标签: 终端安全防护

介绍--Chae$4 随着网络威胁的世界以惊人的速度发展，保持领先于这些数字危险对企业来说变得越来越关键。2023年1月， Morphisec 发现了一个令人震惊的趋势，许多客户，主要是物流和金融部门的客户，受到了 Chaes 恶意软件的新的高级变体的攻击。据观察，从2023年4月到6月，威胁的复杂程度在多次迭代中增加。 由于 Morphisec 的尖端AMTD(自动移动目标防御)技术，这些攻击中的许多都在造成重大破坏之前被阻拦。 这不是普通的 Chaes 变种。它经历了重大的改革：从完全用Python语言重写，这导致传统防御系统的检测率较低，到全面重新设计和增强的通信协议。此外，它 现在还拥有一套 新模块，进一步增强了它的恶意能力。 该恶意软件的目标不是随机的。它特别关注知名平台和银行的客户，如Mercado Libre、Mercado Pago、WhatsApp Web、 Itau Bank、Caixa Bank，甚至MetaMask.。此外，许多内容管理(CMS)服务也未能幸免，包括WordPress、Joomla、Drupal和Magento。值得注意的是， Chaes 恶意软件在网络安全领域并不是全新的。它的首次亮相可以追溯到2020年11月，当时Cybereason的研究人员强调了它的业务主要针对拉丁美洲的电子商务客户。 新的 Chaes 变体已被 Morphisec 命名为“Chae$4”(Chae$4)，因为它是第四个主要变体，而且核心模块中的调试打印显示“Chae$4”。 Chaes 历史记录和概述 2020年11月，Cybereason发布了对 Chaes 恶意软件的初步研究。该报告强调，该恶意软件至少自2020年年中以来一直活跃，主要针对拉丁美洲的电子商务客户，特别是巴西。 该恶意软件主要针对 MercadoLibre 用户，其特点是多阶段感染过程，能够窃取与 MercadoLibre 相关的敏感和财务数据，以及利用多种编程语言和 LOLbins 。 到2022年1月，Avast发表了一项随后的研究，表明 Chaes 的活动在2021年第四季度激增。Avast深入研究了该恶意软件的不同组件，揭示了其最新更新：完善的感染链、增强的与C2的通信、新集成的模块(他们称之为“扩展”)，以及关于每个感染阶段和模块的细粒度细节。 几周后，也就是2022年2月，这位威胁人员发布了对阿瓦斯特研究的回应，如下图所示： 事实证明，确定威胁参与者的性质--无论是个人还是团体--是难以捉摸的。红色的高亮部分暗示了小组的可能性，而绿色的高亮部分反映了个人的注释。鉴于这位人员身份的模棱两可，因此为这位威胁性人员选择了名为《路西法》的片名。这一决定 受到博客名称 和标识符“Lucifer6”的影响，该标识符用于加密与C2服务器的通信。 总结了一系列的发展，2022年12月标志着另一个关键时刻，暴风雨的研究小组 SideChannel 公布了进一步的见解，介绍了该恶意软件采用WMI来收集系统数据。 正在升级到版本4 这些先前提到的研究出版物涵盖了CHAES恶意软件的版本1-3。 Chaes 的这一最新版本推出了重大的转换和增强，并被 Morphisec 称为版本4。 重大变化包括： -改进的代码体系结构和改进的模块化。 -增加了加密层和增强的隐形功能。 -主要转移到经历解密和动态内存中执行的Python。 -用一种定制的方法来监控和拦截Chromium浏览器的活动，以取代Puppeteer。 -针对凭据窃取的扩展服务目录。 -采用 WebSockets 进行模块与C2服务器之间的主要通信。 -动态解析C2服务器地址的DGA实现。 鉴于本评论 内容的深度和广度，分析的结构旨在迎合广泛的读者，从SOC和CISO到检测工程师、研究人员和安全爱好者。 分析首先概述了感染链， 这保持 了相对一致，然后对恶意软件的每个模块进行了简洁的总 结。后续各节将更深入地探讨每个阶段/模块的具体内容。 由于恶意软件在各个阶段/模块中使用重复机制，因此我们指定了一个标题为“附加组件”的部分。在这里，读者可以找到整个帖子中引用的每种机制的复杂细节。 