目的一部分，被有道德的黑客用來收集數(shù)據(jù)或?yàn)槿胝具B接建立模擬隧道。但惡意行為者會(huì)濫用Ngrok來直接安裝僵尸網(wǎng)絡(luò)惡意軟件，或是將合法通信服務(wù)連接到惡意服務(wù)器。在最近的一個(gè)例子中，SANS研究所的Xavier Mertens發(fā)現(xiàn)了一個(gè)用Python編寫的惡意軟件樣本，其中包含了base64編碼的代碼，用于在使用了Ngrok的受感染系統(tǒng)上安裝后門。

由于Ngrok受到了廣泛的信任，遠(yuǎn)程攻擊者可以通過Ngrok隧道來連接到受感染的系統(tǒng)，這可能會(huì)繞過公司防火墻或NAT保護(hù)。

GitHub還被濫用來托管從Octopus Scanner到Gitpaste-12的惡意軟件。最近，狡猾的攻擊者濫用GitHub和Imgur結(jié)合使用了一個(gè)開源的PowerShell腳本，這使得他們有可能在GitHub上托管一個(gè)簡(jiǎn)單的腳本，從一張良性的Imgur照片中解析出Cobalt Strike的有效載荷。Cobalt Strike是一種流行的滲透性測(cè)試框架，用于模擬先進(jìn)的真實(shí)網(wǎng)絡(luò)攻擊，但與任何安全軟件產(chǎn)品一樣，它也可能被對(duì)手濫用。

同樣，開發(fā)人員依賴的自動(dòng)化工具也不能幸免于被利用。

2021年4月，攻擊者濫用GitHub Actions以數(shù)百個(gè)存儲(chǔ)庫為目標(biāo)，發(fā)起了一場(chǎng)自動(dòng)攻擊，利用GitHub的服務(wù)器和資源進(jìn)行了加密貨幣的挖掘。

這些示例說明了為什么攻擊者認(rèn)為瞄準(zhǔn)合法平臺(tái)會(huì)有價(jià)值，而許多防火墻和安全監(jiān)控工具可能還無法阻止這些平臺(tái)。

利用品牌價(jià)值、聲譽(yù)或知名度的上游攻擊

在SolarWinds爆出漏洞之后，軟件供應(yīng)鏈安全問題可能已經(jīng)引起了公眾的關(guān)注，但是這些攻擊在一段時(shí)間內(nèi)一直在上升。

無論是以拼寫錯(cuò)誤、品牌劫持或是依賴混淆的形式(最初作為概念驗(yàn)證研究被發(fā)現(xiàn)，但后來被濫用于惡意目的)，“上游”攻擊會(huì)利用已知合作伙伴生態(tài)系統(tǒng)中的信任，并利用品牌或軟件組件的受歡迎程度或聲譽(yù)。攻擊者的目標(biāo)是將惡意代碼推送到與品牌相關(guān)聯(lián)的可信代碼庫，然后將代碼分發(fā)到下游的最終目標(biāo)：該品牌的合作伙伴、客戶或用戶。

任何對(duì)所有人開放的系統(tǒng)也會(huì)對(duì)對(duì)手開放。因此，許多供應(yīng)鏈攻擊的目標(biāo)都是開源生態(tài)系統(tǒng)，而其中的一些生態(tài)系統(tǒng)為了堅(jiān)持“向所有人開放”的原則而沒有進(jìn)行嚴(yán)格的驗(yàn)證。然而，商業(yè)組織也受到了這些攻擊。

在最近的一個(gè)案例中，有人將其比作SolarWinds事件，軟件測(cè)試公司Codecov披露了針對(duì)其Bash Uploader腳本的攻擊，該攻擊在兩個(gè)多月內(nèi)一直未被發(fā)現(xiàn)。

Codecov擁有29000多家客戶，包括一些著名的全球品牌。在這次攻擊中，公司客戶端使用的上傳程序被修改，將系統(tǒng)的環(huán)境變量(密鑰、憑據(jù)和令牌)泄露給了攻擊者的IP地址。

防范供應(yīng)鏈攻擊需要在多個(gè)方面采取行動(dòng)。軟件提供商需要加大投資來保證他們的開發(fā)版本的安全?；贏I和ML的devops解決方案能夠自動(dòng)檢測(cè)和阻止可疑的軟件組件，有助于防止打字錯(cuò)誤、品牌劫持和依賴混淆攻擊。

此外，隨著越來越多的公司采用Kubernetes或Docker容器來部署他們的應(yīng)用程序，容器安全解決方案具有內(nèi)置的網(wǎng)絡(luò)應(yīng)用程序防火墻，并且能夠及早發(fā)現(xiàn)簡(jiǎn)單的配置錯(cuò)誤，這將有助于防止更大的危害。

通過難以追蹤的方法進(jìn)行加密貨幣支付

考慮到其分散和注重隱私的設(shè)計(jì)，Darknet marketplace的賣家和軟件運(yùn)營(yíng)商經(jīng)常交易加密貨幣。

但是，盡管不是由政府中央銀行鑄造或控制的，加密貨幣仍然缺乏與現(xiàn)金相同的匿名性。

因此，網(wǎng)絡(luò)犯罪分子找到了在賬戶間轉(zhuǎn)移資金的創(chuàng)新方法。

最近，與2016年Bitfinex黑客事件有關(guān)的價(jià)值超過7.6億美元的比特幣以多筆較小的交易轉(zhuǎn)移到了新賬戶，交易金額從1 BTC到1200 BTC不等。

