從受信任的滲透測試工具到LOLBIN（living-off-the-land binaries），攻擊者正在通過濫用受信任的平臺和協議來逃避安全檢測。

　　CISO們擁有一系列不斷升級的工具來幫助其發現和阻止惡意活動，例如網絡監視工具、病毒掃描程序、軟件組成分析（SCA）工具、數字取證和事件響應（DFIR）解決方案等等。

　　但是，要知道，網絡安全本質上是攻防之間的持續之戰，在防御者不斷完善自身技能和工具的同時，攻擊者也在不斷提出新的挑戰。

　　一些老式技術，例如隱寫術（steganography）——一種將包含惡意有效負載的信息隱藏在其他良性文件（如圖像）中的技術——正在發展，從而帶來了新的可能性。例如，最近有研究人員證明，甚至Twitter也無法幸免于隱寫術，該平臺上的圖像可能會被濫用以在其中壓縮多達3MB的ZIP檔案。

　　更糟糕的現實是，除了使用混淆、隱寫術以及惡意軟件打包技術之外，如今的威脅行為者還經常利用合法服務、平臺、協議和工具來開展活動。這使他們能夠滲透進對人類分析人員和機器而言都看似“干凈”的流量或活動之中。

　　以下是如今網絡犯罪分子用來掩蓋其蹤跡的5種常見策略：

　　濫用不會發出警報的受信任平臺

　　這是安全專家在2020年就已經發現的一個普遍現象，且一直持續到了今年。

　　從滲透測試服務和工具（例如Cobalt Strike和Ngrok）到已建立的開源代碼生態系統（如GitHub），再到圖像和文本網站（如Imgur和Pastebin），攻擊者在過去幾年中已將目標鎖定為廣泛的受信任平臺。

　　通常來說，Ngrok的受眾大多為道德黑客，他們會利用該服務收集數據或為入站連接建立模擬隧道，作為漏洞賞金練習或滲透測試活動的一部分。但如今，越來越多的惡意行為者卻在濫用Ngrok直接安裝僵尸網絡惡意軟件，或將合法的通信服務連接到惡意服務器。在最近的示例中，SANS研究所的Xavier Mertens發現了一個用Python編寫的此類惡意軟件樣本，其中包含base64編碼的代碼，以便在使用Ngrok的受感染系統上植入后門。

　　由于Ngrok受到廣泛信任，因此遠程攻擊者可以通過Ngrok隧道連接到受感染的系統，而該隧道可能會繞過公司防火墻或NAT保護。

　　除此之外，GitHub也被濫用來將惡意軟件從Octopus Scanner托管到Gitpaste-12。最近，研究人員發現，一種新的惡意軟件使用帶有宏的Word文檔從GitHub下載PowerShell腳本。這個PowerShell腳本進一步從圖像托管服務Imgur下載合法的圖像文件，以解碼Windows系統上的Cobalt Strike腳本。Cobalt Strike是一種流行的滲透測試框架，用于模擬先進的現實世界網絡攻擊，但像任何安全軟件產品一樣，它同樣可能會遭到攻擊者的濫用。

　　同樣地，開發人員所依賴的自動化工具也無法幸免。

　　4月，攻擊者在一次自動攻擊中濫用了GitHub Actions來攻擊數百個存儲庫，該攻擊使用GitHub的服務器和資源進行加密貨幣挖掘。據悉，GitHub Actions 是 GitHub Universe 開發者大會上發布的一款被Github系統主管Sam Lambert稱為“再次改變軟件開發”的重磅功能，支持 CI/CD 并對開源項目免費，讓開發者能在 GitHub 服務器上直接執行和測試代碼，幫助開發者和企業實現所有軟件工作流程的自動化。

　　這些示例無一不在證實，攻擊者已經發現了利用眾多防火墻和安全監視工具可能無法阻止的合法平臺的巨大價值。

　　利用品牌價值、聲譽或知名度進行上游攻擊

　　在最近的SolarWinds漏洞之后，軟件供應鏈安全問題可能已經引起了公眾的廣泛關注，但實際上，這些攻擊已經上升了一段時間。

　　無論是誤植域名（typosquatting）、品牌劫持（brandjacking）或是依賴混亂（dependency confusion，最初是作為概念驗證研究被發現，后來被濫用為惡意目的），“上游”攻擊都濫用了已知合作伙伴生態系統內的信任，并利用了品牌或軟件組件的知名度或聲譽。攻擊者旨在將惡意代碼向上游推送到與品牌相關聯的受信任代碼庫，然后將其下游分發到最終目標：該品牌的合作伙伴、客戶或用戶等。

　　要知道，任何面向所有人開放的系統，同樣地也會向攻擊者開放。因此，許多供應鏈攻擊都是針對開源生態系統的，而其中一些已經懈怠于進行驗證，并堅持“向所有人開放”的原則。但是，商業組織也會由此受到攻擊影響。

　　最近，軟件審計平臺Codecov遭黑客入侵。調查發現，攻擊從1月31日就開始進行，但第一個客戶發現不對勁時已經是4月1日，這表示被入侵的軟件在長達數月時間里正常流通，而Codecov一直被行業內多家公司用來測試代碼錯誤和漏洞，其客戶包括了消費品集團寶潔公司、網絡托管公司GoDaddy Inc、澳大利亞軟件公司Atlassian Corporation PLC在內的29，000多家企業，所以潛在受害者規模可想而知。