这种结构化的方法确保读者可以快速收集恶意软件的概述，或者沉浸在其复杂的组件中。 注：由于以前的分析和研究笔记(前面提到)在交付方法上没有重大更新，本次审查将集中在最近的发展。对于那些不熟悉感染方法的人，请参考参考研究。 感染是通过执行恶意的、几乎未被检测到的MSI安装程序开始的，该安装程序通常伪装成Java JDE安装程序或防病毒软件安装程序。执行恶意安装程序将导致恶意软件在 %APPDATA%/ 文件夹下的专用硬编码文件夹中部署和下载所需文件。 该文件夹包含Python库、具有不同名称的Python可执行文件、加密文件和稍后将使用的Python脚本。接下来，恶意软件解包核心模块，我们将其称为 ChaesCore ，该模块负责使用计划任务设置持久性并迁移到目标进程。在初始化阶段之后， ChaesCore 开始其恶意活动并与C2地址通信，以便下载外部模块并将其加载到受感染的系统中。 在整个调查过程中，确定了七个不同的模块，它们可以在不更改核心功能的情况下独立更新： 1.init模块-攻击者发送的第一个模块用作身份识别/新受害者注册。它收集有关受感染系统的大量数据。 2.在线模块-将在线消息发送回攻击者。就像一个信标模块，监控哪些受害者仍在活动。 3.Chronod模块-一个凭证窃取和剪贴器。此模块负责拦截浏览器活动以窃取用户的信息，如登录过程中发送的凭据、与银行网站通信时的银行信息，并具有尝试窃取BTC、ETH和PIX传输的剪辑功能。 4.Appita模块-在结构和用途上与 Chronod 模块非常相似，但看起来它专门针对 Itau 银行的应用程序(itauplicativo.exe)。 5.Chrautos模块--在 Chronod 和 Appita 模块的基础上改进的模块。它提供了更好的代码体系结构，能够轻松扩展模块完成的目标和任务。目前的版本侧重于银行和WhatsApp数据，但仍在开发中。 6.窃取模块-负责从基于Chromium的浏览器窃取数据。被盗数据包括登录数据、信用卡、 Cookie和自动填充。 7.文件上传模块-能够从受感染的系统搜索文件并将文件上传到C2服务器。在当前版本中，该模块只上传与 MetaMASK 的Chrome扩展相关的数据。 大多数模块在以前的版本中已经以某种形式存在，但这个版本为那些具有改进的功能、不同的代码库和实现其目标的独特技术的模块提供了重新实现。 另一件需要注意的事情是威胁参与者对加密货币的浓厚兴趣，这由使用 剪贴器 窃取BTC和ETH以及窃取MetaMask凭据和文件的文件上传模块来表示。 了解虹科 网络安全更多技术干货/应用案例，欢迎前往【虹科网络安全】官方网站： https://haocst.com/ 联系我们 扫码加入虹科网络安全交流群或微信公众号，及时获取更多技术干货/应用案例。

在当今的威胁环境中，多层纵深防御是安全团队获得安心的唯一方法之一。为什么?有两个原因: 1、攻击面越来越大 随着DevOps等远程工作和数字化转型项目的兴起，攻击面已经超出了大多数安全团队的定义能力。创建一个完全安全的网络边界是不可能的。正如Twilio漏洞所表明的，威胁参与者甚至可以绕过高级的 双因素 认证(2FA)协议。 2、威胁变得越来越隐晦 进入网络环境的威胁越来越难以发现，并且离初始访问点越来越远。 Eurecom 大学(FR)的一项研究回顾了超过17万个真实的恶意软件样本，显示使用规避和内存中技术能够绕过NGAV/EPP/EDRs提供的 保护占 40%以上。在至少25%的网络攻击中，横向移动是一个特征。 有 针对性和规避 性威胁 的增加意味着任何级别的单一 安全层 (从端点到关键服务器)都无法依靠自身来阻止攻击。相反，就像层层身份检查和保镖保护VIP一样，安全团队需要在关键资产和潜在威胁之间设置多层安全障碍。 纵深防御不仅仅是部署多种安全产品。在这个过程中，组织可以强化他们的人员、流程和技术，以产生高度弹性的安全结果。 虹科推荐 的构建纵深防御层的最佳实践 1、 从人开始 ——根据Verizon最近的数据泄露报告，去年 82%的安全漏洞 涉及人为错误。