标签: 终端入侵防御

导语：在 2023 年 Gartner 终端安全发展规律周期中，自动移动目标防御（ AMTD ）崭露头角，虹科 Morphisec 被誉为 AMTD 领域的样本供应商。该周期呈现出终端安全领域的最新创新，旨在帮助安全领导者更好地规划、采纳和实施新技术。 AMTD 技术的预防性解决方案标志着网络安全迈出了新的一步，它以在攻击开始前预防和阻止攻击为主，不同于传统的检测和响应技术。 自动移动目标防御 (AMTD) 首次被囊括在 2023 年 Gartner Endpoint Security 的发展规律周期中， 作为一项正在崛起的技术 。虹科 Morphisec 被评为 AMTD 类别中的样本供应商。这一发展规律周期展示了终端安全领域最相关的创新，以帮助安全领导者规划、采用和实施新兴技术。终端安全创新 侧重于更快的自动检测和预防，以及威胁的补救 ，为集成的扩展检测和响应 (XDR) 提供动力，以将来自终端、网络、网络、电子邮件和身份识别等解决方案的数据点和遥测关联起来。“。正如 Gartner 所指出的，“ 企业需要尖端的解决方案来保护终端免受攻击和入侵 。” 从历史上看，终端安全一直侧重于检测和响应技术。“ AMTD 从‘检测和响应’转变为‘主动欺骗和不可预测的变化’，使攻击者更难利用目标 IT 环境中的漏洞。”作为一种预防性解决方案，我们认为 AMTD 被纳入报告标志着该行业发生了结构性转变，并重新调整了终端安全最佳实践建议。 威胁正变得更加复杂和难以捉摸 从技术上讲，检测和响应始于反病毒软件的引入。反病毒程序对二进制文件和文件进行静态评估，以确定它们与已知恶意软件的一致性。 下一代反病毒 (NGAV) 软件和终端保护平台随后引入了动态分析，这需要在受限环境中执行文件，同时监控它们的行为。 终端安全方面的下一项创新引入了业界当前级别的 EDR 和扩展检测与响应 (XDR) 技术，并管理检测和响应 (MDR) 服务。这些产品使用行为分析来监控计算机上进程的执行，拦截关键功能，并进行调查以获得对行为的实时洞察。这种方法不仅仔细检查了二进制代码，还仔细检查了围绕执行的上下文因素。 如今， NGAV 、 EDR 和 XDR 为检测和响应基于特征码的已知威胁提供了基准安全。然而， 包括内存、无文件和勒索软件攻击在内的复杂且无法检测的威胁越来越多地绕过了 NGAV 和 EDR 等传统安全控制 ，现在占外部检测到的攻击的 30% 。 最近的例子包括一种针对金融和物流公司的新型 Chaes 恶意软件变种， GuLoader ，一种针对美国法律和投资公司的高级威胁，以及 InvalidPrint ，一种高度隐身的加载程序，在很长一段时间内对病毒 Total 的检测为零。 根据 Gartner 的报告：“ 在过度强调检测和响应策略未能防止入侵的背景下， AMTD 技术已经出现，能够在防御方面提供新的价值 。” AMTD 提供的混淆和多态功能可以抵御攻击 攻击者在侦察方面投入了大量资金，以发现漏洞和利用机会。他们使用无文件恶意软件和内存攻击等复杂技术来隐藏行为并逃避检测。 防守者甚至可以在进攻开始之前就应用类似的战术，使用 AMTD 技术来摧毁攻击。 AMTD 借鉴了成熟的军事战略， 即移动的目标比静止的目标更难“击中” 。在网络安全领域， AMTD 部署的战术可以在 IT 环境中设计跨越攻击面的变化或变化。这种基于多态的方法增加了潜在攻击者面临的不可预测性和复杂性。 在一场永无止境的网络军备竞赛中，攻击者将利用人工智能来生成能够绕过基于人工智能的保护解决方案的威胁。生成性人工智能进一步提高了攻击的复杂性、速度和规模，因此安全领导者必须寻求使用先于反应性和资源密集型检测和响应解决方案的主动和预防性技术来加强防御。正如 Gartner 所指出的，“ AMTD 帮助普通公司应对新出现的人工智能威胁。对于没有预算、人员或时间使用人工智能的组织来说， AMTD 是一种替代方案。” 安全团队的工作必须优先考虑高保真警报 由于复杂且无法检测的威胁向量 ( 如前面提到的无文件、内存和基于零日的技术 ) 绕过了传统的安全控制以及检测和响应技术，漏洞风险和警报随之而来。 未知和无法检测的攻击造成了越来越多的入侵， 超过 30% 的攻击被反病毒和 EDR 系统漏掉 。作为回应， IT 和安全团队将检测系统警报模型设置为最高设置，以标记异常行为。但这些设置对系统性能产生了负面影响，并产生了大量警报，目前约占通知总数的 40% 。 安全团队正被误报警报和耗时的警报调查淹没。全国草坪护理和治疗服务提供商 TruGreen 就是这种情况。 TruGreen 使用了多层安全模型，但他们不相信这能保护他们免受躲避攻击。它的性能开销很大，并且会产生大量的误报警报，每天都需要数小时的团队分析。该团队需要一个运营高效且对性能影响微乎其微的解决方案。 Morphisec 帮助 TruGreen 将误报减少了 95% ；首席安全架构师 Dale Slawinski 指出：“使用我们之前的安全平台，我们过去每天都会收到多达 50 个警报。现在 ( 有了 Morphisec AMTD) ，我们可能只有一两个。 