下一代防病毒（NGAV）、端點(diǎn)檢測(cè)和響應(yīng)（EDR）以及端點(diǎn)保護(hù)平臺(tái)（EPP）等網(wǎng)絡(luò)安全解決方案面臨著濫用、篡改和利用，以實(shí)現(xiàn)初始訪問(wèn)和持久性。威脅者知道，破壞這些防御系統(tǒng)往往更容易得到他們想要的東西。但有多少團(tuán)隊(duì)在網(wǎng)絡(luò)安全中優(yōu)先考慮防篡改？

想象一下你鎮(zhèn)上的一家小銀行。該銀行投資了最先進(jìn)的安全設(shè)備，有頂級(jí)的攝像頭和敏感的警報(bào)器，并與中央系統(tǒng)進(jìn)行通信。在主要的保險(xiǎn)箱上有一個(gè)大而硬的生物識(shí)別鎖，在厚重的鋼門后面有安全保障。

一切都感覺(jué)非常安全，直到有一天，電源關(guān)閉了。突然間，沒(méi)有電=沒(méi)有網(wǎng)絡(luò)=沒(méi)有安全。顯然，要繞過(guò)這個(gè)最先進(jìn)的安全系統(tǒng)，你所要做的就是撥動(dòng)為銀行供電的開關(guān)。

終止服務(wù)時(shí)間

我們都在電影中看到過(guò)這些場(chǎng)景，但在網(wǎng)絡(luò)安全領(lǐng)域，這其實(shí)離現(xiàn)實(shí)并不遙遠(yuǎn)。網(wǎng)絡(luò)犯罪分子總是在研究，并試圖在開始攻擊之前終止所有監(jiān)控工具和安全解決方案，如EDR、NGAV、EPP等。令人擔(dān)憂的是，這通常不是很復(fù)雜的做法，你只需要終止系統(tǒng)進(jìn)程和服務(wù)。

這有多難呢？如果一個(gè)攻擊者已經(jīng)泄露了管理權(quán)限，他們可以運(yùn)行一個(gè)簡(jiǎn)單的腳本來(lái)殺死所有的進(jìn)程。如果這不起作用，他們可以安裝一個(gè)被破壞的/有漏洞的內(nèi)核驅(qū)動(dòng)，從內(nèi)核空間進(jìn)行工作。此外，攻擊者還可以使用鉤子篡改的方法來(lái)避免監(jiān)控。

為了繞過(guò)屬于微軟病毒倡議（MVI）并與早期啟動(dòng)反惡意軟件（ELAM）驅(qū)動(dòng)程序一起發(fā)貨的安全廠商（可以通過(guò)微軟更好地保護(hù)和隔離服務(wù)），威脅者可能會(huì)安裝一個(gè)較弱的安全廠商，競(jìng)爭(zhēng)相同的安全類別，可以用來(lái)消除ELAM服務(wù)。Morphisec實(shí)驗(yàn)室的威脅研究團(tuán)隊(duì)在野外發(fā)現(xiàn)了一些威脅行為者使用的流行戰(zhàn)術(shù)，其中之一是部署Malwarebytes子組件作為攻擊載體的一部分。

正常情況VS有針對(duì)性的篡改

我們可以將篡改技術(shù)分為兩類：一般的和有針對(duì)性的。

一般性的篡改方法

現(xiàn)代惡意軟件經(jīng)常試圖關(guān)閉系統(tǒng)中的服務(wù)，然后再轉(zhuǎn)入下一步的攻擊載體。Windows服務(wù)控制管理器（SCM）提供了一個(gè)恢復(fù)機(jī)制，可以在終止后重新啟動(dòng)服務(wù)。但SCM恢復(fù)機(jī)制本身并不是保護(hù)關(guān)鍵服務(wù)的一個(gè)超級(jí)有效的補(bǔ)救措施。問(wèn)題是總是有一個(gè)時(shí)間差--即使是非常小的時(shí)間差--在這個(gè)時(shí)間差里，一個(gè)服務(wù)沒(méi)有運(yùn)行。即使服務(wù)快速恢復(fù)，安全系統(tǒng)通常是 "有狀態(tài) "的服務(wù)，所以為了準(zhǔn)確恢復(fù)，恢復(fù)服務(wù)之前的 "狀態(tài) "是至關(guān)重要的。

一個(gè)持久的攻擊者也可以對(duì)系統(tǒng)使用DOS（拒絕服務(wù)）攻擊。這將運(yùn)行一個(gè)終止/恢復(fù)的無(wú)限循環(huán)，因此服務(wù)忙于自己的恢復(fù)而不是檢測(cè)和預(yù)防。

有針對(duì)性的篡改

網(wǎng)絡(luò)犯罪團(tuán)伙獲取流行的安全軟件，包括免費(fèi)的和高級(jí)的，并研究其如何工作。他們經(jīng)常發(fā)現(xiàn)產(chǎn)品中的特定錯(cuò)誤，從而使他們能夠優(yōu)雅地終止產(chǎn)品。終止一些安全產(chǎn)品的另一種方法是通過(guò)濫用DLL劫持漏洞的錯(cuò)誤來(lái)劫持流量。這方面的一個(gè)例子是2019年發(fā)現(xiàn)的Mcafee殺毒軟件的漏洞。