连接网络的个体通过社会工程、犯错误或故意允许恶意访问，使攻击成为可能。 这一统计数据显示了在任何纵深防御策略中强化“人员层”的重要性。但是，尽管许多组织每年都对个人进行培训，以证明他们符合保险要求，但研究证明，只有少数人这样做的频率足以改变他们的安全态势。最好的情况是，人力资源是最后一道防线。 需要更多的培训。然而，安全不应该依赖于遵守政策。确保适当的控制(如多因素身份验证(MFA))作为备份是至关重要的。 2、要认识到 扁平化的网络架构≠安全 ——破坏性的网络攻击不仅仅是熟练的威胁行为者或先进技术的结果。通常，受害者自己的网络设计是网络罪犯最大的资产。 平面网络环境的默认策略是允许所有设备和应用程序共享信息。尽管这使得网络易于管理，但其安全方面的缺点是，一旦平面网络中单个网络连接的资产被破坏，威胁参与者就相对容易建立横向移动到网络的其他部分。 为了阻止这种情况发生，安全团队应该使用某种形式的网络分段和子网划分来保护脆弱的网络资产，并减缓横向移动。 网络分段还使安全团队能够在不破坏整个组织的情况下响应和隔离威胁。 3、 在每一层使用最佳技术 ——超过70%的安全专业人员更喜欢最佳解决方案，而不是基于平台的控制，这是有充分理由的。符合供应商营销策略的安全程序并不总能满足客户的实际需求。 针对高级攻击，统一适用于所有工具或工具 集可能 会留下空白，并造成与业务需求不兼容的管理负担。 更好的选择是根据需要为每个环境和业务情况定制深度防御工具 栈 。安全团队必须查看用户和系统如何在这些层中运行，并选择最佳的解决方案。 为了阻止已知的威胁，终端和服务器必须至少有一个有效的防病毒(AV)。理想情况下，还将提供端点保护(EPP)和端点检测与响应(EDR)。还需要有面向内部的解决方案，如安全信息和事件管理(SIEM)或安全编排、自动化和响应(SOAR)平台，该平台可以集中安全日志，并使安全团队能够识别、调查和减轻风险。 在网络边界周围，防火墙是必不可少的，面向internet的资产需要由Web应用程序防火墙(Web Application firewall, WAFs)来保护。 4、 确保安全解决方案和应用程序得到适当更新和配置 ——根据2023年Verizon数据泄露调查报告，未修补的漏洞和错误配置占了超过40%的事件。仅使用最佳安全控制是不够的。这些解决方案、组织的业务应用程序和操作系统必须不断地打补丁和正确地配置。 例如，在2021年，Microsoft Exchange上的 ProxyLogon 漏洞影响了全球数千个组织。虽然微软发布了纠正措施的说明，但 ProxyShellMiner 等变体目前仍然活跃。 部署移动目标防御（ A MTD）防御躲避和内存网络攻击 除了这些最佳实践之外，现实情况是，即使完全部署安全人工智能和自动化，识别和遏制数据泄露的平均时间是249天。 因此，保护终端、服务器和工作负载免受能够躲避基于检测技术提供的保护机制的攻击是很重要的。 自动移动目标防御(Automated Moving Target Defense, AMTD)是一种重要的深度防御层，因为它在运行时将威胁阻止在脆弱且通常不受保护的空间设备内存中。 像进程 注入和PowerShell妥协这样的代码和内存利用技术是MITRE十大最常见的ATT&CK技术之一。AMTD通过改变内存，使其基本上不受威胁，从而降低了这种风险。这意味着内存资产和漏洞(如哈希密码和bug)对威胁参与者来说是不可访问的。 作为深度防御安全态势中的一层，AMTD阻止了绕过其他级别控制的零日、 无文件 和内存攻击。 联系我们 扫码加入虹科网络安全交流群或微信公众号，及时获取更多技术干货/应用案例。