Morphisec 的确定性机制创建高优先级和保真度警报，帮助安全团队确定补救工作的优先顺序。 Morphisec 通过冷阻止攻击并杀死恶意进程来防止攻击，从而为安全团队赢得时间。使用 Morphisec AMTD ，恶意进程不再处于活动状态；相比之下， EDR 技术可能只会在恶意进程仍处于活动状态时创建警报。 使用 AMTD 采取预防性的安全措施 将当前的终端安全解决方案与 AMTD 相结合是网络安全的下一步发展，是组织抵御不断变化的威胁格局的必备条件，尤其是在保护传统系统方面。随着新的集成层覆盖在旧的服务器和设备之上，攻击面扩大，与传统 IT 相关的风险也随之扩大。 在通常无法修补的遗留系统中，即使是众所周知的攻击载体，如 Internet Explorer 漏洞，仍在导致数据泄露。例如，在 2021 年， 18% 的攻击利用了 2013 年或更早披露的漏洞。随着 Windows7 和 Windows 8 从那时起退出支持，这个数字现在可能会高得多。 自动移动目标防御 (AMTD) 是对保护遗留系统的挑战的一种成熟的回应。它通过预防而不是应对威胁来克服终端安全的架构、技术和文化挑战。通过一个极其轻量级 (6MB) 的代理， Morphisec 的 AMTD 可以在系统使用时改变运行时内存。它通过移动系统资产并将诱饵留在原来的位置来减少遗留攻击面。 以下是考虑使用 AMTD 的 IT 或安全领导者的其他优势： ² 深度防御 - 所有组织都面临勒索软件、供应链零日和无文件攻击的风险增加；多态防御隐藏漏洞，使其免受多态攻击。 ² 运营效率 -AMTD 解决了遗留的安全问题，并与您已经使用的 NGAV 、 EDR 和 XDR 技术完全兼容，无需额外的员工或性能资源来运行它。 ² 减少开支 - 通过在攻击开始前停止攻击， AMTD 减少了误报警报，从而减少了对警报进行分类和分析的 IT 支持工单和人员需求。 据美国一家领先的对冲基金的 CISO 表示：“ Morphisec 提供了新型内存保护技术，维护成本低，管理费用少。在我们的技术堆栈中， Morphisec 需要的维护和维护最少，提供卓越的保护。“。 AMTD 技术标志着网络安全的下一步发展。与检测和响应技术不同，它专注于在攻击开始之前预防和阻止攻击。 了解虹科网络安全更多资讯，欢迎前往【虹科网络安全】官方网站： https://haocst.com/ 扫码加入虹科网络安全技术交流群或微信公众号，及时获取更多技术咨询/应用案例。

介绍--Chae$4 随着网络威胁的世界以惊人的速度发展，保持领先于这些数字危险对企业来说变得越来越关键。2023年1月， Morphisec 发现了一个令人震惊的趋势，许多客户，主要是物流和金融部门的客户，受到了 Chaes 恶意软件的新的高级变体的攻击。据观察，从2023年4月到6月，威胁的复杂程度在多次迭代中增加。 由于 Morphisec 的尖端AMTD(自动移动目标防御)技术，这些攻击中的许多都在造成重大破坏之前被阻拦。 这不是普通的 Chaes 变种。它经历了重大的改革：从完全用Python语言重写，这导致传统防御系统的检测率较低，到全面重新设计和增强的通信协议。此外，它 现在还拥有一套 新模块，进一步增强了它的恶意能力。 该恶意软件的目标不是随机的。它特别关注知名平台和银行的客户，如Mercado Libre、Mercado Pago、WhatsApp Web、 Itau Bank、Caixa Bank，甚至MetaMask.。此外，许多内容管理(CMS)服务也未能幸免，包括WordPress、Joomla、Drupal和Magento。值得注意的是， Chaes 恶意软件在网络安全领域并不是全新的。它的首次亮相可以追溯到2020年11月，当时Cybereason的研究人员强调了它的业务主要针对拉丁美洲的电子商务客户。 新的 Chaes 变体已被 Morphisec 命名为“Chae$4”(Chae$4)，因为它是第四个主要变体，而且核心模块中的调试打印显示“Chae$4”。 Chaes 历史记录和概述 2020年11月，Cybereason发布了对 Chaes 恶意软件的初步研究。该报告强调，该恶意软件至少自2020年年中以来一直活跃，主要针对拉丁美洲的电子商务客户，特别是巴西。 该恶意软件主要针对 MercadoLibre 用户，其特点是多阶段感染过程，能够窃取与 MercadoLibre 相关的敏感和财务数据，以及利用多种编程语言和 LOLbins 。 到2022年1月，Avast发表了一项随后的研究，表明 Chaes 的活动在2021年第四季度激增。Avast深入研究了该恶意软件的不同组件，揭示了其最新更新：完善的感染链、增强的与C2的通信、新集成的模块(他们称之为“扩展”)，以及关于每个感染阶段和模块的细粒度细节。 几周后，也就是2022年2月，这位威胁人员发布了对阿瓦斯特研究的回应，如下图所示： 事实证明，确定威胁参与者的性质--无论是个人还是团体--是难以捉摸的。红色的高亮部分暗示了小组的可能性，而绿色的高亮部分反映了个人的注释。