2023年7月,Wiz公司网络安全研究人员做出了突破性的发现,发现了一个基于python的无文件恶意软件,名为“PyLoose”。这次攻击是第一次记录在案的基于python的无文件攻击,明确针对现实场景中的云工作负载。使用Linux无文件技术memfd,PyLoose巧妙地将XMRigMiner直接加载到内存中,避免了将有效负载写入磁盘的需要,并利用了操作系统的功能来利用它。
这种反复发生的网络安全事件凸显了传统云安全措施面临的重大挑战。以下深入研究基于内存的攻击的技术方面、它们对传统安全防御的规避,并讨论保护云基础设施的主动策略。
了解基于内存的攻击
基于内存的攻击,通常被称为“无文件攻击”,已经成为黑客的首选武器。与依赖于存储在磁盘上的恶意文件的传统攻击不同,基于内存的攻击利用了目标系统的易失性内存。由于驻留在内存中,这些攻击在系统上留下的痕迹很小,因此难以检测和阻止。
通常情况下,基于内存的攻击是通过高级脚本语言(如PowerShell或JavaScript)实现的。它允许网络攻击者将恶意代码直接注入运行进程的内存空间。一旦代码被执行,攻击就可以悄悄地进行,执行从数据窃取和操纵到整个系统危害的各种操作。
规避传统云安全防御
基于内存的攻击激增的部分原因是它们能够避开传统的云安全防御。恶意行为者正在投入大量资源来实现先进的规避技术,旨在隐藏他们的活动并在受损的系统中获得强大的立足点。根据AquaSecurity公司的研究,对六个月数据的分析显示,超过50%的网络攻击是专门针对绕过防御措施的。
以下了解这些网络攻击绕过传统安全措施的一些主要方式:
(1)缺乏基于签名的检测:传统的防病毒软件和入侵检测系统(IDS)严重依赖基于签名的检测来识别已知的恶意软件和恶意文件。由于基于内存的攻击不涉及将文件写入磁盘,因此它们有效地避免触发这些签名,使它们对许多安全解决方案不可见。
(2)基于行为的规避:基于内存的攻击通常使用已经在系统上运行的合法进程,这使得基于行为的检测系统难以区分正常活动和恶意活动。这使得网络攻击能够无缝地融入环境。
(3)加密的有效负载:许多基于内存的攻击利用加密技术来混淆其有效负载,使其无法被安全扫描仪读取。这种策略防止安全工具检查攻击的内容并理解其意图。
(4)减少内存占用:通过仅在内存空间内操作,基于内存的攻击在系统上留下的内存占用可以忽略不计。这种规避特征使得攻击后的分析更加困难。
技术缓解战略
为了应对日益增长的基于内存的攻击威胁,云安全专业人员和IT管理员必须采用结合各种安全技术和最佳实践的多层方法。以下是企业可以采用的关键缓解策略,以防止基于内存的恶意软件。
(1)端点检测和响应(EDR):端点检测和响应(EDR)解决方案提供端点的实时监控,包括服务器和工作站,使组织能够检测和响应可疑活动,即使它们发生在内存中。利用机器学习和行为分析,EDR工具可以识别表明基于内存的攻击的异常活动。
(2)内存完整性保护:现代操作系统和云平台提供内存完整性保护机制。例如,微软在Windows10、Windows11和WindowsServer2016及更高版本中引入了基于虚拟化的安全(VBS)特性,即内存完整性),以打击内存漏洞,增强系统安全性。这些特性确保了系统内存空间的完整性,防止了未经授权的修改和篡改。
(3)定期软件更新和补丁管理:使所有软件和应用程序保持最新对于减轻基于内存的攻击至关重要。网络攻击者经常利用未打补丁软件中的已知漏洞渗透系统。定期更新有助于消除这些安全漏洞。
(4)特权升级缓解:限制用户特权和实现最小特权原则可以减轻基于内存的攻击的影响。限制用户在未经授权的情况下执行脚本或访问关键系统资源,可以减少攻击面。
(5)网络分段:将云计算网络正确地分割为不同的安全区域可以限制网络攻击者在环境中的横向移动。企业可以通过使用防火墙和访问控制来控制基于内存的攻击的影响。
(6)行为分析:实现监视用户和进程行为的行为分析工具可以帮助识别表明基于内存的攻击的可疑活动。例如,Mixpanel、Amplitude和FullStory等流行的用户行为分析工具可以检测未授权的向运行进程注入代码的企图。
结语
随着基于内存的攻击的激增仍在挑战传统的云安全防御,对主动和全面的安全措施的需求变得至关重要。采用结合端点检测和响应、内存完整性保护和定期更新的多层方法可以加强对这些难以捉摸的威胁的防御。
威胁形势不断变化,企业必须保持警惕,适应新的安全挑战,并投资于尖端技术,以保护其云计算基础设施和敏感数据。只有保持积极主动和信息灵通,才能在数字时代抵御黑客不断的攻击。