阿里云先知安全沙龙(上海站) ——终端安全对抗及防护

简介: 终端安全现状面临多重挑战,包括传统签名技术失效、新型无文件攻击频发、专业人才匮乏、分支机构安全管理不足等。企业终端覆盖不全、日志缺失、策略更新依赖厂商,导致运营排查困难。钓鱼攻击手法愈发精细,静态和动态对抗加剧,攻击者利用正常权限入侵,窃取凭据。Web3技术发展使加密货币成为新目标,职业黑客盯上个人钱包和交易公司。防护升级需涵盖预防、检测、响应和运营四个阶段,借助AI和威胁情报降低告警量,提升整体安全水平。

终端安全现状

国内甲方公司常见的端点安全运营现状包括:不杀不拦只告警,终端覆盖不全;关键日志缺失,运营排查止血难;安全一刀切,员工负反馈较多;策略更新,维护强依靠厂商;难以界定终端行为,安全团队经验浅。这些情况反映了当前端点安全管理中的诸多挑战和不足。

image.png

终端安全现状面临多种挑战:传统签名技术难以抵御新型威胁与攻击,企业终端在新攻击面前基本失效;利用正常权限和账户进行入侵的场景增多;新型无文件攻击形式(如无可执行文件落地)和未知恶意软件、未知特征恶意文件攻击频发。同时,专业安全技术人员匮乏,安全运营人员少且经验浅,数据体量大,传统硬件部署方式导致产品迭代更新慢,病毒和威胁情报无法紧跟时事,安全策略运维困难,内置策略基本为零,后期维护成本高。多分支的终端成为攻击者的关键入侵点,分支机构业务人员较多,整体安全和IT基础知识薄弱,总部和各分支有多款安全产品,运维管理工作量极大,难以全球统管,各分支安全策略难以按照集团统一标准执行,尤其偏远分支安全管理水平不足。

image.png

终端安全现状中,钓鱼投递手法更加精细化,业务伪装度非常高,邮件钓鱼更倾向于钓个人邮箱以绕过企业的安全防护体系。除了IM、邮件钓鱼,集权系统失陷继续存在,还出现了多起针对客服系统的钓鱼。静态伪装更深度,从loader到shellcode都有做对抗,避免被杀软查杀和逆向分析。动态对抗是一线对抗最大的亮点,以绕过EDR为目的,从栈混淆、Syscall、dll加载中的栈伪装等,出现频率不高,但体现了攻击队在当前终端对抗上的最高水平。白加黑依然是主流的手法,白模块从常见应用切换到了操作系统正常的模块,伪装性更高。凭据窃取依然是攻击者最常用的模块,浏览器凭据窃取最为常见,少量出现数据窃取。厂商支持的云函数锐减,C2通信以域前置为主,流量侧的检测和防护难度高。随着cobaltstrike的持续迭代,依然成为攻击者最主要使用的框架。随着Web3技术与加密货币的爆发发展,越来越多的职业黑客或特殊背景选手盯上了个人钱包以及大型交易公司。

image.png

每一次真实对抗都需要成本,攻击者不会做没有回报的事情。攻击者改变策略,进行有组织的大规模攻击,并且目标明确。攻击策略演进,针对特定目标并采取层层递进的攻击路径。攻击技术愈发先进,采用新的逃避检测技术和更隐蔽的攻击手法,迭代更新更快。新的攻击目的包括攻击、盗币、洗币一条龙,攻击群体更加广泛,从行业到公司再到个人。防守难度直线上升,终端环境复杂暴露面更大,攻击来源更广,多维度防范传统的防护体系容易失效。日志告警和安全运营人员疲惫不堪,基础设施无法止血。

image.png

传统攻防及Web3对抗分享

这张图展示了传统攻防及Web3对抗的案例分享。投毒简历前身为近期招聘者的实际简历,6月份已经本人经过面试并到达二轮面试,但7月份再次投递到邮箱,经排查和确认,简历被攻击队获取并植入恶意payload再次投递。攻击者利用该简历制作投毒简历后,同时进行多家单位的投递,8月份流出相关样本分析。整个过程包括收集招聘者优秀简历、植入后门制作投毒简历、批量投递投毒简历以及开源C2工具的使用。