不幸的是，擁有最大市場(chǎng)份額的安全解決方案比小供應(yīng)商更容易被篡改。這方面的一個(gè)例子是最近針對(duì)烏克蘭一家能源供應(yīng)商的Indutroyer2攻擊。ESET研究博客發(fā)現(xiàn) "在連接到目標(biāo)設(shè)備之前，該惡意軟件終止了一個(gè)用于標(biāo)準(zhǔn)日常操作的合法進(jìn)程。除此之外，它還通過(guò)在文件名中添加.MZ來(lái)重命名這個(gè)應(yīng)用程序。它這樣做是為了防止這個(gè)合法進(jìn)程的自動(dòng)重啟"。

當(dāng)Red Team評(píng)估篡改時(shí)，他們通常從終止用戶模式的應(yīng)用程序開始，或手動(dòng)關(guān)閉特定的進(jìn)程。上面的引文說(shuō)明了攻擊者是如何復(fù)雜和了解恢復(fù)選項(xiàng)的。

內(nèi)核模式 VS. 用戶模式的篡改

關(guān)于防止用戶模式應(yīng)用程序終止進(jìn)程的問(wèn)題已經(jīng)寫了很多，如進(jìn)程資源管理器、任務(wù)管理器、PowerShell和Process Hacker。

Process Hacker帶有一個(gè)簽名的內(nèi)核模式驅(qū)動(dòng)程序，它具有終止任何用戶模式進(jìn)程的高級(jí)權(quán)限。不幸的是，Process Hacker驅(qū)動(dòng)程序可以被用于惡意目的。這種攻擊技術(shù)被稱為 "自帶易受攻擊的驅(qū)動(dòng)程序"。

目前，關(guān)于內(nèi)核模式篡改的信息并不多。隨著網(wǎng)絡(luò)犯罪集團(tuán)變得越來(lái)越復(fù)雜，最近的攻擊顯示惡意代碼正在進(jìn)入操作系統(tǒng)的低層。在內(nèi)核模式下運(yùn)行的代碼通常是受信任的代碼，具有廣泛的系統(tǒng)權(quán)限。這意味著它可以終止進(jìn)程，刪除系統(tǒng)回調(diào)，并在某些情況下，修改Windows內(nèi)核的實(shí)際行為。微軟在幾年前推出了PatchGuard技術(shù)來(lái)處理內(nèi)核鉤子。然而，它仍然不是無(wú)懈可擊的，不能防止對(duì)所有內(nèi)核結(jié)構(gòu)的篡改。

確保網(wǎng)絡(luò)安全中的防篡改是有效的

為了評(píng)估網(wǎng)絡(luò)工具的防篡改效果，需要尋找的一些東西包括：進(jìn)程是否可以被各種工具終止，文件是否可以在磁盤上被修改或重命名，以及保護(hù)是否在 "安全模式 "啟動(dòng)時(shí)有效。

如前所述，另一個(gè)需要注意的重要因素是--也許是反直覺(jué)的--網(wǎng)絡(luò)安全供應(yīng)商的規(guī)模。小型供應(yīng)商被篡改的可能性明顯低于大型供應(yīng)商，而開源EDR則是一個(gè)很容易的目標(biāo)。例如，OpenEDR很容易被Process Hacker終止，盡管它有自我防御功能。

對(duì)于網(wǎng)絡(luò)安全廠商來(lái)說(shuō)，保持警惕以防止其產(chǎn)品被篡改是很重要的。如果網(wǎng)絡(luò)安全廠商能夠與操作系統(tǒng)廠商合作，將統(tǒng)一的防篡改解決方案標(biāo)準(zhǔn)化，那么世界將會(huì)受益。這將使他們能夠就可信的安全解決方案如何被操作系統(tǒng)識(shí)別為關(guān)鍵系統(tǒng)達(dá)成一致。MITRE對(duì)供應(yīng)商也有幾個(gè)非常重要的建議。

虹科Morphisec對(duì)保護(hù)我們的產(chǎn)品不被篡改非常重視。我們所有的產(chǎn)品和服務(wù)都是防彈的，而且我們一直在尋找新的方法來(lái)加強(qiáng)我們終端解決方案的完整性。要了解更多關(guān)于虹科Morphisec革命性的移動(dòng)目標(biāo)防御技術(shù)，即在運(yùn)行時(shí)在內(nèi)存中阻止網(wǎng)絡(luò)攻擊，請(qǐng)聯(lián)系我們。

拓展閱讀

Morphisec（摩菲斯）

Morphisec（摩菲斯）作為移動(dòng)目標(biāo)防御的領(lǐng)導(dǎo)者，已經(jīng)證明了這項(xiàng)技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動(dòng)的漏洞預(yù)防解決方案，每天保護(hù)800多萬(wàn)個(gè)端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實(shí)上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無(wú)文件攻擊，這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護(hù)平臺(tái)（EPP）未能檢測(cè)和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評(píng)論和PeerSpot評(píng)論)在其他NGAV和EDR解決方案無(wú)法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門程序(例如，Cobalt Strike、其他內(nèi)存信標(biāo))

供應(yīng)鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關(guān)鍵應(yīng)用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。

免費(fèi)的Guard Lite解決方案，將微軟的Defener AV變成一個(gè)企業(yè)級(jí)的解決方案。讓企業(yè)可以從單一地點(diǎn)控制所有終端。