攻击者隐藏踪迹的5种措施

从受信任的渗透测试工具到LOLBIN(living-off-the-land binaries)，攻击者正在通过滥用受信任的平台和协议来逃避安全检测。

CISO们拥有一系列不断升级的工具来帮助其发现和阻止恶意活动，例如网络监视工具、病毒扫描程序、软件组成分析(SCA)工具、数字取证和事件响应(DFIR)解决方案等等。

但是，要知道，网络安全本质上是攻防之间的持续之战，在防御者不断完善自身技能和工具的同时，攻击者也在不断提出新的挑战。

 

一些老式技术，例如隐写术(steganography)——一种将包含恶意有效负载的信息隐藏在其他良性文件(如图像)中的技术——正在发展，从而带来了新的可能性。例如，最近有研究人员证明，甚至Twitter也无法幸免于隐写术，该平台上的图像可能会被滥用以在其中压缩多达3MB的ZIP档案。

更糟糕的现实是，除了使用混淆、隐写术以及恶意软件打包技术之外，如今的威胁行为者还经常利用合法服务、平台、协议和工具来开展活动。这使他们能够渗透进对人类分析人员和机器而言都看似“干净”的流量或活动之中。

以下是如今网络犯罪分子用来掩盖其踪迹的5种常见策略：

滥用不会发出警报的受信任平台

这是安全专家在2020年就已经发现的一个普遍现象，且一直持续到了今年。

从渗透测试服务和工具(例如Cobalt Strike和Ngrok)到已建立的开源代码生态系统(如GitHub)，再到图像和文本网站(如Imgur和Pastebin)，攻击者在过去几年中已将目标锁定为广泛的受信任平台。

通常来说，Ngrok的受众大多为道德黑客，他们会利用该服务收集数据或为入站连接建立模拟隧道，作为漏洞赏金练习或渗透测试活动的一部分。但如今，越来越多的恶意行为者却在滥用Ngrok直接安装僵尸网络恶意软件，或将合法的通信服务连接到恶意服务器。在最近的示例中，SANS研究所的Xavier Mertens发现了一个用Python编写的此类恶意软件样本，其中包含base64编码的代码，以便在使用Ngrok的受感染系统上植入后门。

由于Ngrok受到广泛信任，因此远程攻击者可以通过Ngrok隧道连接到受感染的系统，而该隧道可能会绕过公司防火墙或NAT保护。

除此之外，GitHub也被滥用来将恶意软件从Octopus Scanner托管到Gitpaste-12。最近，研究人员发现，一种新的恶意软件使用带有宏的Word文档从GitHub下载PowerShell脚本。这个PowerShell脚本进一步从图像托管服务Imgur下载合法的图像文件，以解码Windows系统上的Cobalt Strike脚本。Cobalt Strike是一种流行的渗透测试框架，用于模拟先进的现实世界网络攻击，但像任何安全软件产品一样，它同样可能会遭到攻击者的滥用。

同样地，开发人员所依赖的自动化工具也无法幸免。

4月，攻击者在一次自动攻击中滥用了GitHub Actions来攻击数百个存储库，该攻击使用GitHub的服务器和资源进行加密货币挖掘。据悉，GitHub Actions 是 GitHub Universe 开发者大会上发布的一款被Github系统主管Sam Lambert称为“再次改变软件开发”的重磅功能，支持 CI/CD 并对开源项目免费，让开发者能在 GitHub 服务器上直接执行和测试代码，帮助开发者和企业实现所有软件工作流程的自动化。

这些示例无一不在证实，攻击者已经发现了利用众多防火墙和安全监视工具可能无法阻止的合法平台的巨大价值。