　　據悉，在此次攻擊中，黑客利用Codecov的Docker映像創建過程中出現的錯誤，非法獲得了其Bash Uploader腳本的訪問權限并且進行了修改。而這意味著攻擊者很有可能導出存儲在Codecov用戶的持續集成（CI）環境中的信息，最后將信息發送到Codecov基礎架構之外的第三方服務器。

　　防范供應鏈攻擊需要從多個方面進行努力。軟件提供商將需要加大投資以確保其開發版本的安全。基于AI和ML的devops解決方案能夠自動檢測和阻止可疑軟件組件，可以幫助防止域名搶注、品牌劫持和依賴混亂攻擊。

　　此外，隨著越來越多的公司采用Kubernetes或Docker容器來部署其應用程序，具有內置Web應用程序防火墻，并能夠及早發現簡單的錯誤配置錯誤的容器安全解決方案，可以幫助防止更大的妥協。

　　通過難以追蹤的方式向加密貨幣支付轉移

　　鑒于其分散化和注重隱私的設計，暗網市場賣家和勒索軟件運營商經常使用加密貨幣進行支付。

　　然而，盡管并非由政府中央銀行鑄造或控制，但加密貨幣仍然缺乏與現金相同的匿名性。因此，網絡犯罪分子開始不斷尋找在賬戶間轉移資金的創新方法，而且確實被他們找到了。

　　最近，與2016年Bitfinex黑客事件相關的價值7.6億美元的比特幣正在通過多個較小的交易被轉移到新帳戶中，交易金額從1 BTC到1，200 BTC不等。

　　不過，加密貨幣并非隱藏錢跡萬無一失的方法。就在2020年美國總統大選之夜，美國政府清空了一個10億美元的比特幣錢包，其中包含與最臭名昭著的暗網市場“絲綢之路”相關的資金，而該市場本身已在2013年被關閉。

　　諸如Monero（XMR）和Zcash（ZEC）之類的其他一些加密貨幣，具有比比特幣更匿名的匿名交易保護功能。隨著攻擊者不斷尋找隱藏其蹤跡的更好方法，犯罪分子和調查人員之間的較量無疑將在這方面繼續。

　　使用通用渠道和協議

　　像受信任的平臺和品牌一樣，合法應用程序所使用的加密通道、端口和協議也為攻擊者提供了另一種掩蓋其足跡的方法。

　　例如，HTTPS是當今Web上最為普遍且不可缺少的協議，因此，在公司環境中很難禁用端口443（由HTTPS / SSL使用）。

　　然而，DoH（DNS Over HTTPS，一種用于解決域名的協議）也使用端口443，并且已被惡意軟件開發者濫用來將其命令和控制（C2）命令傳輸到受感染的系統。2019年，Network Security 研究人員發現了首個利用DoH協議的惡意軟件，它就是基于Lua編程語言的Godlua，通過使用DoH，該惡意軟件可以通過加密的HTTPS連接隱藏其DNS流量，從而允許Godlua逃避被動DNS監控。

　　此外，這種情況還帶來了兩個問題。首先，通過濫用HTTPS或DoH之類的通用協議，攻擊者享有與合法用戶相同的端到端加密通道的隱私優勢。

　　其次，這給網絡管理員帶來了挑戰。阻止任何形式的DNS本身都是一個挑戰，但是現在，由于DNS請求和響應都通過HTTPS進行了加密，因此對于安全專業人員來說，從經由網絡傳入和傳出的許多HTTPS請求中攔截、篩選和分析可疑流量就變得很麻煩。

　　最近，研究人員Alex Birsan證實，通過依賴性混亂（dependency confusion）技術可以成功入侵超過35家大型技術公司，包括微軟、蘋果、特斯拉、PayPal、Yelp等。而此舉，也讓其順利獲得兩家公司價值3萬美元的漏洞懸賞。據Birsan介紹，通過使用DNS（端口53）竊取基本信息，能夠最大程度地提高成功率。而之所以選擇DNS，是因為由于性能要求和合法的DNS使用，公司防火墻極有可能不阻止DNS流量。

　　使用簽名的二進制文件運行混淆的惡意軟件

　　使用LOLBIN的無文件惡意軟件仍然是一種有效的逃避技術。

　　LOLBIN是指合法的、經過數字簽名的可執行文件，例如Microsoft簽署的Windows可執行文件，攻擊者可能會濫用這些可執行文件來以更高的特權啟動惡意代碼，或者逃避端點安全產品（例如防病毒軟件）。

　　上個月，Microsoft分享了一些針對該方法的防御技術指南，企業可以采用這些建議來防止攻擊者濫用Microsoft的Azure LOLBIN。

　　盡管混淆的惡意軟件、運行時壓縮器（（Runtime Packer）、VM逃避或在圖像中隱藏惡意有效負載是高級威脅慣用的已知逃避技術，但其真正的力量來自繞過安全產品或逃避“雷達”檢測。

　　當有效負載在某種程度上與受信任的軟件組件、協議、通道、服務或平臺相結合時，這些攻擊場景都將成為可能。
責編AJX