随着基于内存的攻击的激增继续挑战传统的云安全防御,对主动和全面的安全措施的需求变得至关重要。采用结合端点检测和响应、内存完整性保护和定期更新的多层方法可以加强对这些难以捉摸的威胁的防御。
随着云计算技术在各行各业的迅速普及,数据保护和安全已经成为人们最关心的问题。然而,随着云安全措施的不断发展,恶意行为者寻求利用漏洞的策略也在不断发展。
2023年6月,云原生安全领域的权威机构发布了一份研究报告,揭示了网络安全领域一个令人深感担忧的发展趋势。该报告表明,与2022年《云原生威胁报告》相比,基于内存的攻击出现了前所未有的1400%的惊人增长。
2023年7月,网络安全研究人员做出了突破性的发现,发现了一个基于python的无文件恶意软件,名为“PyLoose”。这次攻击是第一次记录在案的基于python的无文件攻击,明确针对现实场景中的云计算工作负载。使用Linux无文件技术memfd,PyLoose巧妙地将XMRigMiner直接加载到内存中,避免了将有效负载写入磁盘的需要,并利用了操作系统的功能来利用它。
这种反复发生的攻击事件凸显了传统云安全措施面临的重大挑战。以下深入研究基于内存的攻击的技术方面、它们对传统安全防御的规避,并讨论保护云计算基础设施的主动策略。
了解基于内存的攻击
基于内存的攻击,通常被称为“无文件攻击”,已经成为老练黑客的首选武器。与依赖于存储在磁盘上的恶意文件的传统攻击不同,基于内存的攻击利用了目标系统的易失性内存。由于驻留在内存中,这些攻击在系统上留下的痕迹很小,因此难以检测和阻止。
通常情况下,基于内存的攻击是通过高级脚本语言(例如PowerShell或JavaScript)实现的。它允许网络攻击者将恶意代码直接注入运行进程的内存空间。一旦代码被执行,攻击就可以悄悄地进行,执行从数据窃取和操纵到整个系统危害的各种操作。
规避传统云安全防御
基于内存的攻击激增的部分原因是它们能够避开传统的云安全防御。恶意行为者正在投入大量资源来实现先进的规避技术,旨在隐藏他们的活动并在受损的系统中获得强大的立足点。根据AquaSecurity公司的研究,对六个月的蜜罐数据的分析显示,超过50%的攻击是专门针对绕过防御措施的。
以下了解这些攻击绕过传统安全措施的一些主要方式:
(1)缺乏基于签名的检测:传统的防病毒软件和入侵检测系统(IDS)(如SolarWindsSecurityEventManager和Snort)严重依赖基于签名的检测来识别已知的恶意软件和恶意文件。由于基于内存的攻击不涉及将文件写入磁盘,因此它们有效地避免触发这些签名,使它们对许多安全解决方案不可见。
(2)基于行为的规避:基于内存的攻击通常使用已经在系统上运行的合法进程,这使得基于行为的检测系统难以区分正常活动和恶意活动。这使得网络攻击能够无缝地融入环境。
(3)加密的有效负载:许多基于内存的攻击利用加密技术来混淆其有效负载,使其无法被安全扫描仪读取。这种策略防止安全工具检查攻击的内容并理解其意图。
(4)减少内存占用:通过仅在内存空间内操作,基于内存的攻击在系统上留下的内存占用可以忽略不计。这种规避特征使得攻击后的法医分析更加困难。
技术缓解战略
为了应对日益增长的基于内存的攻击威胁,云计算安全专业人员和IT管理员必须采用结合各种安全技术和最佳实践的多层方法。以下了解企业可以采用的关键缓解策略,以防止基于内存的恶意软件。
(1)端点检测和响应(EDR):端点检测和响应(EDR)解决方案提供端点的实时监控,包括服务器和工作站,使组织能够检测和响应可疑活动,即使它们发生在内存中。利用机器学习和行为分析,EDR工具可以识别表明基于内存的攻击的异常活动。例如,MalwarebytesEDR为识别和对抗无文件恶意软件威胁提供了有效的补救措施。它密切监视端点上潜在的有害行为,并有效地检测可疑行为。此外,MalwarebytesNebula中的“可疑活动监控”是一个托管在云中的安全平台,它使用ML程序和在云中完成的分析来快速检测可疑行为。
(2)内存完整性保护:现代操作系统和云平台提供内存完整性保护机制。例如,微软在Windows10、Windows11和WindowsServer2016及更高版本中引入了基于虚拟化的安全(VBS)特性,即内存完整性(MemoryIntegrity),以打击内存漏洞,增强系统安全性。这些特性确保了系统内存空间的完整性,防止了未经授权的修改和篡改。
(3)定期软件更新和补丁管理:使所有软件和应用程序保持最新对于减轻基于内存的攻击至关重要。攻击者经常利用未打补丁软件中的已知漏洞渗透系统。定期更新有助于消除这些安全漏洞。
(4)特权升级缓解:限制用户特权和实现最小特权原则可以减轻基于内存的攻击的影响。限制用户在未经授权的情况下执行脚本或访问关键系统资源,可以减少攻击面。
(5)网络分段:将云网络正确地分割为不同的安全区域可以限制攻击者在环境中的横向移动。组织可以通过使用防火墙和访问控制来控制基于内存的攻击的影响。
(6)行为分析:实现监视用户和进程行为的行为分析工具可以帮助识别表明基于内存的攻击的可疑活动。例如,Mixpanel、Amplitude和FullStory等流行的用户行为分析工具可以检测未授权的向运行进程注入代码的企图。
企业用户还需要关注五点问题
需要云端强大的基础数据收集系统 ,多种提取方法的核心情报提取系统 ,快速且自动化的生产高覆盖度、高准确度、上下文丰富的情报数据,来收集检测企业风险。
(1)办公网终端/生产网及DMZ区服务器的威胁发现和失陷检测
(2)SOC/SIEM等系统威胁检测
(3)Web/邮件/SSH等公网开放的应用或者服务的外放访问IP的风险识别
(4)企业资产发现
(5)内外部安全事件的关联拓线及溯源追踪
德迅云图可提供实时威胁检测与分析,为各种不同类型的业务提供独特的价值。
(1)精准发现内网的被控主机,包括挖矿、勒索、后门、APT等,并提供佐证失陷的样本取证信息、处置建议等,促进企业快速响应处置风险
(2)将日志中的域名/IP提取出来通过分析,发现可疑时间,并结合人工分析通过内部工单系统进行日常运营,增强威胁发现和检测能力
(3)精准发现相关IP是否属于扫描、撞库、漏洞利用、僵尸网络等风险,同时进一步提供该IP的基础信息,如代理、网关出口、CDN、移动基站等
(4)通过高级查询,快速发现企业的域名、子域名、IP等资产的信息变动情况,管控资产暴露产生的数据泄露、服务暴露等相关风险
(5)对内外部安全事件中的域名/IP/Hash进行关联分析,通过域名的PassiveDNS以及Whois等数据,发现背后攻击者的姓名、邮箱、手机号码等真实或者虚拟身份
结语
随着基于内存的攻击的激增继续挑战传统的云安全防御,对主动和全面的安全措施的需求变得至关重要。采用结合端点检测和响应、内存完整性保护和定期更新的多层方法可以加强对这些难以捉摸的威胁的防御。
威胁形势不断变化,企业必须保持警惕,适应新的安全挑战,并采用尖端技术,以保护其云计算基础设施和敏感数据。只有保持积极主动和信息灵通,才能在数字时代抵御黑客无情的攻击。