鉴于这位人员身份的模棱两可，因此为这位威胁性人员选择了名为《路西法》的片名。这一决定 受到博客名称 和标识符“Lucifer6”的影响，该标识符用于加密与C2服务器的通信。 总结了一系列的发展，2022年12月标志着另一个关键时刻，暴风雨的研究小组 SideChannel 公布了进一步的见解，介绍了该恶意软件采用WMI来收集系统数据。 正在升级到版本4 这些先前提到的研究出版物涵盖了CHAES恶意软件的版本1-3。 Chaes 的这一最新版本推出了重大的转换和增强，并被 Morphisec 称为版本4。 重大变化包括： -改进的代码体系结构和改进的模块化。 -增加了加密层和增强的隐形功能。 -主要转移到经历解密和动态内存中执行的Python。 -用一种定制的方法来监控和拦截Chromium浏览器的活动，以取代Puppeteer。 -针对凭据窃取的扩展服务目录。 -采用 WebSockets 进行模块与C2服务器之间的主要通信。 -动态解析C2服务器地址的DGA实现。 鉴于本评论 内容的深度和广度，分析的结构旨在迎合广泛的读者，从SOC和CISO到检测工程师、研究人员和安全爱好者。 分析首先概述了感染链， 这保持 了相对一致，然后对恶意软件的每个模块进行了简洁的总 结。后续各节将更深入地探讨每个阶段/模块的具体内容。 由于恶意软件在各个阶段/模块中使用重复机制，因此我们指定了一个标题为“附加组件”的部分。在这里，读者可以找到整个帖子中引用的每种机制的复杂细节。 这种结构化的方法确保读者可以快速收集恶意软件的概述，或者沉浸在其复杂的组件中。 注：由于以前的分析和研究笔记(前面提到)在交付方法上没有重大更新，本次审查将集中在最近的发展。对于那些不熟悉感染方法的人，请参考参考研究。 感染是通过执行恶意的、几乎未被检测到的MSI安装程序开始的，该安装程序通常伪装成Java JDE安装程序或防病毒软件安装程序。执行恶意安装程序将导致恶意软件在 %APPDATA%/ 文件夹下的专用硬编码文件夹中部署和下载所需文件。 该文件夹包含Python库、具有不同名称的Python可执行文件、加密文件和稍后将使用的Python脚本。接下来，恶意软件解包核心模块，我们将其称为 ChaesCore ，该模块负责使用计划任务设置持久性并迁移到目标进程。在初始化阶段之后， ChaesCore 开始其恶意活动并与C2地址通信，以便下载外部模块并将其加载到受感染的系统中。 在整个调查过程中，确定了七个不同的模块，它们可以在不更改核心功能的情况下独立更新： 1.init模块-攻击者发送的第一个模块用作身份识别/新受害者注册。它收集有关受感染系统的大量数据。 2.在线模块-将在线消息发送回攻击者。就像一个信标模块，监控哪些受害者仍在活动。 3.Chronod模块-一个凭证窃取和剪贴器。此模块负责拦截浏览器活动以窃取用户的信息，如登录过程中发送的凭据、与银行网站通信时的银行信息，并具有尝试窃取BTC、ETH和PIX传输的剪辑功能。 4.Appita模块-在结构和用途上与 Chronod 模块非常相似，但看起来它专门针对 Itau 银行的应用程序(itauplicativo.exe)。 5.Chrautos模块--在 Chronod 和 Appita 模块的基础上改进的模块。它提供了更好的代码体系结构，能够轻松扩展模块完成的目标和任务。目前的版本侧重于银行和WhatsApp数据，但仍在开发中。 6.窃取模块-负责从基于Chromium的浏览器窃取数据。被盗数据包括登录数据、信用卡、 Cookie和自动填充。 7.文件上传模块-能够从受感染的系统搜索文件并将文件上传到C2服务器。在当前版本中，该模块只上传与 MetaMASK 的Chrome扩展相关的数据。 大多数模块在以前的版本中已经以某种形式存在，但这个版本为那些具有改进的功能、不同的代码库和实现其目标的独特技术的模块提供了重新实现。 另一件需要注意的事情是威胁参与者对加密货币的浓厚兴趣，这由使用 剪贴器 窃取BTC和ETH以及窃取MetaMask凭据和文件的文件上传模块来表示。 了解虹科 网络安全更多技术干货/应用案例，欢迎前往【虹科网络安全】官方网站： https://haocst.com/ 联系我们 扫码加入虹科网络安全交流群或微信公众号，及时获取更多技术干货/应用案例。

