钓鱼佬最开心的事情,莫过于可以像上班一样,进行常态化钓鱼。你要是问他们今天钓没钓到鱼,只会换来一句回答:钓鱼佬永不空军。
点还是不点,这是一个问题
“这简历看起来不错啊。”作为一名招聘HR,他在朋友圈发了一条招聘广告。没过多久,就有陌生人加他好友并发来了一份简历。
“是挺不错的,可以约下面试。”用人部门回复的也非常干脆。
不过,在发出面试邀请之后,这名HR等到的并不是候选人的同意,而是公司网络安全部门的小窗:你好,我们这边收到OneSEC告警,显示你电脑疑似感染木马……
这是去年8月发生的,一次利用社交软件的钓鱼攻击。
在去年攻防演习期间微步捕获的数百个钓鱼样本中,钓鱼佬使用了各种迷惑性的主题,如简历、吃瓜、骚扰、曝光、补贴、社保、薪资等,总之一切可以吸引人眼球的东西,用于吸引受害者的点击。
甚至直接用大模型应用批量生成钓鱼内容。
有用,但不完全有用
针对恶意文件,钓鱼佬会做一些比较初级的伪装,比如更改文件名、图标、隐藏或者反转文件扩展名,使其看起来像是一个正常的文档,就像这样:
与此同时,为了确保绕过杀毒软件的文件扫描,钓鱼佬会配合使用更高级的攻击手法,例如:
0day利用
去年8月,微步捕获了某办公软件的0day在野攻击事件,攻击者利用该漏洞可生成钓鱼文档,只需用户打开文档便可触发攻击代码。
漏洞触发后,会反连一个外部链接并远程下载恶意文件,从而执行后续攻击命令。
dll劫持
同样是去年8月,微步捕获了一个文件名为xxx详细规范.docx(实际后缀为.exe)的钓鱼文件。应用程序执行后,会在特定目录下创建一个白文件(具备合法签名)和一个恶意dll,以“白加黑”的方式绕过杀软检测。
无文件攻击
在微步捕获的银狐黑产工具中,利用图片隐写Shellcode已经被广泛使用。攻击者在诱导用户点击钓鱼程序后会返连C2,然后将一张图片加载到内存中。用户看到的就是一张图片(不影响图片的正常显示),但在内存中该图片会解密释放出恶意代码,并创建计划任务实现开机启动。
整个过程没有任何传统意义上的恶意文件下载到硬盘上。
由于免杀效果好,上述攻击手法受到了攻击者的广泛欢迎,并大量应用于实战攻防演习。
因此,相较于依赖杀软,保持警惕性才是拒绝网络攻击的第一准则,比如不点击安全性未知的文件、链接,不插来源不明的U盘等,不给钓鱼佬可乘之机。
但即便钓不到鱼,钓鱼佬也不会坐等空军,因为他们还会“下网捕鱼”。
例如软件供应链攻击。
去年8月,OneSEC检测到某用户办公电脑启动了恶意dll和远控软件。
安全人员本以为是一次常规的钓鱼攻击,但分析显示,攻击者劫持了某办公软件的云服务进程,向用户投递恶意代码。恶意代码会拉取远控软件,帮助攻击者完成后续攻击行为。整个过程没有任何用户交互动作,与钓鱼毫无关系。
由于该办公软件用户数量庞大,理论上攻击者可以通过供应链,向所有用户发起攻击。
检测文件?检测行为
显而易见,基于文件检测技术的杀软,在终端上的攻防对抗已捉襟见肘。
但有一点可以确定,0day利用也好、无文件攻击也罢,任何网络攻击都需要一系列行为去支撑,包括但不限于进程创建、驱动程序加载、注册表修改、磁盘访问、内存访问和网络连接等,从而实现窃取、提权、横移、持久化等多种目的。
EDR的出现,能够很大程度上弥补杀毒软件在行为发现方面的缺失。这话说起来容易,但想要做到并非易事。
首先是具备全量终端行为事件采集能力,这是发现异常的前提。事件采集既要足够全面,具备足够细的颗粒度,也要遵循最小必要原则,不过多占用内存、带宽等系统资源。OneSEC支持采集100多种终端行为数据,全面覆盖网络、文件、进程、注册表、外设、内存等各个类型。
