本文来自微信公众号“GoUpSec”。
2023年,随着企业安全防御技术和方法的不断完善,越来越多的攻击者开始另辟蹊径,寻找能够突破传统网络安全解决方案,更有效地进行渗透并驻留的攻击方法,以下我们整理了2023年呈上升趋势,将在四季度“兴风作浪”的八大新兴安全威胁:
一、令牌/云API滥用
攻击者正不断摸索新的攻击技术和方法来渗透系统和网络,对令牌和云API的滥用正变得更加普遍。令牌通常比用户账号更容易被窃取,可以授予对通过多重身份验证(MFA)建立的会话的访问权限,这使它们成为攻击者的重要目标。
此外,在集成生态系统(例如Office 365等Windows应用程序)中令牌的位置缺乏明确性,这增加了防止未经授权访问的挑战。这种模糊性使得防御者很难识别那些可提取令牌的进程,从而导致传统防御机制的效率降低。
二、攻击者利用EDR防护范围之外的系统来实现持久性
攻击者越来越多地针对传统端点检测和响应(EDR)或防病毒(AV)解决方案防护范围之外的系统。办公设备、路由器和物联网设备经常被EDR等基于代理的端点安全解决方案所忽视,因而成为寻求在网络中建立持久性的攻击者的热门目标。这些系统缺乏集中式日志记录,使得入侵的检测和修复进一步复杂化。
未来几个月,预计攻击者将继续完善其工具集,添加更多Linux工具、隧道工具、ARM架构编译工具以及多平台工具。
三、利用易受攻击的驱动程序
越来越多攻击者的开始利用存在漏洞的驱动程序将权限提升到本地系统。攻击者尤其青睐签名的易受攻击驱动程序,因为此类驱动程序可用于在攻击早期禁用防病毒软件或EDR等安全解决方案。
尽管微软已经着手解决这个问题,例如部署易受攻击驱动程序阻止列表,但该方法对新威胁的反应迟缓,其对手动更新的依赖也经常导致系统暴露。
LOLDrivers等项目旨在通过提供易受攻击驱动程序和相关检测机制的全面列表来弥补这一差距。
四、恶意.lnk、.html、PDF中的嵌入式Office文档和.iso文件
网络攻击感染链通常包括一些流行的文件类型,例如.lnk、.html、.pdf和.iso文件。
最新的威胁趋势是将办公文档嵌入到PDF文件中,这种策略预计会越来越流行。
HTML文件还被用于HTML走私——用JavaScript将嵌入文件写入磁盘。这种多重方法使传统安全解决方案更难检测和阻止恶意文件。
五、Havoc
Havoc是一个C2框架,因其强大的功能集和积极的开发迭代而受到攻击者欢迎。
Havoc的主要功能包括通过Ekko、Ziliean或FOLIAGE进行睡眠混淆、x64返回地址欺骗、Nt*API的间接系统调用、SMB支持、令牌库以及各种内置的后利用命令。
Havoc能通过硬件断点(Breakpoint)修补Amsi/Etw,在“睡眠”期间使用代理库加载并复制堆栈,这使得Havoc对于攻击者来说特别有吸引力。
六、滥用合法远程访问软件实现持久性
远程访问木马通常难以逃避防病毒软件的检测,因此攻击者开始转向合法的远程访问软件作为替代方案。
这些合法的远程访问软件(包括ConnectWise Control、Anydesk、NetSupport、TeamViewer、Atera、LogMeIn和Splashtop等)通常不会被安全解决方案归入为“可疑”软件清单(PUA)。因此,攻击者对此类软件的使用常常能逃避检测,进而实现持久性驻留。
七、隧道工具(例如,ngrok、frp等)
隧道工具能帮助攻击者建立从内部服务到远程系统的代理连接,同时避免检测。隧道工具通常支持多种架构,符合使用办公设备、路由器和物联网系统实现持久性驻留的趋势。
如今,越来越多的攻击者开始热衷于使用隧道工具建立秘密通信渠道。
八、SEO中毒
SEO(搜索引擎优化)中毒是指攻击者操纵搜索引擎排名以引诱用户访问恶意网站的攻击技术。
自2023年初以来SEO中毒攻击显著增加,涉及多种攻击策略,包括关键词填充、伪装、人为提高点击率以及使用专用链接网络。
一些攻击者还善于使用针对性SEO中毒(例如鱼叉式网络钓鱼)来攻击特定受众。这使得识别和防御此类攻击变得更加困难,因为是针对受害者量身定制的。
结论
网络安全态势正高速发展,企业安全团队需要及时了解新兴威胁趋势,这对制定有效的防御策略至关重要。本文介绍的八种安全威胁预计将在未来几个月对安全威胁态势产生重大影响,安全团队需要有针对性地调整防御措施,更好地保护企业和个人免受网络威胁。