随着 ChatGPT 、 Copilot 、 Bard 等人工智能 (AI) 工具的复杂性持续增长，它们给安全防御者带来了更大的风险，并给采用 AI 驱动的攻击技术的攻击者带来了更大的回报。 作为一名安全专业人员，您必须维护一个由多个操作系统 (OS) 组成的多样化的生态系统，以便在采用新的、现代的 B2B 和 B2C 超大规模、超高速、数据丰富的接口。您寻找并依赖最新和最好的安全产品来帮助您抵御攻击者。 然而，当与复杂的人工智能驱动的技术对抗时，现有的安全产品和实践缺少一个关键的防御元素：一种能够击败下一代机器驱动的、启用人工智能的对手的技术，这些对手擅长机器学习，以惊人的速度和规模创造新的自适应漏洞。 随着人们对生成 AI 系统及其违反检测和预防技术的能力的关注，一个明确的模式开始出现。 信息安全专业人员关心的是——生成式人工智能可以被利用来： u 增加攻击面：创建传统安全工具不易检测到的新攻击载体。 u 逃避检测：生成专门用于逃避安全工具检测的恶意代码。 u 增加复杂性：创建更难防御的日益复杂的攻击或技术变体。 u 更快的速度和更大的规模：以安全团队难以跟上的规模和速度发动攻击。 防御者的视角 人工智能 (AI) 及其机器学习 (ML) 和深度学习 (DL) 子集是现代端点保护平台 (EPP) 和端点检测与响应 (EDR) 产品不可或缺的一部分。 这些技术通过学习大量已知的恶意和良性行为或代码模式的数据来工作。这种学习使他们能够创建可以预测和识别以前未见过的威胁的模型。 具体地说，人工智能可用于： u 检测异常：识别终端行为中的异常，如不寻常的文件访问模式或系统设置的更改。这些异常可能表明有恶意活动，即使安全产品不知道具体的行为。 u 行为分类：将终端行为分为恶意行为和良性行为。这使得安全产品可以将注意力集中在最有可能的威胁上。 u 判断：判断特定行为或代码模式是恶意的还是良性的。这使安全产品可以采取措施减轻威胁，例如阻止访问文件或终止进程。 人工智能的使用现在正在成为事实上的标准，通过识别事件的背景和理解终端的行为来帮助减少误报，以消除警报，并使用以前发送的大量遥测数据追溯纠正错误分类的信息。 攻击者的视角 随着人工智能的发展和变得越来越复杂，攻击者将找到新的方法来利用这些技术为自己带来好处，并加速开发能够绕过基于人工智能的终端保护解决方案的威胁。 攻击者可以利用人工智能攻击目标的方法包括： u 自动化漏洞扫描：攻击者可以使用人工智能自动扫描大量代码和系统中的漏洞。使用机器学习算法，攻击者可以识别模式代码本身、相关配置甚至是独立的服务，以发现潜在的漏洞，并据此确定攻击的优先级。它们训练以寻找绕过检测的方法。 u 对抗性机器学习：对抗性机器学习是一种使用人工智能在其他人工智能系统中寻找弱点的技术。通过利用基于人工智能的安全系统中使用的算法中的漏洞，攻击者可以绕过这些防御措施并获得敏感数据的访问权。 u 漏洞生成：攻击者可以利用人工智能生成绕过传统安全措施的新漏洞。通过分析目标系统和识别漏洞， AI 算法可以生成新的代码，这些代码可以利用这些弱点并获得对系统的访问权限。 u 社会工程：攻击者可以使用人工智能生成有说服力的钓鱼电子邮件或社交媒体消息，诱骗受害者泄露敏感信息或下载恶意软件。利用自然语言处理和其他人工智能技术，攻击者可以使这些消息高度个性化，更具说服力。 u 密码破解：攻击者可以使用人工智能使用暴力破解密码。使用机器学习算法从之前的尝试中学习，攻击者可以在更短的时间内增加他们破解密码的机会。 我们预计攻击者将积极使用人工智能来自动化漏洞扫描，生成引人注目的钓鱼消息，在基于人工智能的安全系统中找到弱点，生成新的漏洞并破解密码。随着人工智能和机器学习的发展，组织必须保持警惕，并跟上基于人工智能的攻击的最新发展，以保护自己免受这些威胁。 使用基于人工智能系统的组织必须质疑其基础数据集、训练集和实现此学习过程的机器的鲁棒性和安全性，并保护系统免受未经授权和可能武器化的恶意代码。发现的弱点，或注入到基于人工智能的安全解决方案的模型中，可能导致它们的保护被全局绕过。 Morphisec 之前曾观察到由高技能和资源丰富的威胁行为者发起的复杂攻击，如国家行为者、有组织的犯罪集团或先进的黑客集团。基于人工智能的技术的进步，通过自动化多态和规避恶意软件的创造，可以降低创建复杂威胁的进入门槛。 这不仅仅是对未来的担忧 利用人工智能并不需要绕过今天的终端安全解决方案。逃避 EDR 和 EPP 检测的策略和技术有很好的记录，特别是在内存操作和无文件恶意软件中。根据 Picus Security 的数据，在恶意软件中使用的顶级技术中，逃避和内存技术占了 30% 以上。 另一个重要的问题是 EPP 和 EDR 的反应性，因为它们的检测通常是在违反之后进行的，并且补救不是完全自动化的。根据 2023 年 IBM 数据泄露报告，检测和控制入侵的平均时间增加到 322 天。安全人工智能和自动化的广泛使用将这一时间缩短到 214 天，这在攻击者建立持久性并能够潜在地窃取有价值的信息之后仍然很长时间。 是时候考虑一种不同的范式 在无休止的军备竞赛中，攻击者将利用人工智能来产生能够绕过基于人工智能的保护解决方案的威胁。然而，要使所有攻击成功，它们必须破坏目标系统上的资源。 如果目标资源不存在，或者不断被改变 ( 移动 ) ，那么目标系统的机会就会降低一个数量级。 举个例子，假设一名训练有素且极其聪明的狙击手试图攻破目标。如果目标隐藏起来，或者不断移动，狙击手的成功机会就会降低，甚至会因为在错误的位置反复射击而危及狙击手。 利用 AMTD 阻止生成性 AI 攻击 进入自动移动目标防御 (AMTD) 系统，旨在通过变形——随机化系统资源——移动目标来防止复杂的攻击。 Morphisec 的预防优先安全 ( 由 AMTD 提供支持 ) 使用获得专利的零信任执行技术来主动阻止规避攻击。