關(guān)注 | 一種可高度規(guī)避檢測(cè)的新威脅:HEAT

閱讀 ?·? 發(fā)布日期 2022-04-07 15:41 ?·? admin

研究人員日前發(fā)現(xiàn),HEAT(Highly Evasive Adaptive Threat)是一種具備高度規(guī)避性的自適應(yīng)新威脅,它使用多種技術(shù),專門(mén)規(guī)避當(dāng)前安全架構(gòu)中多層機(jī)制的檢測(cè)。

 

在疫情防控常態(tài)化趨勢(shì)下,越來(lái)越多的企業(yè)開(kāi)啟遠(yuǎn)程辦公模式,企業(yè)“上云”成為驅(qū)動(dòng)流程創(chuàng)新和業(yè)務(wù)創(chuàng)新的主流方式。為了對(duì)遠(yuǎn)程模式的員工下手,網(wǎng)絡(luò)犯罪分子經(jīng)常通過(guò)網(wǎng)絡(luò)釣魚(yú)或魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件發(fā)送惡意鏈接。雖然這種簡(jiǎn)單的攻擊策略很有效,但攻擊者一直在改變攻擊方法,并尋找新的攻擊途徑,企圖保持領(lǐng)先一步實(shí)施攻擊。

 

可規(guī)避現(xiàn)有檢測(cè)技術(shù)的新威脅

 

高度規(guī)避性自適應(yīng)威脅HEAT使用多種技術(shù),專門(mén)規(guī)避當(dāng)前安全架構(gòu)中多層機(jī)制的檢測(cè),這種威脅投遞惡意軟件或竊取登錄信息,為盜竊數(shù)據(jù)、隱形監(jiān)控、接管賬戶和植入勒索軟件有效載荷創(chuàng)造條件。

 

HEAT攻擊者利用以下四種規(guī)避技術(shù)繞過(guò)傳統(tǒng)網(wǎng)絡(luò)安全防御。

 

•規(guī)避靜態(tài)內(nèi)容檢查和動(dòng)態(tài)內(nèi)容檢查:HEAT攻擊規(guī)避特征和行為分析引擎,使用HTML走私(HTML smuggling)之類的新穎技術(shù),向受害者投遞惡意有效載荷。

 

•規(guī)避惡意鏈接分析:在電子郵件路徑中,企業(yè)常常可以在惡意鏈接抵達(dá)用戶之前分析鏈接,然而,HEAT威脅規(guī)避了歷來(lái)在電子郵件路徑中實(shí)施的惡意鏈接分析引擎。

 

•規(guī)避離線分類和威脅檢測(cè):HEAT攻擊闖入良性網(wǎng)站,或不遺余力地創(chuàng)建新網(wǎng)站(名為“Good2Bad”網(wǎng)站),并從這些網(wǎng)站投遞惡意軟件,從而繞過(guò)Web分類機(jī)制。研究人員發(fā)現(xiàn),從2020年到2021年,Good2Bad網(wǎng)站的數(shù)量增加了137%以上。

 

•規(guī)避HTTP流量檢查:在HEAT攻擊中,包括瀏覽器漏洞、加密貨幣代碼、網(wǎng)絡(luò)釣魚(yú)工具包代碼和冒充知名品牌徽標(biāo)的圖像等在內(nèi)的惡意內(nèi)容,由瀏覽器中的JavaScript通過(guò)渲染引擎生成,在這種情況下,檢測(cè)技術(shù)顯得毫無(wú)用處。

 

如何應(yīng)對(duì)HEAT威脅

 

HEAT攻擊現(xiàn)被包括Nobelium(SolarWinds攻擊背后的團(tuán)伙)在內(nèi)的知名威脅團(tuán)伙所利用,且呈愈演愈烈之勢(shì)。事實(shí)上,Menlo Labs研究團(tuán)隊(duì)觀察到,僅在2021年下半年,HEAT攻擊就猛增了224%。鑒于最終用戶會(huì)有75%的工作時(shí)間花在瀏覽器上,這種高度規(guī)避性攻擊的數(shù)量和復(fù)雜度會(huì)隨之飆升,企業(yè)有必要對(duì)這種攻擊做好針對(duì)性防御。

 

全球數(shù)百萬(wàn)企業(yè)和個(gè)人依靠瀏覽器來(lái)執(zhí)行大部分工作和私人事務(wù),隨著遠(yuǎn)程辦公的蔚然成風(fēng),加上威脅技術(shù)的迅猛發(fā)展,這種攻擊已成為當(dāng)今企業(yè)面臨的最大威脅之一。此外,由于HEAT攻擊隱藏在合法使用的背后,包括安全Web網(wǎng)關(guān)、沙盒、URL信譽(yù)和過(guò)濾在內(nèi)的傳統(tǒng)安全功能對(duì)這種類型的攻擊毫無(wú)作用。僅僅阻止它們行不通。相反,企業(yè)必須能夠防范這些技術(shù)的惡意使用,才能有效地保護(hù)自身。

 

企業(yè)不僅需要與時(shí)俱進(jìn),實(shí)施針對(duì)復(fù)雜威脅的安全策略和功能,還要改變觀念,才能保護(hù)企業(yè)免受未來(lái)黑客的攻擊。為了保護(hù)網(wǎng)絡(luò),安全領(lǐng)導(dǎo)者和業(yè)務(wù)領(lǐng)導(dǎo)者須改變注重檢測(cè)和補(bǔ)救的觀念,轉(zhuǎn)而采取一種基于零信任架構(gòu)的預(yù)防性安全方法,并采用安全訪問(wèn)服務(wù)邊緣(SASE)框架,以保護(hù)遠(yuǎn)程混合員工隊(duì)伍。只有在靠近最終用戶、應(yīng)用程序和數(shù)據(jù)的地方采取安全措施,才能取得良好的效果。

 

威脅在不斷變化,黑客也變得越來(lái)越高明,所有企業(yè)成為受害者的風(fēng)險(xiǎn)比以往更大。有一點(diǎn)可以肯定:安全領(lǐng)導(dǎo)者必須保持靈活,確保安全架構(gòu)與時(shí)俱進(jìn)以防止攻擊發(fā)生,并且落實(shí)具體的計(jì)劃,以防不時(shí)之需。只有防止網(wǎng)絡(luò)犯罪分子接近其覬覦的網(wǎng)絡(luò)、應(yīng)用程序和設(shè)備,企業(yè)才能確保資源不受感染,從而讓安全運(yùn)營(yíng)團(tuán)隊(duì)更專注于其他可能影響更大的威脅。

 

為您推薦