随着网络犯罪分子逃避云安全防御,无文件攻击激增

最新推荐文章于 2023-07-04 07:00:00 发布
最新推荐文章于 2023-07-04 07:00:00 发布
阅读量1w 收藏
点赞数
分类专栏: 网络研究观 文章标签: 网络 安全 攻击 威胁 供应链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29607687/article/details/131507551
版权

本文首发微信公众号:网络研究院,关注获取更多。

去年,利用现有软件、应用程序和协议的无文件或基于内存的攻击数量激增 1,400%。这是根据 Aqua Security 的2023 年云原生威胁报告得出的,该报告总结了对威胁参与者不断变化的策略、技术和程序 (TTP) 的研究和观察,并概述了保护云环境的策略。

该报告基于 Aqua Nautilus 研究人员对 70 万次现实攻击的分析,涵盖了三个关键领域:软件供应链、风险态势(包括漏洞和错误配置)和运行时保护。

主要发现之一是,威胁行为者正在大量投入资源来隐藏活动并避免被发现,以便在受感染的系统中建立更牢固的立足点。与此同时,报告指出,云软件供应链中的各个领域仍然容易受到损害,并对组织构成重大威胁。

威胁行为者使用多种技术来隐藏活动

报告称,威胁行为者正在使用多种技术来向无代理解决方案隐藏他们的活动。六个月内收集的蜜罐汇总数据显示,超过 50% 的攻击集中于防御规避。攻击包括伪装技术(例如从 /tmp 执行的文件)以及混淆的文件或信息(例如动态加载代码)。

此外,5% 的攻击中,威胁行为者使用了内存驻留恶意软件。

在 2023 年初检测到的“HeadCrab”活动中发现了威胁行为者不断增加并成功规避无代理技术的最有说服力的证据。这个高级威胁行为者使用最先进的定制恶意软件,无代理和传统防病毒技术无法检测到。

Aqua 发现有证据表明 HeadCrab 已经控制了至少 1200 台 Redis 服务器,其中一些属于安全公司。该恶意软件使用 Redis 命令并创建新命令来增强受害者服务器的功能。这种规避攻击技术凸显了基于代理的运行时安全性的重要性。

应对规避、隐蔽攻击的4个步骤

建议企业实施四个步骤来减轻使用逃避/隐藏来避开云安全防御的攻击的威胁:

  1. 定期监控和分析日志。“收集并分析来自各种云服务和基础设施组件的日志,”Morag 说。“实施强大的日志管理系统,并采用安全信息和事件管理 (SIEM) 工具来检测和响应可疑活动和潜在的规避尝试。”

  2. 实施网络分段,因为将云网络分段为具有不同安全控制的单独区域或虚拟网络有助于遏制成功攻击的影响。“这限制了云环境中的横向移动,并减少了攻击者成功逃避检测的机会。”

  3. 使用入侵检测和防御系统 (IDPS) 监控网络流量并检测已知的攻击模式。这些系统可以识别并阻止攻击者用来绕过安全防御的规避技术。

  4. 使用基于行为的异常检测。莫拉格说,采用先进的安全解决方案进行行为分析,以识别异常活动和偏离正常模式的情况。这有助于检测攻击者采用的规避策略,而使用传统的基于签名的方法(包括防御规避技术)可能难以识别攻击者的规避策略。

软件供应链的复杂性造成了巨大的攻击面

该报告还强调了软件供应链的复杂性如何呈现出包括各种应用程序的大型攻击面,从而可能导致错误配置和漏洞。数据显示,供应链攻击同比增长超过 300%。

该报告重点关注的一个领域是威胁行为者如何利用软件包并将其用作攻击媒介来颠覆更广泛的软件供应链。通过我们的研究,我们展示了攻击者如何在 NPM 包管理器中执行侦察和利用包。这涉及使用 NPM 的 API 来检测私有包并识别双因素身份验证中可能导致帐户接管攻击的缺陷。