当应用程序加载内存空间时，该技术会变形并隐藏进程结构和其他系统资源，部署轻量级骨架陷阱来欺骗攻击者。无法访问原始资源，恶意代码失败，从而停止并记录具有完整取证详细信息的攻击。 这种预防优先的方法可以冷酷地阻止攻击，即使它们绕过了现有的基于人工智能的端点保护工具。因此， AMTD 系统提供了针对复杂攻击的额外一层防御层。由于防止了攻击，信息安全团队获得了关键的时间来调查威胁，同时知道他们的系统是安全的。 AMTD 的确定性还意味着该解决方案会生成高保真警报，这有助于确定安全团队工作的优先顺序，从而减少警报疲劳。 Morphisec 的 AMTD 技术可保护 5,000 个组织中的 900 多万个终端，每天可防止绕过现有终端安全解决方案的数以万计的规避攻击和内存攻击，包括零日攻击、勒索软件、供应链攻击等。 Morphisec 阻止的攻击通常是未知的，该公司的威胁实验室团队首先在野外观察到了这些攻击。 Morphisec 最近阻止的规避威胁的例子： -GuLoader ——一种针对美国法律和投资公司的先进变体。 -InvalidPrinter ——一个高度隐蔽的加载器，在 Morphisec 披露的时候对病毒总数没有检测。 -SYS01 Stealer ——瞄准政府和关键基础设施。 -ProxyShellMiner—— 针对 MS-Exchange 中的 ProxyShell 漏洞的一个新变体。 -Babuk 勒索软件 —— 被 Morphisec 阻止的泄漏的 Babuk 勒索软件的一个新的未知变体，但观察到需要两周以上的主要 EPPs 和 EDRs 来调整他们的检测逻辑。 - 遗留系统 —— 为 windows 和 Linux 遗留操作系统提供强大的保护。 Morphisec 阻止了数百个针对 windows 7 、 8 、 2008r2 、 2012 和遗留 Linux 发行版的恶意软件家族。 AMTD 的威力已经证明，它与多波终端保护解决方案一起证明了其有效性，攻击者已开发出绕过它们的策略。从基于签名的 AV 、 ML-Powered NextGen AVs(NGAV) 到目前的 EDR 和 XDR 。 AMTD 是终端保护的自然演变，提供真正的安全保护，免受人工智能攻击。 联系我们 Tel: 13533491614 邮箱：network@hcaco.com 官网：haocst.com

11月期间，Morphisec在调查一个客户的防范事件时发现了Babuk勒索软件的一个全新变种。Babuk在2021年初首次被发现，当时它开始针对企业进行双重勒索攻击，以窃取和加密数据。这一年晚些时候，一个威胁者在一个讲俄语的黑客论坛上泄露了Babuk的完整源代码。 现在，威胁者将Babuk泄露的源代码与开源规避软件和侧面加载技术结合起来，创造了一个以前未曾见过的变体。在同一个月，趋势科技发布了有关类似勒索软件的细节，错误地将其归于WannaRen，并以目标公司的名字命名该勒索软件。这一次，攻击者使用了一种新的Babuk病毒株，针对一家拥有超过1万台工作站和服务器设备的数十亿美元的制造公司。 攻击者在发动攻击前有两周的网络访问权，进行了充分的侦察。他们破坏了该公司的域控制器，并利用它通过GPO向该组织内的所有设备分发勒索软件。在这个时候，由于正在进行的调查，我们不会公布整个攻击链的细节。相反，我们将深入研究勒索软件本身。 技 术 分 析 部署 在开始在域中大规模感染之前，攻击者在域控制器中部署了以下恶意软件文件： · .bat一个BAT脚本，负责检查安全解决方案的存在，并开始执行一个微软安装程序（.msi） · .msi我们在下面更详细地讨论这个安装程序 攻击者使用域控制器的NETLOGON文件夹--存放组策略登录脚本文件的共享文件夹。这确保了.bat文件在整个域中执行。 执行 msi安装程序包含四个文件： · SapphireIMSClient.exe，这个可执行文件是NTSD.exe--一个用于Windows的符号调试器工具。它是一个合法的工具，但容易受到DLL侧面加载的影响： · dbgeng.dll是主要的恶意软件组件，它冒充NTSD.exe使用的合法DLL，并利用DLL侧面加载漏洞。 · 两个加密的文件sc.ocs和config.ocs .bat文件将： · 在注册表中设置一个UAC旁路 · 检查安全解决方案并通过添加新的防火墙规则阻止与它们的通信 · 执行安装程序，负责将文件解压到C:\Users\Public\SapphireIMSClient\文件夹中。 之后，.bat会执行以下命令行： C:\Users\Public\SapphireIMSClient\SapphireIMSClient.exe C:\Users\Public\SapphireIMSClient\sc.ocs C:\Users\Public\SapphireIMSClient\config.ocs 将开源工具注入合法的DLL中 如前所述，NTDS.exe（SapphireIMSClient.exe）是一个合法的可执行文件，它加载了一个名为dbgeng.dll的已知核心DLL，而没有验证其路径。