**其次是具备精准的检测能力,从海量行为数据中准确发现异常,误报、漏报都要尽可能降低。**OneSEC具备百亿级别的云查Hash、失陷检测IoC、行为检测IoA、图关联检测等多项检测技术综合判定产生告警。如果发现有内存注入等可疑行为,还会调用内存扫描,检测注入到内存中的恶意代码。
譬如在上文提到的0day攻击事件中,微步OneSEC和云沙箱便采集并检测到了多个异常行为:
文档运行后产生了与无关的网络活动,反连可疑链接;
在特定目录下创建了一个白文件和一个可疑dll文件;
dll文件执行后,会从云端加载下一阶段攻击载荷,反连C2来控制受害主机。
如果将上述可疑行为串联在一起,一次钓鱼样本的活动行为便清晰明了。
真的搞定了吗
检测发现之后,响应能力就成为了关键。在实际攻防过程中,许多人都有下面类似的经历:
杀软报毒→杀掉相关进程→以为没事了→进程复活了→再次kill……
只定位到了恶意进程,但并不明确是谁在反复启动相关进程,只会陷入上述死循环中。
想要跳出循环,要么“break”直接终止处置过程;要么触发了关键结果,“continue”到下一个阶段。
这个关键结果就是攻击源。
OneSEC具备追溯到执行源头的串链能力,可以准确定位钓鱼攻击源头,包括攻击源、事件源、进程源,为响应处置提供准确依据。如下图所示:
在此基础上,OneSEC提供了丰富的响应动作和逆向操作:包括基础的隔离文件、隔离进程、隔离终端、阻断网络,高阶的持久化清理如服务禁用、注册表清理、注册表删除及其逆向操作等,可根据攻击过程自动化生成处置建议,对常见威胁下发自动化响应策略。
如果还是搞不定,也别担心,OneSEC提供了MEDR模块,由微步安全专家协助远程运营。具体包括:
由微步专家团队在云端对OneSEC每日告警进行研判,给出处置建议;
依托于产品能力下发处置动作,协助用户进行处置闭环;
针对高危事件提供整体分析结果,包括时间线、影响面、攻击手法、处置建议等;
协助用户对产品进行策略优化,提高防御和运营效率;
针对APT、流行性木马等风险项,开展威胁分析和拓线,发现潜在的攻击行为;
对安全态势、事件追踪、处置结果等,输出周期性汇总报告。
在特殊时期(你懂得),用户可以开启重保模式,可基于重保情报进行检测与快速响应。
除此之外,OneSEC还提供了一个更为简单有效的模块:OneDNS。作为一款安全DNS服务,当监测到恶意程序反连C2时,OneDNS可根据高精准威胁情报,实时阻断域名解析过程,起到中止网络攻击的目的。
各司其职
事实上,OneSEC共包含了五大模块:EDR、杀毒、MEDR、终端管控和OneDNS。这五大模块各司其职、互不耦合,既可独立部署,也支持按需插件式启用。
所有这些只需要一次安装一个轻量级Agent,而且能够和企业现有的终端安全产品完美兼容。
在OneSEC Mac版的正式发布之后,OneSEC已完成了对Windows终端和Mac终端的全覆盖,安全运营人员可通过服务端对各分支机构、不同类型终端进行统一管理。
随着网络安全防御体系的日渐完善,想要直接突破网络边界已经变得不那么容易。因此,针对办公终端的攻击,变得越来越普遍。得手之后,攻击队可以迅速在办公网内部横向移动,寻找机会拿下靶标。
微步OneSEC就是那名终端守护者。
安全传送门
钓鱼防不胜防?
试试微步OneSEC
▼
扫码在线沟通
↓↓↓
点此电话咨询
· END ·