2023年7月,Wiz公司網絡安全研究人員做出了突破性的發現,發現了一個基于python的無文件惡意軟件,名為“PyLoose”。這次攻擊是第一次記錄在案的基于python的無文件攻擊,明確針對現實場景中的云工作負載。使用Linux無文件技術memfd,PyLoose巧妙地將XMRigMiner直接加載到內存中,避免了將有效負載寫入磁盤的需要,并利用了操作系統的功能來利用它。
這種反復發生的網絡安全事件凸顯了傳統云安全措施面臨的重大挑戰。以下深入研究基于內存的攻擊的技術方面、它們對傳統安全防御的規避,并討論保護云基礎設施的主動策略。
了解基于內存的攻擊
基于內存的攻擊,通常被稱為“無文件攻擊”,已經成為黑客的首選武器。與依賴于存儲在磁盤上的惡意文件的傳統攻擊不同,基于內存的攻擊利用了目標系統的易失性內存。由于駐留在內存中,這些攻擊在系統上留下的痕跡很小,因此難以檢測和阻止。
通常情況下,基于內存的攻擊是通過高級腳本語言(如PowerShell或JavaScript)實現的。它允許網絡攻擊者將惡意代碼直接注入運行進程的內存空間。一旦代碼被執行,攻擊就可以悄悄地進行,執行從數據竊取和操縱到整個系統危害的各種操作。
規避傳統云安全防御
基于內存的攻擊激增的部分原因是它們能夠避開傳統的云安全防御。惡意行為者正在投入大量資源來實現先進的規避技術,旨在隱藏他們的活動并在受損的系統中獲得強大的立足點。根據AquaSecurity公司的研究,對六個月數據的分析顯示,超過50%的網絡攻擊是專門針對繞過防御措施的。
以下了解這些網絡攻擊繞過傳統安全措施的一些主要方式:
(1)缺乏基于簽名的檢測:傳統的防病毒軟件和入侵檢測系統(IDS)嚴重依賴基于簽名的檢測來識別已知的惡意軟件和惡意文件。由于基于內存的攻擊不涉及將文件寫入磁盤,因此它們有效地避免觸發這些簽名,使它們對許多安全解決方案不可見。
(2)基于行為的規避:基于內存的攻擊通常使用已經在系統上運行的合法進程,這使得基于行為的檢測系統難以區分正常活動和惡意活動。這使得網絡攻擊能夠無縫地融入環境。
(3)加密的有效負載:許多基于內存的攻擊利用加密技術來混淆其有效負載,使其無法被安全掃描儀讀取。這種策略防止安全工具檢查攻擊的內容并理解其意圖。
(4)減少內存占用:通過僅在內存空間內操作,基于內存的攻擊在系統上留下的內存占用可以忽略不計。這種規避特征使得攻擊后的分析更加困難。
技術緩解戰略
為了應對日益增長的基于內存的攻擊威脅,云安全專業人員和IT管理員必須采用結合各種安全技術和最佳實踐的多層方法。以下是企業可以采用的關鍵緩解策略,以防止基于內存的惡意軟件。
(1)端點檢測和響應(EDR):端點檢測和響應(EDR)解決方案提供端點的實時監控,包括服務器和工作站,使組織能夠檢測和響應可疑活動,即使它們發生在內存中。利用機器學習和行為分析,EDR工具可以識別表明基于內存的攻擊的異常活動。
(2)內存完整性保護:現代操作系統和云平臺提供內存完整性保護機制。例如,微軟在Windows10、Windows11和WindowsServer2016及更高版本中引入了基于虛擬化的安全(VBS)特性,即內存完整性),以打擊內存漏洞,增強系統安全性。這些特性確保了系統內存空間的完整性,防止了未經授權的修改和篡改。
(3)定期軟件更新和補丁管理:使所有軟件和應用程序保持最新對于減輕基于內存的攻擊至關重要。網絡攻擊者經常利用未打補丁軟件中的已知漏洞滲透系統。定期更新有助于消除這些安全漏洞。
(4)特權升級緩解:限制用戶特權和實現最小特權原則可以減輕基于內存的攻擊的影響。限制用戶在未經授權的情況下執行腳本或訪問關鍵系統資源,可以減少攻擊面。
(5)網絡分段:將云計算網絡正確地分割為不同的安全區域可以限制網絡攻擊者在環境中的橫向移動。企業可以通過使用防火墻和訪問控制來控制基于內存的攻擊的影響。
(6)行為分析:實現監視用戶和進程行為的行為分析工具可以幫助識別表明基于內存的攻擊的可疑活動。例如,Mixpanel、Amplitude和FullStory等流行的用戶行為分析工具可以檢測未授權的向運行進程注入代碼的企圖。
結語
隨著基于內存的攻擊的激增仍在挑戰傳統的云安全防御,對主動和全面的安全措施的需求變得至關重要。采用結合端點檢測和響應、內存完整性保護和定期更新的多層方法可以加強對這些難以捉摸的威脅的防御。
威脅形勢不斷變化,企業必須保持警惕,適應新的安全挑戰,并投資于尖端技術,以保護其云計算基礎設施和敏感數據。只有保持積極主動和信息靈通,才能在數字時代抵御黑客不斷的攻擊。