攻击者在同一目录下投放了同名的恶意DLL。这导致了合法的微软签名进程的执行。攻击者之前也在使用有漏洞的Word Office应用程序。我们目前的假设是，他们的目标是微软签名的应用程序，因为这大大降低了机器学习的可疑分类阈值。(没有厂商想杀死微软的进程）。 dbgeng.dll中的恶意代码有两个职责： 1、将.OCS文件读入内存 A) sc.ocs 一个加密的shellcod--最终有效载荷的实际反射性装载器 B) config.OCS 一个加密的二进制文件--最终的有效载荷 2、执行下一个阶段 第一个任务是在一个新的线程中完成的，如以下片段所示： 该恶意软件从微软应用程序执行期间交付的命令行参数中读取.OCS文件路径，并对内容进行解密。 虽然这种逻辑在网上广为流传，但DLL中的代码与开源项目：pe-loader （https://github.com/polycone/pe-loader/blob/master/loader/src/system/system.cpp）中的代码有高度的相似性。 如前所述，执行过程分为两个例程。第一个，由上图表示，位于DLL加载例程中，负责读取.OCS文件并解密sc.OCS文件（即shellcode）。第二个例程是DebugCreate导出的函数。它以一个长的 "Sleep "开始，等待读取任务结束，然后再继续。 在DebugCreate中，恶意软件将保护权限调整为RWX，解密有效载荷，并将执行转移到解密的shellcode。 反射式加载器shellcode 该shellcode作为一个反射性加载器。该代码是由Stephen Fewer（https://github.com/stephenfewer）首次发布的，但我们注意到了修改。原始技术有几十种实现和修改，但深入挖掘后发现，攻击者使用的shellcode与以下GitHub项目之间有很高的相关性：malisal/loaders/pe.c (https://github.com/malisal/loaders/blob/master/pe/pe.c) 攻击者编辑了一些函数，如Windows API散列函数，但整体结构和代码流是相同的。看起来攻击者从这个开源项目中获得了 "灵感"。 最后付费：修改后的Babuk勒索软件 最后的有效载荷是由去年泄露的源代码编译的Babuk勒索软件。 Hildaboo/BabukRansomwareSourceCode (https://github.com/Hildaboo/BabukRansomwareSourceCode) 有了以下要停止的进程列表： "sql.exe""dbeng50.exe" "oracle.exe""sqbcoreservice.exe" "ocssd.exe""excel.exe" "dbsnmp.exe""infopath.exe" "synctime.exe""msaccess.exe" "agntsvc.exe""mspub.exe" "isqlplussvc.exe""onenote.exe" "xfssvccon.exe""outlook.exe" "mydesktopservice.exe""powerpnt.exe" "ocautoupds.exe""steam.exe" "encsvc.exe""thebat.exe" "firefox.exe""thunderbird.exe" "tbirdconfig.exe""visio.exe" "mydesktopqos.exe""winword.exe" "ocomm.exe""wordpad.exe" "dbeng50.exe""notepad.exe" 相似性 · 代码结构：整体执行流程和代码结构与Babuk勒索软件所呈现的结构相关。 · 相同的加密算法：任何勒索软件最具有特征的功能之一是加密方法。我们验证了我们案例中的有效载荷与Babuk源代码中的有效载荷相匹配。 · 配置：原始和变种的配置和使用是重叠的。 下面的截图显示了某些代码块在源码和反编译中的匹配情况。 注意：编译器在某些情况下会发挥它的魔力，这可能导致不同的代码定位和代码减少。 修改 我们注意到影子拷贝的删除程序与源代码中的不同。 Babuk勒索软件 泄露的Babuk源代码显示，通过创建新的cmd.exe进程删除的影子副本将执行vssadmin.exe工具： 修改后的Babuk勒索软件：最终使用的有效载荷 恶意软件通过使用执行WMI查询的COM对象来遍历可用的影子副本。下面的代码片段显示了恶意软件如何执行WMI查询以获得每个影子副本的ID，然后使用COM，按ID删除每个影子副本。 值得注意的是，BlackMatter和Conti勒索软件等恶意软件也表现出类似的行为。 为什么防御Babuk勒索软件是如此困难 现代NGAV、EPP和EDR/XDR对运行时的可见性有限。它们通常被限制在使用钩子和/或Windows的事件跟踪（ETW）。假设钩子和ETW没有被篡改，它们只是应用程序生命周期内执行活动的沧海一粟。