加密貨幣并不是一種完全萬無一失的隱藏資金蹤跡的方法。2020年美國(guó)總統(tǒng)大選當(dāng)晚，美國(guó)政府清空了一個(gè)價(jià)值10億美元的比特幣錢包，里面裝著與最臭名昭著的暗網(wǎng)市場(chǎng)“絲綢之路”有關(guān)的資金，該市場(chǎng)本身已于2013年關(guān)閉。

其他的一些加密貨幣，如門羅幣(XMR)和Zcash(ZEC)，在匿名交易方面比比特幣具有更廣泛的隱私保護(hù)能力。毫無疑問的，隨著攻擊者不斷尋找更好的方法來隱藏他們的蹤跡，犯罪分子和調(diào)查人員之間的沖突將在這條戰(zhàn)線上繼續(xù)下去。

使用公共通道和協(xié)議

像可信平臺(tái)和品牌一樣，合法應(yīng)用程序所使用的加密通道、端口和協(xié)議為攻擊者提供了另一種掩蓋其足跡的方式。

例如，HTTPS協(xié)議是當(dāng)今網(wǎng)絡(luò)普遍不可或缺的協(xié)議，因此，端口443(由HTTPS/SSL使用)在公司環(huán)境中很難被阻止。

然而，HTTPS上的DNS(DoH)——一種解析域的協(xié)議——也使用端口443，并且被惡意軟件作者濫用，將其命令和控制(C2)命令傳輸?shù)搅耸芨腥镜南到y(tǒng)。

這個(gè)問題有兩個(gè)方面。首先，通過濫用HTTPS或DoH等常用協(xié)議，攻擊者與合法用戶一樣享有端到端加密通道的隱私優(yōu)勢(shì)。

其次，這給網(wǎng)絡(luò)管理員也帶來了困難。阻止任何形式的域名系統(tǒng)本身就是一個(gè)挑戰(zhàn)，但是現(xiàn)在，鑒于域名系統(tǒng)請(qǐng)求和響應(yīng)會(huì)在HTTPS被加密，安全專業(yè)人員攔截、挑選和分析來自通過網(wǎng)絡(luò)進(jìn)出的許多HTTPS請(qǐng)求的可疑流量就成了一件麻煩事。

研究人員Alex Birsan展示了依賴混淆技術(shù)，侵入了35家以上的大型科技公司，他能夠通過使用DNS(端口53)泄露基本信息來最大限度地提高成功率。Birsan之所以選擇DNS，是因?yàn)槌鲇谛阅芤蠛秃戏ǖ腄NS使用，公司防火墻不阻塞DNS流量的可能性很高。

使用簽名的二進(jìn)制文件運(yùn)行混淆的惡意軟件

使用非本地二進(jìn)制文件(LOLBIN)的無文件惡意軟件的常見概念仍然是一種有效的規(guī)避技術(shù)。

LOLBIN指的是合法的、經(jīng)過數(shù)字簽名的可執(zhí)行文件，例如微軟簽署的Windows可執(zhí)行文件，攻擊者可以濫用這些文件以提升的權(quán)限啟動(dòng)惡意代碼，或者逃避防病毒等端點(diǎn)安全產(chǎn)品。

上個(gè)月，微軟分享了一些企業(yè)可以采用的防御技術(shù)指南，以防止攻擊者濫用微軟的Azure LOLBIN。

在另一個(gè)例子中，我分析的最近才發(fā)現(xiàn)的Linux和macOS惡意軟件在所有領(lǐng)先的防病毒產(chǎn)品中具有完美的零檢測(cè)率。

在二進(jìn)制文件中包含混淆代碼，這確實(shí)有助于規(guī)避檢測(cè)。然而，進(jìn)一步的調(diào)查還顯示，該惡意軟件是使用數(shù)百個(gè)合法的開源組件構(gòu)建的，并以與合法應(yīng)用程序相同的方式進(jìn)行的惡意活動(dòng)，例如獲得管理權(quán)限。

雖然混淆惡意軟件、運(yùn)行時(shí)打包程序、虛擬機(jī)規(guī)避或在圖像中隱藏惡意有效負(fù)載是高級(jí)威脅所使用的已知規(guī)避技術(shù)，但它們的真正威力來自于繞過安全產(chǎn)品或在它們的雷達(dá)下運(yùn)行。

當(dāng)有效載荷能夠在某種程度上與可信軟件組件、協(xié)議、通道、服務(wù)或平臺(tái)相結(jié)合時(shí)，這就成為了可能。

用不常見的編程語言編寫惡意軟件

根據(jù)BlackBerry Research and Intelligence團(tuán)隊(duì)的最新報(bào)告，惡意軟件作者正在更多地使用不常見的編程語言，以部分更好地逃避檢測(cè)。使用的主要語言有Go、D、Nim和Rust。

這些語言以幾種不同的方式增加了混淆。首先，用新語言重寫惡意軟件意味著基于簽名的檢測(cè)工具將不再標(biāo)記它(至少是在創(chuàng)建新簽名之前)。其次，黑莓研究人員還表示，這些語言本身也起到了混淆層的作用。例如，用于解碼、加載和部署其他常見惡意軟件的第一階段惡意軟件是用一種不常見的語言編寫的，這將有助于逃避端點(diǎn)檢測(cè)。

黑莓研究人員指出，目前很少有針對(duì)用這些語言編寫的惡意軟件的定制混淆。其中最常見的一種是Gobfuscate，用于使用Go編碼的惡意軟件。它能夠處理包、函數(shù)、類型和方法名，以及全局變量和字符串。