實例解析端點攻擊危害

■ 河北 劉興

編者按：當前企業如不采取分層級的安全策略，將極易被網絡攻擊所攻破。本文將對此探討來自一個端點攻擊的實例，以建議用戶加強分層安全防護措施。

隨著各種攻擊手段的不斷提升，網絡威脅變得越來越隱蔽和復雜。令人擔憂的是，當前大多數惡意軟件都能夠規避傳統的基于簽名的反惡意軟件的檢測，這使得惡意軟件可以輕松地傳播到用戶端點。由此帶來的結果是，缺乏分層分級安全防護手段的企業經常令自己處于不安全的狀態。此外，由于不安全的密碼策略，攻擊者在盜取用戶憑據或通過暴力手段破解憑據方面成功率也很高。

在過去的十年中，整個網絡安全威脅格局發生了重大變化，但有一件事情保持不變：端點正在受到網絡攻擊者的“圍獵”。表面上看，攻擊者在滲透入目標系統之后，學會了變得更有耐心，但實質上是在擴大對目標的攻擊范圍。

以Norsk Hydro 勒索軟件攻擊為例，最初的感染時間段往往是發生在攻擊者執行勒索軟件并鎖定目標計算機系統之前的三個月。不管是對于該勒索軟件還是用戶來說，這個時間足夠長。受害用戶完全可以在該勒索軟件對自己造成損害之前就檢測出漏洞。但是事實是，大多數企業根本就沒有完善的分層安全策略。

IBM 發布的2020 年數據泄露成本報告顯示，受害企業平均需要280 天才能發現并遏制攻擊行為。也就是說，攻擊者可能正潛伏在您的網絡上醞釀他們的計劃長達9個多月。

那么，攻擊者這段時間到底在做什么？它們是如何做到不被發現進入端點的？讓我們一步步來揭露。

攻擊者通常以網絡釣魚作為開始。無論您看到的哪種安全報告，它們大多都會指出類似的結果——大約90%的網絡攻擊都是從網絡釣魚開始的。成功實施的網絡釣魚包括幾種不同的方式，從破壞憑據到通過在計算機上運行遠程訪問木馬等。對于憑據攻擊，最近攻擊者有在利用眾所周知的云服務的可自定義子域來托管看似合法的身份驗證表單。

來自WatchGuard 威脅實驗室遇到的一個網絡釣魚事例表明，電子郵件中的鏈接是針對單個收件人定制的，攻擊者可以利用此鏈接將受害者的電子郵件地址填充為偽造表格，以提高信譽。該網絡釣魚甚至托管在Microsoft 所屬的域中，但其實是位于攻擊者控制下的子域（servicemanager00）中，因此有些沒有經驗的用戶可能會對此信以為真。

對于惡意軟件攻擊來說，攻擊者（或至少是成功的攻擊者）已基本上不再將惡意軟件以可執行文件的方式添加到電子郵件。因為現在很多用戶已認識到啟動未知的可執行電子郵件附件是一個很不安全的行為，并且大多數電子郵件服務和客戶端都具有一定的安全技術以阻止類似的攻擊。取而代之的是，攻擊者開始利用dropper文件，通常以宏文件格式的Office 文檔或JavaScript文件的形式存在。

如果收件人尚未更新其Microsoft Office 最新版本，或沒有一定的安全能力來避免使用啟用宏的文檔，那么對這種攻擊方式就要留意了。而通過利用JavaScript 是最近較為常見的一種攻擊方式，它利用Windows 的內置腳本引擎來發起攻擊。在任一種情況下，dropper 文件僅僅通過識別操作系統，然后調用主目錄即可獲取Secondary Payload。

Secondary Payload 通常是某種形式的遠程訪問木馬或僵尸網絡，其中包括一整套工具，如鍵盤記錄器、Shell 腳本注入器以及下載其他模塊的能力。此后很長時間內，感染通常不僅限于單個端點。攻擊者可以利用自己的立足點來感染受害者網絡上的其他目標，并試圖將它們“一網打盡”。

如果攻擊者設法獲得一組有效的憑據，并且用戶尚未部署多因素身份驗證，那么這將更加容易讓攻擊者得逞了。這會讓攻擊者從“大門口”大大方方地進入。然后，他們可以在遠程攻擊中使用受害者自己的服務（例如內置的Windows 腳本引擎和軟件部署服務）來執行惡意行為。此時攻擊者通常利用PowerShell 部署無文件惡意軟件，來加密和/或泄露用戶關鍵數據。

WatchGuard 威脅實驗室最近發現了一個攻擊行為。當被發現時，該威脅至少破壞了一個本地帳戶和一個具有管理權限的域帳戶，攻擊者已在受害者的網絡上存在了一段時間。安全團隊尚無法確定攻擊者是如何獲得證書的，或者它們在網絡中存在了多長時間。但是一旦開啟了安全檢測服務，指示燈就會立即亮起，以識別漏洞。

在這次攻擊中，攻擊者使用了Visual Basic 腳本和兩個流行的PowerShell 工具包（PowerSploit 和Cobalt Strike）的組合，以繪制受害者的網絡并啟動惡意軟件。安全團隊觀察到的一種行為來自Cobalt Strike 的外殼代碼解碼器，它使攻擊者能夠下載惡意命令，并將其加載到內存中，然后從那里直接執行它們，而代碼不會觸及受害者的硬盤。而傳統端點反惡意軟件引擎通常是使用依靠掃描文件來識別威脅的，這使得傳統檢測方式無法及時檢測出這些無文件惡意軟件攻擊。

在該用戶網絡的其他地方，安全團隊發現攻擊者使用了內置的Windows 工具PsExec 啟動了具有系統級特權的遠程訪問木馬，這是由于域管理員憑據的泄露而發現的。該團隊還確定了攻擊者試圖使用基于命令行的云存儲管理工具將敏感數據泄露到DropBox 帳戶。

幸運的是，該用戶快速識別并清除了惡意軟件。但是，如果受害者沒有更改被盜的憑據，那么攻擊者可能會隨時再次發起攻擊。如果受害者將高級端點檢測和響應（EDR）引擎作為其分層安全策略的一部分來進行部署，他們就可能會減少那些因被盜憑據所造成的損害。

攻擊者當在實施無差別的攻擊時，哪怕是小型企業也無法幸免于難。如今僅僅依靠單層保護已無法再確保企業網絡安全。無論企業的規模大小如何，采用分層安全策略來檢測并阻止端點攻擊是至關重要的。這意味著包括從邊緣到端點的保護，以及對用戶的安全培訓等。而且，不要忘記實施多因素身份驗證（MFA），這也是阻斷攻擊的重要手段。