这意味着如果一个应用程序被成功加载，大多数时候安全监控解决方案将对应用程序的执行保持盲目，直到对系统的重大影响可见。 应用程序的虚拟化运行时地址空间要比单个文件大得多。因此，在应用程序执行期间应用传统的扫描方法是一场失败的战斗。此外，这种扫描大大降低了可用性，必须尽可能地减少。 攻击者知道监控和扫描解决方案的这些弱点，并努力在应用程序的内存中保持隐蔽。这适用于这个新的Babuk变体，它实现了侧面加载，在合法的应用程序内执行，并实现了反射性加载功能以隐藏其余的执行步骤。攻击者对其初始访问和横向移动步骤实施类似的规避技术，我们将在下一篇博客中介绍。 移动目标防御技术 由于这些威胁具有高度的规避性，而且主要存在于设备内存中，任何级别的NGAV或最佳EDR都无法可靠地检测和阻止它们。Morphisec革命性的、获得专利的移动目标防御（MTD）技术是一个行业领先的解决方案，可以阻止无法检测到的攻击。它对内存攻击提供了一种超轻量级、高度有效的防御。 MTD以不可预测的方式改变运行时的内存环境，以隐藏应用程序和操作系统的目标，不让对手发现。这导致了攻击面的大幅减少，使目标无法找到。MTD在不影响可用性的情况下提出诱饵来欺骗和诱捕威胁。它阻止并暴露了依赖内存中动态执行的隐蔽性的攻击者。 通过在运行期间对设备内存进行变形，Morphisec的MTD增强了业现有的安全堆栈，以阻止和归因于无文件攻击，否则就不可能检测到。 攻击的结果 该公司使用下一代反病毒（NGAV）解决方案和Morphisec Guard来保护他们的端点。勒索软件躲过了该公司端点上的NGAV，但Morphisec的移动目标防御（MTD）技术阻止了攻击，防止了任何损害。 市场领先的EDR，如CrowdStrike和SentinelOne，在攻击发生时无法阻止新的Babuk变体。SentinelOne更新了其签名，在赎金软件被上传到一个开放资源库72小时后检测到加密的壳码参数，CrowdStrike现在也更新了其检测。 正如Babuk勒索软件的这个新变种所显示的，MTD对未知和内存中的攻击提供了无与伦比的保护。

​ 尽管在网络安全方面的投资不断增加，但 网络犯罪仍在激增 。每天的攻击都会使医疗保健提供瘫痪，并扰乱金融/保险服务公司、制造公司、律师事务所和软件公司，以至于有关闭的风险。这在很大程度上是因为攻击一直在变化，而防御没有变化。如今的恶意软件越来越多地在内存中执行运行时攻击。 根据微软的数据，微软产品中70%的漏洞是 内存安全问题 。PurpleSec发现，2022年， 内存崩溃是最常见的零日攻击类型 ，占攻击的67.55%。对于依赖基于检测的解决方案来应对这些类型的攻击的防御者来说，这是一个大问题。 不久前，几乎所有的恶意软件都依赖于可执行文件。威胁参与者在受害者环境中的磁盘上安装了恶意软件。该恶意软件将通过函数调用、系统事件或消息与受感染的计算机交互或与命令和控制(C2)服务器通信。 ​ 编辑 传统网络安全在一定程度上运作良好 但是，无论是在服务器上还是在受攻击的终端上，该恶意软件都会留下其存在的证据。防御者可以依靠端点保护平台(EPP)、端点检测和响应(EDR/XDR)和防病毒(AV)等工具来发现恶意软件部署的迹象。发现这些攻击模式和特征是网络安全技术演变的目的——在威胁造成真正破坏之前检测和隔离威胁。 但随着攻击链现在进入内存，它们在要检测的特征或要分析的行为模式方面提供的东西很少。传统的恶意软件攻击并没有消失。只是更多的威胁在运行时以设备内存为目标，而传统的防御者对此的可见性有限。 内存中攻击可以安装有关联的文件，也可以没有关联的文件，并在最终用户启动和关闭应用程序之间的空间中工作。像Emotet、Jupyter、Cobalt Strike和供应链攻击这样的运行时攻击可以在受害者的环境中移动。 ​ 编辑 这些威胁通常不会在设备磁盘上留下可识别的印记。这些威胁的证据最终可能会在基于签名的解决方案上显示为警报。这包括安全信息和事件管理(SIEM)或安全协调、自动化和响应(SOAR)解决方案。但到那时，后卫们通常已经来不及做任何事情了。 隐蔽而强大的应用程序运行时攻击为勒索软件部署和数据外泄奠定了基础。 内存中的威胁无处不在 作为无文件恶意软件的一项功能，完整的内存中攻击链在2010年代中期开始出现。臭名昭著的 Angler漏洞工具包 以其独特的混淆而闻名，它授权网络犯罪分子每月收取费用来利用网络浏览器漏洞。 仅在2015年，网络犯罪分子就利用Angler从受害者那里窃取和勒索了 3400万美元 。 近年来，在内存方面的泄露激增。威胁参与者使用Cobalt Strike等工具从设备内存恶意加载通信信标。Cobalt Strike是一种合法的五层攻击解决方案。2019至2020年间，使用Cobalt Strike的网络攻击 增加了161% 。它通常被Conti使用，Conti是目前运营中最成功的勒索软件集团，在2021年获得了 1.8亿美元的收入 。 ​ 编辑 为了逃避传统的以签名和行为为重点的安全解决方案，威胁参与者现在创建针对运行时内存中的恶意软件，并劫持合法进程。Picus实验室的2021年红色报告将20多万个恶意软件文件映射到MITRE ATT&CK框架。 “他们发现，去年最流行的五种攻击方式中，有三种是在内存中发生的。” 内存泄露现在是攻击链的典型特征，就像2021年爱尔兰国家医疗服务体系被入侵之前那样。 无法在运行时扫描设备内存 在应用程序运行时期间，设备内存中发生的情况对防御者来说大多是不可见的。若要了解原因，请考虑解决方案如何在有人使用应用程序时尝试扫描应用程序。 解决方案必须 1） 在应用程序的生命周期内多次扫描设备内存，同时 2） 侦听正确的触发操作，以及 3） 查找恶意模式以捕获正在进行的攻击。做这三件事的最大障碍是规模。在典型应用程序的运行时环境中，可能有 4GB 的虚拟内存。不可能足够频繁地扫描如此大量的数据，至少不会减慢应用程序的速度，以至于无法使用。因此，内存扫描程序只能查看特定的内存区域、特定的时间线触发器和非常具体的参数——所有这些都假设内存状态是稳定和一致的。 ​ 编辑 在范围如此有限的情况下，在最好的情况下，专注于内存扫描的解决方案可能会占用3%到4%的应用程序内存。但威胁越来越多地使用多态来混淆他们的存在，甚至在内存中也是如此。这意味着在如此小的设备内存样本中捕获恶意活动将是奇迹。使这一问题雪上加霜的是，攻击现在绕过或篡改了大多数解决方案用来发现正在进行的攻击的挂钩。 毫不奇怪，远程访问特洛伊木马程序(RAT)、信息窃取程序和加载程序现在使用应用程序内存来隐藏更长时间。攻击者在网络中停留的平均时间约为11天。对于老鼠和信息窃取等高级威胁，这个数字更接近45天。 Windows和Linux应用程序都是目标 在内存中，泄露不是一种单一类型的威胁。相反，这是导致广泛后果的攻击链的一个特征。例如，勒索软件不一定与内存运行时攻击相关联。但要部署勒索软件，威胁参与者通常必须渗透网络并提升权限。这些过程往往在运行时在内存中发生。 ​ 编辑 网络安全的标准方法是检测正在进行的攻击或被破坏后的攻击。这使每种类型的组织和 IT 资产都面临“隐形”运行时攻击的风险。Morphisec的事件响应团队已经看到内存中入侵被用于从金融机构的服务器到医院的端点以及介于两者之间的所有情况。 这些威胁不仅针对 Windows 服务器和设备上的内存进程，它们还针对Linux。去年，由威胁行为者创建的恶意版本的Cobalt Strike专门用于Linux服务器。在金融等行业，Linux被用来为虚拟化平台和网络服务器提供动力，攻击激增。攻击通常会破坏内存中的业务关键型服务器，从而为信息盗窃和数据加密奠定基础。 防止内存中运行时攻击 内存中运行时攻击是一些最先进的破坏性攻击。他们不仅针对企业，现在还把整个政府都扣为人质。因此，防御者必须专注于在运行时阻止对应用程序内存的威胁。只专注于检测是不好的;内存中和无文件的恶意软件实际上是不可见的。传统的安全技术在受保护资产周围竖起一堵墙，并依赖于检测恶意活动，无法阻止多态和动态威胁。 ​ 编辑 相反，应通过安全层确保有效的深度防御，从而首先防止内存受损。这就是移动目标防御（MTD）技术的作用。 MTD 通过在运行时变形（随机化）应用程序内存、API 和其他操作系统资源，创建即使是高级威胁也无法穿透的动态攻击面。 实际上，它不断地移动房屋的门，同时将假门留在原处，从而捕获恶意软件以进行取证分析。即使威胁行为者能找到通往建筑物的门，当他们返回时，它也不会在那里。因此，他们不能在同一端点上重用攻击，更不用说在其他端点上了。 MTD 技术不是在攻击发生后检测到攻击，而是先发制人地阻止攻击，而无需签名或可识别的行为。 而且它不会影响系统性能、生成误报警报或需要增加员工人数才能运行。 扩展阅读 Morphisec（摩菲斯） Morphisec（摩菲斯）作为移动目标防御的领导者，已经证明了这项技术的威力。他们已经在5000多家企业部署了MTD驱动的漏洞预防解决方案，每天保护800多万个端点和服务器免受许多最先进的攻击。事实上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索软件、恶意软件和无文件攻击，这些攻击是NGAV、EDR解决方案和端点保护平台（EPP）未能检测和/或阻止的。(例如，Morphisec客户的成功案例，Gartner同行洞察力评论和PeerSpot评论)在其他NGAV和EDR解决方案无法阻止的情况下，在第零日就被阻止的此类攻击的例子包括但不限于： 勒索软件(例如，Conti、Darkside、Lockbit) 后门程序(例如，Cobalt Strike、其他内存信标) 供应链(例如，CCleaner、华硕、Kaseya payloads、iTunes) 恶意软件下载程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid) Morphisec（摩菲斯）为 关键应用程序 ， windows和linux本地和云服务器提供解决方案 ，2MB大小快速部署。 免费的Guard Lite解决方案 ，将微软的Defener AV变成一个企业级的解决方案。让企业可以从单一地点控制所有终端。请联系我们免费获取！ ​