此外,该公司还发现了一个名为“包植入”的逻辑缺陷,该缺陷允许攻击者将恶意包伪装成合法包,并且在所有Node.js 版本中发现了一个允许嵌入恶意代码的漏洞 ( CVE-2022-32223 )到软件包中并导致 Windows 环境中的权限升级/恶意软件持续存在。 

研究人员发现了超过 7.7 亿条免费用户的日志暴露在互联网上,在下载了 700 万条日志的样本 (~1%) 后,他们发现了数以万计的暴露令牌、秘密和其他凭证 – 其中 50%报告称,这些秘密和凭证仍然有效。

2022年扫描的十大漏洞

报告列出了去年扫描的十大漏洞,其中大多数与远程代码执行有关。这强化了攻击者正在寻找初始访问权限并在远程系统上运行恶意代码的想法。

此外,我们发现 Apache 服务器和服务受到了广泛的攻击,因为 Log4Shell、Text4Shell、Spring Framework 和其他服务都与 Apache 相关。

就 2022 年漏洞的严重程度而言,27% 为严重漏洞,35% 为高漏洞,37% 为中漏洞,1% 为低漏洞。

报告阅读下载链接:

https://pan.baidu.com/s/1rdM9nZNIuYh6S12z_oJi-Q?pwd=0629

报告中排名前10位的漏洞是:

1. Log4Shell – Server CVE-2021-44228

2. Apache HTTP – Server CVE-2021-42013

3. Apache HTTP Server – CVE-2021-41773

4. Spring Cloud RCE – CVE-2022-22963

5. Text4Shell – CVE-2022-42889

6. Cisco ASA & FTD – CVE-2020-3452

7. Lua Sandbox Escape in Redis – CVE-2022-0543

8. RCE on VMware Identity Manager – CVE-2022-22954

9. XML XXE on Zimbra – CVE-2022-22954

10. Oracle WebLogic RCE – CVE-2022-42889

网络研究观
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
企业防范BEC攻击的八种关键方法
02-19
网络犯罪分子不仅擅长用AI编写极具说服力的钓鱼电子邮件,而且还能逃避传统电子邮件安全工具的检测,大规模地提高攻击的覆盖范围和复杂性。 2024年,随着BEC攻击激增网络安全团队和业务经理需要认识到,技术防御...
《2024网络安全报告》中文版
05-10
Check Point发布了《2024 年网络安全报告》,Check Point Research 对网络攻击数据(包括所有地区和全球的统计数据)进行了全面分析,揭示了不断变化的网络威胁形势。 ● 去年,全球 1/10 的机构遭遇勒索软件攻击...
2022年最常被利用的十大漏洞
Innocence_0的博客
06-20 371
6月份,包括Kinsing、Hezb和Dark在内的几个僵尸网络使用Atlassian Confluence的远程执行漏洞(CVE-2022-26134),在未打补丁的安装系统上部署挖掘加密货币的恶意软件。现已得到修补的CVE-2022-0609是谷歌Chrome的动画组件中的远程代码执行漏洞,两起独立的与朝鲜有关的黑客活动(名为“Operation Dream Job”和“Operation AppleJeus”)利用了该漏洞,这两起黑客活动攻击美国的媒体、IT、加密货币和金融技术等行业的多家组织。
修复tomcat漏洞
hryzxjh的博客
06-25 4571
当前Tomcat存在漏洞Apache Tomcat 代码问题漏洞(CVE-2022-29885)Apache Tomcat 注入漏洞(CVE-2022-45143)Apache Tomcat 环境问题漏洞(CVE-2022-42252)Apache Tomcat 权限许可和访问控制问题漏洞(CVE-2022-23181)Apache Commons FileUpload 拒绝服务漏洞(CVE-2023-24998)Apache Tomcat 跨站脚本漏洞(CVE-2022-34305)
春秋云镜cve-2022-32991wp
CS160126的博客
06-27 565
春秋云镜cve-2022-32991
Sangfor华东天勇战队:CVE-2022-22947注入Spring内存马
bring_coco的博客
06-26 1590
中间的这一段’yv66vgAAA…'需要将class文件进行base64编码,如下。编译成SpringRequestMappingMemshell.class即可。刷新之后可以看到成功注册路由,也就相当于我们的内存马写了进去。接下来执行内存马,可以直接访问接口并输入命令,如下。
记录一次vulhub:Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
sszsNo1的博客
06-29 200
vulhub:Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
网络安全攻与防.v2.天融信.pptx
08-14
网络安全是当前信息技术领域的重要议题,尤其在网络攻防的层面,涉及到的是企业和个人的数据安全与隐私保护。本讲座“网络安全攻与防”通过丰富的实例和挑战,深入探讨了网络安全的多个关键方面。 首先,网络攻击的...
2024中国网络安全产品用户调查报告(发布版)
最新发布
06-12
新十年的开始即被新冠疫情逆转了全球化发展的历程,而至2022年3月俄乌战争又突然爆发,紧接着2023年7月“巴以冲突"皱起,世界快速进入动荡中,不确定性激增网络对抗愈演愈烈,导致中国网络安全市场和环境受到重大...
信息网络安全威胁的主要方式解析.pdf
11-11
2. **新时期下的安全攻击方式** - **恶意软件的演变** - 木马攻击:网页挂马技术普及,木马制造者通过多线程保护、分片及多级切换逃避检测。 - 蠕虫攻击:采用多层加壳提高隐蔽性,P2P传播模式扩大破坏范围。 -...
字节跳动内推
HWHXY的博客
03-23 605
字节跳动内推
春秋云镜 CVE-2022-25578
qq_22002773的博客
06-30 224
春秋云镜 CVE-2022-25578
CVE-2022-23222 漏洞复现
qq_43472789的博客
06-09 647
2022年1月14日,一个编号为CVE-2022-23222的漏洞被公开,这是一个位于eBPF验证器中的漏洞,漏洞允许eBPF程序在未经验证的情况下对特定指针进行运算,通过精心构造的代码,可以实现任意内核内存读写,而这将会造成本地提权的风险。由于内核在执行用户提供的 eBPF 程序前缺乏适当的验证,攻击者可以利用这个漏洞获取 root 权限。该漏洞是由于 Linux 内核的 eBPF 验证器存在一个空指针漏洞,没有对*_OR_NULL指针类型进行限制,允许这些类型进行指针运算。
Goby漏洞更新|Apache ShenYu Admin plugin 接口未授权访问漏洞(CVE-2022-23944)
m0_46699477的博客
04-07 672
Apache ShenYu是美国阿帕奇(Apache)基金会的一个异步的,高性能的,跨语言的,响应式的 API 网关。Apache ShenYu 2.4.0 和 2.4.1存在访问控制错误漏洞,该漏洞源于用户无需身份验证即可访问 /plugin api。
春秋云镜 CVE-2022-29464
qq_22002773的博客
06-26 306
春秋云镜 CVE-2022-29464
i春秋,春秋云镜系列所有靶场
qq_47289634的博客
07-03 1259
该CMS的welcome.php中存在SQL注入攻击。多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。WSO2文件上传漏洞(CVE-2022-29464)是Orange Tsai发现的WSO2上的严重漏洞。
春秋云镜 CVE-2022-25411
qq_22002773的博客
07-04 475
春秋云镜 CVE-2022-25578
Drools(CVE-2021-41411 && CVE-2022-1415)分析
GalaxySpaceX的博客
06-27 408
CVE-2021-41411 && CVE-2022-1415分析
Goby漏洞更新 | 斐讯 FIR302B management.cgi 远程命令执行漏洞 (CVE-2022-27373)
m0_46699477的博客
04-01 444
phicomm Feixun fir302b 是中国上海斐讯数据通信技术有限公司(phicomm)公司的一个路由器。 Feixun fir302b 存在安全漏洞,该漏洞源于发现通过Ping功能包含一个远程命令执行(RCE)漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值