随着 ChatGPT 、 Copilot 、 Bard 等人工智能 (AI) 工具的复杂性持续增长，它们给安全防御者带来了更大的风险，并给采用 AI 驱动的攻击技术的攻击者带来了更大的回报。 作为一名安全专业人员，您必须维护一个由多个操作系统 (OS) 组成的多样化的生态系统，以便在采用新的、现代的 B2B 和 B2C 超大规模、超高速、数据丰富的接口。您寻找并依赖最新和最好的安全产品来帮助您抵御攻击者。 然而，当与复杂的人工智能驱动的技术对抗时，现有的安全产品和实践缺少一个关键的防御元素：一种能够击败下一代机器驱动的、启用人工智能的对手的技术，这些对手擅长机器学习，以惊人的速度和规模创造新的自适应漏洞。 随着人们对生成 AI 系统及其违反检测和预防技术的能力的关注，一个明确的模式开始出现。 信息安全专业人员关心的是——生成式人工智能可以被利用来： u 增加攻击面：创建传统安全工具不易检测到的新攻击载体。 u 逃避检测：生成专门用于逃避安全工具检测的恶意代码。 u 增加复杂性：创建更难防御的日益复杂的攻击或技术变体。 u 更快的速度和更大的规模：以安全团队难以跟上的规模和速度发动攻击。 防御者的视角 人工智能 (AI) 及其机器学习 (ML) 和深度学习 (DL) 子集是现代端点保护平台 (EPP) 和端点检测与响应 (EDR) 产品不可或缺的一部分。 这些技术通过学习大量已知的恶意和良性行为或代码模式的数据来工作。这种学习使他们能够创建可以预测和识别以前未见过的威胁的模型。 具体地说，人工智能可用于： u 检测异常：识别终端行为中的异常，如不寻常的文件访问模式或系统设置的更改。这些异常可能表明有恶意活动，即使安全产品不知道具体的行为。 u 行为分类：将终端行为分为恶意行为和良性行为。这使得安全产品可以将注意力集中在最有可能的威胁上。 u 判断：判断特定行为或代码模式是恶意的还是良性的。这使安全产品可以采取措施减轻威胁，例如阻止访问文件或终止进程。 人工智能的使用现在正在成为事实上的标准，通过识别事件的背景和理解终端的行为来帮助减少误报，以消除警报，并使用以前发送的大量遥测数据追溯纠正错误分类的信息。 攻击者的视角 随着人工智能的发展和变得越来越复杂，攻击者将找到新的方法来利用这些技术为自己带来好处，并加速开发能够绕过基于人工智能的终端保护解决方案的威胁。 攻击者可以利用人工智能攻击目标的方法包括： u 自动化漏洞扫描：攻击者可以使用人工智能自动扫描大量代码和系统中的漏洞。使用机器学习算法，攻击者可以识别模式代码本身、相关配置甚至是独立的服务，以发现潜在的漏洞，并据此确定攻击的优先级。它们训练以寻找绕过检测的方法。 u 对抗性机器学习：对抗性机器学习是一种使用人工智能在其他人工智能系统中寻找弱点的技术。通过利用基于人工智能的安全系统中使用的算法中的漏洞，攻击者可以绕过这些防御措施并获得敏感数据的访问权。 u 漏洞生成：攻击者可以利用人工智能生成绕过传统安全措施的新漏洞。通过分析目标系统和识别漏洞， AI 算法可以生成新的代码，这些代码可以利用这些弱点并获得对系统的访问权限。 u 社会工程：攻击者可以使用人工智能生成有说服力的钓鱼电子邮件或社交媒体消息，诱骗受害者泄露敏感信息或下载恶意软件。利用自然语言处理和其他人工智能技术，攻击者可以使这些消息高度个性化，更具说服力。 u 密码破解：攻击者可以使用人工智能使用暴力破解密码。使用机器学习算法从之前的尝试中学习，攻击者可以在更短的时间内增加他们破解密码的机会。 我们预计攻击者将积极使用人工智能来自动化漏洞扫描，生成引人注目的钓鱼消息，在基于人工智能的安全系统中找到弱点，生成新的漏洞并破解密码。随着人工智能和机器学习的发展，组织必须保持警惕，并跟上基于人工智能的攻击的最新发展，以保护自己免受这些威胁。 使用基于人工智能系统的组织必须质疑其基础数据集、训练集和实现此学习过程的机器的鲁棒性和安全性，并保护系统免受未经授权和可能武器化的恶意代码。发现的弱点，或注入到基于人工智能的安全解决方案的模型中，可能导致它们的保护被全局绕过。 Morphisec 之前曾观察到由高技能和资源丰富的威胁行为者发起的复杂攻击，如国家行为者、有组织的犯罪集团或先进的黑客集团。基于人工智能的技术的进步，通过自动化多态和规避恶意软件的创造，可以降低创建复杂威胁的进入门槛。 这不仅仅是对未来的担忧 利用人工智能并不需要绕过今天的终端安全解决方案。逃避 EDR 和 EPP 检测的策略和技术有很好的记录，特别是在内存操作和无文件恶意软件中。根据 Picus Security 的数据，在恶意软件中使用的顶级技术中，逃避和内存技术占了 30% 以上。 