随着网络犯罪分子逃避云安全防御,无文件攻击激增

本文首发微信公众号:网络研究院,关注获取更多。

去年,利用现有软件、应用程序和协议的无文件或基于内存的攻击数量激增 1,400%。这是根据 Aqua Security 的2023 年云原生威胁报告得出的,该报告总结了对威胁参与者不断变化的策略、技术和程序 (TTP) 的研究和观察,并概述了保护云环境的策略。

该报告基于 Aqua Nautilus 研究人员对 70 万次现实攻击的分析,涵盖了三个关键领域:软件供应链、风险态势(包括漏洞和错误配置)和运行时保护。

主要发现之一是,威胁行为者正在大量投入资源来隐藏活动并避免被发现,以便在受感染的系统中建立更牢固的立足点。与此同时,报告指出,云软件供应链中的各个领域仍然容易受到损害,并对组织构成重大威胁。

威胁行为者使用多种技术来隐藏活动

报告称,威胁行为者正在使用多种技术来向无代理解决方案隐藏他们的活动。六个月内收集的蜜罐汇总数据显示,超过 50% 的攻击集中于防御规避。攻击包括伪装技术(例如从 /tmp 执行的文件)以及混淆的文件或信息(例如动态加载代码)。

此外,5% 的攻击中,威胁行为者使用了内存驻留恶意软件。

在 2023 年初检测到的“HeadCrab”活动中发现了威胁行为者不断增加并成功规避无代理技术的最有说服力的证据。这个高级威胁行为者使用最先进的定制恶意软件,无代理和传统防病毒技术无法检测到。

Aqua 发现有证据表明 HeadCrab 已经控制了至少 1200 台 Redis 服务器,其中一些属于安全公司。该恶意软件使用 Redis 命令并创建新命令来增强受害者服务器的功能。这种规避攻击技术凸显了基于代理的运行时安全性的重要性。

应对规避、隐蔽攻击的4个步骤

建议企业实施四个步骤来减轻使用逃避/隐藏来避开云安全防御的攻击的威胁:

  1. 定期监控和分析日志。“收集并分析来自各种云服务和基础设施组件的日志,”Morag 说。“实施强大的日志管理系统,并采用安全信息和事件管理 (SIEM) 工具来检测和响应可疑活动和潜在的规避尝试。”

  2. 实施网络分段,因为将云网络分段为具有不同安全控制的单独区域或虚拟网络有助于遏制成功攻击的影响。“这限制了云环境中的横向移动,并减少了攻击者成功逃避检测的机会。”

  3. 使用入侵检测和防御系统 (IDPS) 监控网络流量并检测已知的攻击模式。这些系统可以识别并阻止攻击者用来绕过安全防御的规避技术。

  4. 使用基于行为的异常检测。莫拉格说,采用先进的安全解决方案进行行为分析,以识别异常活动和偏离正常模式的情况。这有助于检测攻击者采用的规避策略,而使用传统的基于签名的方法(包括防御规避技术)可能难以识别攻击者的规避策略。

软件供应链的复杂性造成了巨大的攻击面

该报告还强调了软件供应链的复杂性如何呈现出包括各种应用程序的大型攻击面,从而可能导致错误配置和漏洞。数据显示,供应链攻击同比增长超过 300%。

该报告重点关注的一个领域是威胁行为者如何利用软件包并将其用作攻击媒介来颠覆更广泛的软件供应链。通过我们的研究,我们展示了攻击者如何在 NPM 包管理器中执行侦察和利用包。这涉及使用 NPM 的 API 来检测私有包并识别双因素身份验证中可能导致帐户接管攻击的缺陷。

此外,该公司还发现了一个名为“包植入”的逻辑缺陷,该缺陷允许攻击者将恶意包伪装成合法包,并且在所有Node.js 版本中发现了一个允许嵌入恶意代码的漏洞 ( CVE-2022-32223 )到软件包中并导致 Windows 环境中的权限升级/恶意软件持续存在。 

研究人员发现了超过 7.7 亿条免费用户的日志暴露在互联网上,在下载了 700 万条日志的样本 (~1%) 后,他们发现了数以万计的暴露令牌、秘密和其他凭证 – 其中 50%报告称,这些秘密和凭证仍然有效。

2022年扫描的十大漏洞

报告列出了去年扫描的十大漏洞,其中大多数与远程代码执行有关。这强化了攻击者正在寻找初始访问权限并在远程系统上运行恶意代码的想法。

此外,我们发现 Apache 服务器和服务受到了广泛的攻击,因为 Log4Shell、Text4Shell、Spring Framework 和其他服务都与 Apache 相关。

就 2022 年漏洞的严重程度而言,27% 为严重漏洞,35% 为高漏洞,37% 为中漏洞,1% 为低漏洞。

报告阅读下载链接:

https://pan.baidu.com/s/1rdM9nZNIuYh6S12z_oJi-Q?pwd=0629

报告中排名前10位的漏洞是:

1. Log4Shell – Server CVE-2021-44228

2. Apache HTTP – Server CVE-2021-42013

3. Apache HTTP Server – CVE-2021-41773

4. Spring Cloud RCE – CVE-2022-22963

5. Text4Shell – CVE-2022-42889

6. Cisco ASA & FTD – CVE-2020-3452

7. Lua Sandbox Escape in Redis – CVE-2022-0543

8. RCE on VMware Identity Manager – CVE-2022-22954

9. XML XXE on Zimbra – CVE-2022-22954

10. Oracle WebLogic RCE – CVE-2022-42889

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值