image.png

企业为了方便管理信息资产,通常会部署一些集权软件用于运维。一旦此类设施失陷,相关终端又未能部署EDR类防护软件,则基本意味着“出局”。图中显示了进程链的示例,通过*绒进程推送下载,并在下载后拉起进程执行。

image.png

部分公司接入了第三方供应商的情报,但遇到此类情况时大多无法完成溯源及研判。初级的采用CDN(内容分发网络),企业白名单如云函数、云网关等,这些措施在面对复杂攻击时可能显得不足。

image.png

这张图展示了APT(高级持续性威胁)和黑灰产中的一个案例,银狐家族利用DLL加载捆绑SDLUpdateClient.exe,原文件名称为tu_re.exe,并且数字签名正常使用中,属于正常商业软件白名单,杀软放过了该文件。木马检测当前PC进程,匹配安全软件,比如360tray进程时会伪造360弹窗,试图误导用户主动退出360相关安全软件。

image.png

Web3覆盖了全球的商业市场,随着Web3新技术的逐渐覆盖及舆论宣传比特币/ETH等虚拟货币,让更多有不同背景和目的的职业黑客选手进入了这个赛道。比较具有代表性的是朝鲜APT组织Lazarus Group,交易所最为头疼的对象,甚至有Web3交易所或者类似公司专门将对抗Lazarus作为JD的一部分。毕竟Lazarus从17年至今,获利至少15亿美元。

image.png

剪贴板本质上是由系统预留的一块全局共享内存。部分商业EDR/AV不触发告警,但操作行为记录存在访问剪切板,因此可以靠自己的方法,做更多的隐藏。图中显示了一个简单的演示,通过代码读取和替换剪贴板内容,实现对特定关键词的替换。

image.png

对这个工具进行了一次更改,将其中的内容替换成了TRC20地址(可以替换成任意符合区块链交易的地址)。在过去的工作中,遇到的真实案例包括控制Windows白进程加载黑DLL进行开机自启,并且随机启动检查CPU,且不外联,不做任何shellcode操作,只对核心替换内容代码进行混淆,潜伏性极强。

image.png

这张图展示了传统攻防及Web3对抗中的多种攻击行为。多签钱包签名盗取:多人共同管理一个钱包日志,必须有规则以上,比如3/5、5/8等进行签名才能进行资金调用。交易所客服/运营活动薅羊毛:识别终端二维码解码,将二维码解码地址进行替换。交易所用户账户密码:匹配粘贴可能涉及到的关于大所登录用户名、密码、合约信息等。

image.png

防护升级之路

防护升级之路的框架:包括预防、检测、响应和运营四个阶段。在预防阶段,通过病毒查杀和漏洞修复来保障系统安全;在检测阶段,通过行为检测和审计溯源来发现潜在威胁;在响应阶段,采取文件隔离、终端隔离等措施应对安全事件;在运营阶段,进行资产信息盘点和可视化总览,确保系统的持续安全运行。

image.png

当安全团队经验及精力不足以运营或研判时,直接提供脱敏的运营数据给到优秀的乙方同学。从运营EDR至今所带来的正向反馈包括:一刀切情况可缓解,员工负面情绪降低,配合安全完成工作;更丰富的前后日志,能够较快定位问题,研判、溯源、止血等操作;依赖厂商程度降低,大部分的日志可由内部安全团队消费;各类运营成本降低与更多的开放能力比如威胁情报,更适合人员不多的安全团队。

image.png

正在进行的一些工作,包括将Soc数据与SIEM集成,以充分利用EDR提供的大量数据;降低运营难度,通过现有的游族AI设施进行初步的模型训练,已降低40%左右的告警量;以及应对EDR仍存在被绕过或无法检测的情况,需要更加深入的个人能力去研判,安全技术在于个人或者团队对OS和CN的了解程度。