另一个重要的问题是 EPP 和 EDR 的反应性，因为它们的检测通常是在违反之后进行的，并且补救不是完全自动化的。根据 2023 年 IBM 数据泄露报告，检测和控制入侵的平均时间增加到 322 天。安全人工智能和自动化的广泛使用将这一时间缩短到 214 天，这在攻击者建立持久性并能够潜在地窃取有价值的信息之后仍然很长时间。 是时候考虑一种不同的范式 在无休止的军备竞赛中，攻击者将利用人工智能来产生能够绕过基于人工智能的保护解决方案的威胁。然而，要使所有攻击成功，它们必须破坏目标系统上的资源。 如果目标资源不存在，或者不断被改变 ( 移动 ) ，那么目标系统的机会就会降低一个数量级。 举个例子，假设一名训练有素且极其聪明的狙击手试图攻破目标。如果目标隐藏起来，或者不断移动，狙击手的成功机会就会降低，甚至会因为在错误的位置反复射击而危及狙击手。 利用 AMTD 阻止生成性 AI 攻击 进入自动移动目标防御 (AMTD) 系统，旨在通过变形——随机化系统资源——移动目标来防止复杂的攻击。 Morphisec 的预防优先安全 ( 由 AMTD 提供支持 ) 使用获得专利的零信任执行技术来主动阻止规避攻击。当应用程序加载内存空间时，该技术会变形并隐藏进程结构和其他系统资源，部署轻量级骨架陷阱来欺骗攻击者。无法访问原始资源，恶意代码失败，从而停止并记录具有完整取证详细信息的攻击。 这种预防优先的方法可以冷酷地阻止攻击，即使它们绕过了现有的基于人工智能的端点保护工具。因此， AMTD 系统提供了针对复杂攻击的额外一层防御层。由于防止了攻击，信息安全团队获得了关键的时间来调查威胁，同时知道他们的系统是安全的。 AMTD 的确定性还意味着该解决方案会生成高保真警报，这有助于确定安全团队工作的优先顺序，从而减少警报疲劳。 Morphisec 的 AMTD 技术可保护 5,000 个组织中的 900 多万个终端，每天可防止绕过现有终端安全解决方案的数以万计的规避攻击和内存攻击，包括零日攻击、勒索软件、供应链攻击等。 Morphisec 阻止的攻击通常是未知的，该公司的威胁实验室团队首先在野外观察到了这些攻击。 Morphisec 最近阻止的规避威胁的例子： -GuLoader ——一种针对美国法律和投资公司的先进变体。 -InvalidPrinter ——一个高度隐蔽的加载器，在 Morphisec 披露的时候对病毒总数没有检测。 -SYS01 Stealer ——瞄准政府和关键基础设施。 -ProxyShellMiner—— 针对 MS-Exchange 中的 ProxyShell 漏洞的一个新变体。 -Babuk 勒索软件 —— 被 Morphisec 阻止的泄漏的 Babuk 勒索软件的一个新的未知变体，但观察到需要两周以上的主要 EPPs 和 EDRs 来调整他们的检测逻辑。 - 遗留系统 —— 为 windows 和 Linux 遗留操作系统提供强大的保护。 Morphisec 阻止了数百个针对 windows 7 、 8 、 2008r2 、 2012 和遗留 Linux 发行版的恶意软件家族。 AMTD 的威力已经证明，它与多波终端保护解决方案一起证明了其有效性，攻击者已开发出绕过它们的策略。从基于签名的 AV 、 ML-Powered NextGen AVs(NGAV) 到目前的 EDR 和 XDR 。 AMTD 是终端保护的自然演变，提供真正的安全保护，免受人工智能攻击。 联系我们 Tel: 13533491614 邮箱：network@hcaco.com 官网：haocst.com

