终端安全现状
国内甲方公司常见的端点安全运营现状包括:不杀不拦只告警,终端覆盖不全;关键日志缺失,运营排查止血难;安全一刀切,员工负反馈较多;策略更新,维护强依靠厂商;难以界定终端行为,安全团队经验浅。这些情况反映了当前端点安全管理中的诸多挑战和不足。
终端安全现状面临多种挑战:传统签名技术难以抵御新型威胁与攻击,企业终端在新攻击面前基本失效;利用正常权限和账户进行入侵的场景增多;新型无文件攻击形式(如无可执行文件落地)和未知恶意软件、未知特征恶意文件攻击频发。同时,专业安全技术人员匮乏,安全运营人员少且经验浅,数据体量大,传统硬件部署方式导致产品迭代更新慢,病毒和威胁情报无法紧跟时事,安全策略运维困难,内置策略基本为零,后期维护成本高。多分支的终端成为攻击者的关键入侵点,分支机构业务人员较多,整体安全和IT基础知识薄弱,总部和各分支有多款安全产品,运维管理工作量极大,难以全球统管,各分支安全策略难以按照集团统一标准执行,尤其偏远分支安全管理水平不足。
终端安全现状中,钓鱼投递手法更加精细化,业务伪装度非常高,邮件钓鱼更倾向于钓个人邮箱以绕过企业的安全防护体系。除了IM、邮件钓鱼,集权系统失陷继续存在,还出现了多起针对客服系统的钓鱼。静态伪装更深度,从loader到shellcode都有做对抗,避免被杀软查杀和逆向分析。动态对抗是一线对抗最大的亮点,以绕过EDR为目的,从栈混淆、Syscall、dll加载中的栈伪装等,出现频率不高,但体现了攻击队在当前终端对抗上的最高水平。白加黑依然是主流的手法,白模块从常见应用切换到了操作系统正常的模块,伪装性更高。凭据窃取依然是攻击者最常用的模块,浏览器凭据窃取最为常见,少量出现数据窃取。厂商支持的云函数锐减,C2通信以域前置为主,流量侧的检测和防护难度高。随着cobaltstrike的持续迭代,依然成为攻击者最主要使用的框架。随着Web3技术与加密货币的爆发发展,越来越多的职业黑客或特殊背景选手盯上了个人钱包以及大型交易公司。
每一次真实对抗都需要成本,攻击者不会做没有回报的事情。攻击者改变策略,进行有组织的大规模攻击,并且目标明确。攻击策略演进,针对特定目标并采取层层递进的攻击路径。攻击技术愈发先进,采用新的逃避检测技术和更隐蔽的攻击手法,迭代更新更快。新的攻击目的包括攻击、盗币、洗币一条龙,攻击群体更加广泛,从行业到公司再到个人。防守难度直线上升,终端环境复杂暴露面更大,攻击来源更广,多维度防范传统的防护体系容易失效。日志告警和安全运营人员疲惫不堪,基础设施无法止血。
传统攻防及Web3对抗分享
这张图展示了传统攻防及Web3对抗的案例分享。投毒简历前身为近期招聘者的实际简历,6月份已经本人经过面试并到达二轮面试,但7月份再次投递到邮箱,经排查和确认,简历被攻击队获取并植入恶意payload再次投递。攻击者利用该简历制作投毒简历后,同时进行多家单位的投递,8月份流出相关样本分析。整个过程包括收集招聘者优秀简历、植入后门制作投毒简历、批量投递投毒简历以及开源C2工具的使用。
企业为了方便管理信息资产,通常会部署一些集权软件用于运维。一旦此类设施失陷,相关终端又未能部署EDR类防护软件,则基本意味着“出局”。图中显示了进程链的示例,通过*绒进程推送下载,并在下载后拉起进程执行。
部分公司接入了第三方供应商的情报,但遇到此类情况时大多无法完成溯源及研判。初级的采用CDN(内容分发网络),企业白名单如云函数、云网关等,这些措施在面对复杂攻击时可能显得不足。
这张图展示了APT(高级持续性威胁)和黑灰产中的一个案例,银狐家族利用DLL加载捆绑SDLUpdateClient.exe,原文件名称为tu_re.exe,并且数字签名正常使用中,属于正常商业软件白名单,杀软放过了该文件。木马检测当前PC进程,匹配安全软件,比如360tray进程时会伪造360弹窗,试图误导用户主动退出360相关安全软件。
Web3覆盖了全球的商业市场,随着Web3新技术的逐渐覆盖及舆论宣传比特币/ETH等虚拟货币,让更多有不同背景和目的的职业黑客选手进入了这个赛道。比较具有代表性的是朝鲜APT组织Lazarus Group,交易所最为头疼的对象,甚至有Web3交易所或者类似公司专门将对抗Lazarus作为JD的一部分。毕竟Lazarus从17年至今,获利至少15亿美元。
剪贴板本质上是由系统预留的一块全局共享内存。部分商业EDR/AV不触发告警,但操作行为记录存在访问剪切板,因此可以靠自己的方法,做更多的隐藏。图中显示了一个简单的演示,通过代码读取和替换剪贴板内容,实现对特定关键词的替换。
对这个工具进行了一次更改,将其中的内容替换成了TRC20地址(可以替换成任意符合区块链交易的地址)。在过去的工作中,遇到的真实案例包括控制Windows白进程加载黑DLL进行开机自启,并且随机启动检查CPU,且不外联,不做任何shellcode操作,只对核心替换内容代码进行混淆,潜伏性极强。
这张图展示了传统攻防及Web3对抗中的多种攻击行为。多签钱包签名盗取:多人共同管理一个钱包日志,必须有规则以上,比如3/5、5/8等进行签名才能进行资金调用。交易所客服/运营活动薅羊毛:识别终端二维码解码,将二维码解码地址进行替换。交易所用户账户密码:匹配粘贴可能涉及到的关于大所登录用户名、密码、合约信息等。
防护升级之路
防护升级之路的框架:包括预防、检测、响应和运营四个阶段。在预防阶段,通过病毒查杀和漏洞修复来保障系统安全;在检测阶段,通过行为检测和审计溯源来发现潜在威胁;在响应阶段,采取文件隔离、终端隔离等措施应对安全事件;在运营阶段,进行资产信息盘点和可视化总览,确保系统的持续安全运行。
当安全团队经验及精力不足以运营或研判时,直接提供脱敏的运营数据给到优秀的乙方同学。从运营EDR至今所带来的正向反馈包括:一刀切情况可缓解,员工负面情绪降低,配合安全完成工作;更丰富的前后日志,能够较快定位问题,研判、溯源、止血等操作;依赖厂商程度降低,大部分的日志可由内部安全团队消费;各类运营成本降低与更多的开放能力比如威胁情报,更适合人员不多的安全团队。
正在进行的一些工作,包括将Soc数据与SIEM集成,以充分利用EDR提供的大量数据;降低运营难度,通过现有的游族AI设施进行初步的模型训练,已降低40%左右的告警量;以及应对EDR仍存在被绕过或无法检测的情况,需要更加深入的个人能力去研判,安全技术在于个人或者团队对OS和CN的了解程度。