image.png

相关文章
|
7天前
|
调度 云计算 芯片
云超算技术跃进,阿里云牵头制定我国首个云超算国家标准
近日,由阿里云联合中国电子技术标准化研究院主导制定的首个云超算国家标准已完成报批,不久后将正式批准发布。标准规定了云超算服务涉及的云计算基础资源、资源管理、运行和调度等方面的技术要求,为云超算服务产品的设计、实现、应用和选型提供指导,为云超算在HPC应用和用户的大范围采用奠定了基础。
179585 20
|
14天前
|
存储 运维 安全
云上金融量化策略回测方案与最佳实践
2024年11月29日,阿里云在上海举办金融量化策略回测Workshop,汇聚多位行业专家,围绕量化投资的最佳实践、数据隐私安全、量化策略回测方案等议题进行深入探讨。活动特别设计了动手实践环节,帮助参会者亲身体验阿里云产品功能,涵盖EHPC量化回测和Argo Workflows量化回测两大主题,旨在提升量化投研效率与安全性。
云上金融量化策略回测方案与最佳实践
|
16天前
|
人工智能 自然语言处理 前端开发
从0开始打造一款APP:前端+搭建本机服务,定制暖冬卫衣先到先得
通义灵码携手科技博主@玺哥超carry 打造全网第一个完整的、面向普通人的自然语言编程教程。完全使用 AI,再配合简单易懂的方法,只要你会打字,就能真正做出一个完整的应用。
9375 23
|
20天前
|
Cloud Native Apache 流计算
资料合集|Flink Forward Asia 2024 上海站
Apache Flink 年度技术盛会聚焦“回顾过去,展望未来”,涵盖流式湖仓、流批一体、Data+AI 等八大核心议题,近百家厂商参与,深入探讨前沿技术发展。小松鼠为大家整理了 FFA 2024 演讲 PPT ,可在线阅读和下载。
5051 15
资料合集|Flink Forward Asia 2024 上海站
|
20天前
|
自然语言处理 数据可视化 API
Qwen系列模型+GraphRAG/LightRAG/Kotaemon从0开始构建中医方剂大模型知识图谱问答
本文详细记录了作者在短时间内尝试构建中医药知识图谱的过程,涵盖了GraphRAG、LightRAG和Kotaemon三种图RAG架构的对比与应用。通过实际操作,作者不仅展示了如何利用这些工具构建知识图谱,还指出了每种工具的优势和局限性。尽管初步构建的知识图谱在数据处理、实体识别和关系抽取等方面存在不足,但为后续的优化和改进提供了宝贵的经验和方向。此外,文章强调了知识图谱构建不仅仅是技术问题,还需要深入整合领域知识和满足用户需求,体现了跨学科合作的重要性。
|
28天前
|
人工智能 自动驾驶 大数据
预告 | 阿里云邀您参加2024中国生成式AI大会上海站,马上报名
大会以“智能跃进 创造无限”为主题,设置主会场峰会、分会场研讨会及展览区,聚焦大模型、AI Infra等热点议题。阿里云智算集群产品解决方案负责人丛培岩将出席并发表《高性能智算集群设计思考与实践》主题演讲。观众报名现已开放。
|
16天前
|
人工智能 容器
三句话开发一个刮刮乐小游戏!暖ta一整个冬天!
本文介绍了如何利用千问开发一款情侣刮刮乐小游戏,通过三步简单指令实现从单个功能到整体框架,再到多端优化的过程,旨在为生活增添乐趣,促进情感交流。在线体验地址已提供,鼓励读者动手尝试,探索编程与AI结合的无限可能。
三句话开发一个刮刮乐小游戏!暖ta一整个冬天!
|
15天前
|
消息中间件 人工智能 运维
12月更文特别场——寻找用云高手,分享云&AI实践
我们寻找你,用云高手,欢迎分享你的真知灼见!
1188 72

热门文章

最新文章