使用前Gartner连续第二年将移动目标防御（MTD）作为特色技术，并将Morphisec作为该技术的样本供应商，在其报告《新兴技术影响雷达：安全》中。作者将MTD定义为“…一种技术趋势，其中动态或静态排列变形、转换或混淆被用来阻止攻击者利用技术。 Morphisec革命性的专利MTD技术使用系统多态性在运行时创建随机，不可预测的内存环境。这使得攻击者无法找到操作系统和应用程序目标。 01 MTD 适合需要更高级解决方案的用户 Gartner预测，“MTD预计将达到早期多数…随着技术买家和客户转向更先进的解决方案，以应对不断增长的网络攻击范围和数量。最新的网络攻击往往针对软件供应链、移动和下一代物联网解决方案。 报告发现“…激进的技术早期采用者现在正在投资MTD，试图减少其应用程序代码的可利用性。Gartner的发现验证了Morphisec的使命：使用移动目标防御来主动防止最复杂和最具破坏性的网络攻击，而无需检测到它们或需要事先了解它们。Morphisec的MTD在削减误报警报的同时，也需要分析师对其进行调查。MTD 采用超轻量级代理，不会降低性能，易于部署，易于技术堆栈集成，无需维护或更新，从而大大降低了总拥有成本。 综上所述，Morphisec的MTD并不能防御针对光盘或操作系统的攻击，因为每个组织都需要下一代防病毒（NGAV），端点保护平台（EPP）或端点检测和响应（EDR / XDR）。相反，MTD 填补了这些解决方案的内存安全漏洞，增强了这些解决方案的功能。它可以防御最复杂和最具破坏性的攻击，这些攻击正是为了逃避 NGAV、EPP 和 EDR/XDR 而构建的，这些攻击在运行时以内存为目标。 02 移动目标防御的工作原理 移动目标防御在运行时随机变形内存环境，因此黑客无法找到目标。他们能找到的只是诱饵，可以捕获他们的信息进行取证分析。当攻击找不到它要查找的内容时，它就会被抵消。通过隐藏关键资产，美特达成功地防止了损失，而不是减轻了损害。 MTD 可抵御零日攻击、内存中/无文件攻击、供应链攻击以及其他即使是最先进的 EDR 工具也无法捕获的欺骗性和复杂威胁。这是因为 MTD 不像 NGAV 工具那样依赖攻击特征来识别威胁。或者需要检测恶意意图以消除威胁，就像 EDR 所做的那样。它只是平等地阻止未知和已知的威胁。 03 为什么移动目标防御很重要 几乎所有的网络攻击都依赖于精确的攻击计划。破坏这些计划是一种强大的防御策略。尽管网络安全投资不断增加，但今天的组织可以说比以往任何时候都更容易受到攻击，尤其是在 COVID 加速迁移到云的情况下，这迅速扩大了攻击面。他们正陷入安全解决方案的重压以及部署和维护需求的泥潭。随着网络漏洞继续占据即使是防御最好的组织的月度头条新闻，很明显需要对网络安全工具和技术进行新的思考。美特达为两者提供了一种全新的方法。 Gartner的报告确定了推动安全市场创新的最具影响力的新兴技术。它引用移动目标防御作为提高内存、网络、应用程序和操作系统安全性的关键技术。 04 MTD对市场的影响 Gartner称MTD“…。对从以开发人员为中心的应用程序安全测试到面向运行时的漏洞管理解决方案的大量安全市场领域具有潜在的重大和广泛的影响。“。 应用程序、网络、内存和操作系统受到保护的变革性方式将对这些市场产生重大影响，从而提供更高的安全性和抵御攻击的恢复能力。 如今，领先组织的安全团队知道，他们不能指望在防御边界看到或阻止每一次攻击。这意味着他们需要周界内的安全层来保护敏感资产，如应用程序内存，这些资产通常会受到攻击。这样，即使攻击在一个安全级别成功，它最终也会失败，这要归功于移动目标防御提供的无与伦比的纵深防御。 05 MORPHISEC-在网络安全的前沿 作为移动目标防御领域的领导者，Morphisec的产品已经证明了这项技术的威力。超过5,000家企业信任Morphisec的超轻量级MTD技术来保护他们最关键的资产，从而保护Windows和Linux设备上的近900万个终端和服务器。事实上，Morphisec每天阻止10,000次隐蔽和高级攻击-NGAV、EPP和EDR解决方案未能检测或阻止的攻击。有关Morphisec有效性的证据，只需看看Morphisec的客户成功案例、Gartner Peer Insights评论和PeerSpot评论即可。Morphisec阻止了其他解决方案无法阻止的攻击，包括但不限于： · 勒索软件：Conti、Darkside、Lockbit; · 后门病毒：Cobalt Strike和其他内存中的信标; · 供应链攻击：CCleaner、华硕、Kaseya有效负载、iTunes; · 恶意软件下载程序：Emotet、QBot、Qakbot、Trickbot、IceDid。

​ 尽管在网络安全方面的投资不断增加，但 网络犯罪仍在激增 。每天的攻击都会使医疗保健提供瘫痪，并扰乱金融/保险服务公司、制造公司、律师事务所和软件公司，以至于有关闭的风险。这在很大程度上是因为攻击一直在变化，而防御没有变化。如今的恶意软件越来越多地在内存中执行运行时攻击。 根据微软的数据，微软产品中70%的漏洞是 内存安全问题 。PurpleSec发现，2022年， 内存崩溃是最常见的零日攻击类型 ，占攻击的67.55%。对于依赖基于检测的解决方案来应对这些类型的攻击的防御者来说，这是一个大问题。 不久前，几乎所有的恶意软件都依赖于可执行文件。威胁参与者在受害者环境中的磁盘上安装了恶意软件。该恶意软件将通过函数调用、系统事件或消息与受感染的计算机交互或与命令和控制(C2)服务器通信。 ​ 编辑 传统网络安全在一定程度上运作良好 但是，无论是在服务器上还是在受攻击的终端上，该恶意软件都会留下其存在的证据。防御者可以依靠端点保护平台(EPP)、端点检测和响应(EDR/XDR)和防病毒(AV)等工具来发现恶意软件部署的迹象。发现这些攻击模式和特征是网络安全技术演变的目的——在威胁造成真正破坏之前检测和隔离威胁。 但随着攻击链现在进入内存，它们在要检测的特征或要分析的行为模式方面提供的东西很少。传统的恶意软件攻击并没有消失。只是更多的威胁在运行时以设备内存为目标，而传统的防御者对此的可见性有限。 内存中攻击可以安装有关联的文件，也可以没有关联的文件，并在最终用户启动和关闭应用程序之间的空间中工作。像Emotet、Jupyter、Cobalt Strike和供应链攻击这样的运行时攻击可以在受害者的环境中移动。 ​ 编辑 这些威胁通常不会在设备磁盘上留下可识别的印记。这些威胁的证据最终可能会在基于签名的解决方案上显示为警报。这包括安全信息和事件管理(SIEM)或安全协调、自动化和响应(SOAR)解决方案。但到那时，后卫们通常已经来不及做任何事情了。 隐蔽而强大的应用程序运行时攻击为勒索软件部署和数据外泄奠定了基础。 内存中的威胁无处不在 作为无文件恶意软件的一项功能，完整的内存中攻击链在2010年代中期开始出现。臭名昭著的 Angler漏洞工具包 以其独特的混淆而闻名，它授权网络犯罪分子每月收取费用来利用网络浏览器漏洞。 仅在2015年，网络犯罪分子就利用Angler从受害者那里窃取和勒索了 3400万美元 。 近年来，在内存方面的泄露激增。威胁参与者使用Cobalt Strike等工具从设备内存恶意加载通信信标。Cobalt Strike是一种合法的五层攻击解决方案。2019至2020年间，使用Cobalt Strike的网络攻击 增加了161% 。它通常被Conti使用，Conti是目前运营中最成功的勒索软件集团，在2021年获得了 1.8亿美元的收入 。 ​ 编辑 为了逃避传统的以签名和行为为重点的安全解决方案，威胁参与者现在创建针对运行时内存中的恶意软件，并劫持合法进程。Picus实验室的2021年红色报告将20多万个恶意软件文件映射到MITRE ATT&CK框架。 “他们发现，去年最流行的五种攻击方式中，有三种是在内存中发生的。” 内存泄露现在是攻击链的典型特征，就像2021年爱尔兰国家医疗服务体系被入侵之前那样。 无法在运行时扫描设备内存 在应用程序运行时期间，设备内存中发生的情况对防御者来说大多是不可见的。若要了解原因，请考虑解决方案如何在有人使用应用程序时尝试扫描应用程序。 解决方案必须 1） 在应用程序的生命周期内多次扫描设备内存，同时 2） 侦听正确的触发操作，以及 3） 查找恶意模式以捕获正在进行的攻击。做这三件事的最大障碍是规模。在典型应用程序的运行时环境中，可能有 4GB 的虚拟内存。不可能足够频繁地扫描如此大量的数据，至少不会减慢应用程序的速度，以至于无法使用。因此，内存扫描程序只能查看特定的内存区域、特定的时间线触发器和非常具体的参数——所有这些都假设内存状态是稳定和一致的。 ​ 编辑 在范围如此有限的情况下，在最好的情况下，专注于内存扫描的解决方案可能会占用3%到4%的应用程序内存。但威胁越来越多地使用多态来混淆他们的存在，甚至在内存中也是如此。这意味着在如此小的设备内存样本中捕获恶意活动将是奇迹。使这一问题雪上加霜的是，攻击现在绕过或篡改了大多数解决方案用来发现正在进行的攻击的挂钩。 毫不奇怪，远程访问特洛伊木马程序(RAT)、信息窃取程序和加载程序现在使用应用程序内存来隐藏更长时间。攻击者在网络中停留的平均时间约为11天。对于老鼠和信息窃取等高级威胁，这个数字更接近45天。 Windows和Linux应用程序都是目标 在内存中，泄露不是一种单一类型的威胁。相反，这是导致广泛后果的攻击链的一个特征。例如，勒索软件不一定与内存运行时攻击相关联。但要部署勒索软件，威胁参与者通常必须渗透网络并提升权限。这些过程往往在运行时在内存中发生。 ​ 编辑 网络安全的标准方法是检测正在进行的攻击或被破坏后的攻击。这使每种类型的组织和 IT 资产都面临“隐形”运行时攻击的风险。Morphisec的事件响应团队已经看到内存中入侵被用于从金融机构的服务器到医院的端点以及介于两者之间的所有情况。 这些威胁不仅针对 Windows 服务器和设备上的内存进程，它们还针对Linux。去年，由威胁行为者创建的恶意版本的Cobalt Strike专门用于Linux服务器。在金融等行业，Linux被用来为虚拟化平台和网络服务器提供动力，攻击激增。攻击通常会破坏内存中的业务关键型服务器，从而为信息盗窃和数据加密奠定基础。 防止内存中运行时攻击 内存中运行时攻击是一些最先进的破坏性攻击。他们不仅针对企业，现在还把整个政府都扣为人质。因此，防御者必须专注于在运行时阻止对应用程序内存的威胁。只专注于检测是不好的;内存中和无文件的恶意软件实际上是不可见的。传统的安全技术在受保护资产周围竖起一堵墙，并依赖于检测恶意活动，无法阻止多态和动态威胁。 ​ 编辑 相反，应通过安全层确保有效的深度防御，从而首先防止内存受损。这就是移动目标防御（MTD）技术的作用。 MTD 通过在运行时变形（随机化）应用程序内存、API 和其他操作系统资源，创建即使是高级威胁也无法穿透的动态攻击面。 实际上，它不断地移动房屋的门，同时将假门留在原处，从而捕获恶意软件以进行取证分析。即使威胁行为者能找到通往建筑物的门，当他们返回时，它也不会在那里。因此，他们不能在同一端点上重用攻击，更不用说在其他端点上了。 MTD 技术不是在攻击发生后检测到攻击，而是先发制人地阻止攻击，而无需签名或可识别的行为。 而且它不会影响系统性能、生成误报警报或需要增加员工人数才能运行。 扩展阅读 Morphisec（摩菲斯） Morphisec（摩菲斯）作为移动目标防御的领导者，已经证明了这项技术的威力。他们已经在5000多家企业部署了MTD驱动的漏洞预防解决方案，每天保护800多万个端点和服务器免受许多最先进的攻击。事实上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索软件、恶意软件和无文件攻击，这些攻击是NGAV、EDR解决方案和端点保护平台（EPP）未能检测和/或阻止的。(例如，Morphisec客户的成功案例，Gartner同行洞察力评论和PeerSpot评论)在其他NGAV和EDR解决方案无法阻止的情况下，在第零日就被阻止的此类攻击的例子包括但不限于： 勒索软件(例如，Conti、Darkside、Lockbit) 后门程序(例如，Cobalt Strike、其他内存信标) 供应链(例如，CCleaner、华硕、Kaseya payloads、iTunes) 恶意软件下载程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid) Morphisec（摩菲斯）为 关键应用程序 ， windows和linux本地和云服务器提供解决方案 ，2MB大小快速部署。 免费的Guard Lite解决方案 ，将微软的Defener AV变成一个企业级的解决方案。让企业可以从单一地点控制所有终端。请联系我们免费获取！ ​