信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

2023年，隨著企業(yè)安全防御技術(shù)和方法的不斷完善，越來越多的攻擊者開始另辟蹊徑，尋找能夠突破傳統(tǒng)網(wǎng)絡安全解決方案，更有效地進行滲透并駐留的攻擊方法，以下我們整理了2023年呈上升趨勢，將在四季度“興風作浪”的八大新興安全威脅：

一、令牌/云API濫用

攻擊者正不斷摸索新的攻擊技術(shù)和方法來滲透系統(tǒng)和網(wǎng)絡，對令牌和云API的濫用正變得更加普遍。令牌通常比用戶賬號更容易被竊取，可以授予對通過多重身份驗證(MFA)建立的會話的訪問權(quán)限，這使它們成為攻擊者的重要目標。

此外，在集成生態(tài)系統(tǒng)（例如Office 365等Windows應用程序）中令牌的位置缺乏明確性，這增加了防止未經(jīng)授權(quán)訪問的挑戰(zhàn)。這種模糊性使得防御者很難識別那些可提取令牌的進程，從而導致傳統(tǒng)防御機制的效率降低。

二、攻擊者利用EDR防護范圍之外的系統(tǒng)來實現(xiàn)持久性

攻擊者越來越多地針對傳統(tǒng)端點檢測和響應(EDR)或防病毒(AV)解決方案防護范圍之外的系統(tǒng)。辦公設(shè)備、路由器和物聯(lián)網(wǎng)設(shè)備經(jīng)常被EDR等基于代理的端點安全解決方案所忽視，因而成為尋求在網(wǎng)絡中建立持久性的攻擊者的熱門目標。這些系統(tǒng)缺乏集中式日志記錄，使得入侵的檢測和修復進一步復雜化。

未來幾個月，預計攻擊者將繼續(xù)完善其工具集，添加更多Linux工具、隧道工具、ARM架構(gòu)編譯工具以及多平臺工具。

三、利用易受攻擊的驅(qū)動程序

越來越多攻擊者的開始利用存在漏洞的驅(qū)動程序?qū)?quán)限提升到本地系統(tǒng)。攻擊者尤其青睞簽名的易受攻擊驅(qū)動程序，因為此類驅(qū)動程序可用于在攻擊早期禁用防病毒軟件或EDR等安全解決方案。

盡管微軟已經(jīng)著手解決這個問題，例如部署易受攻擊驅(qū)動程序阻止列表，但該方法對新威脅的反應遲緩，其對手動更新的依賴也經(jīng)常導致系統(tǒng)暴露。

LOLDrivers等項目旨在通過提供易受攻擊驅(qū)動程序和相關(guān)檢測機制的全面列表來彌補這一差距。

四、惡意.lnk、.html、PDF中的嵌入式Office文檔和.iso文件

網(wǎng)絡攻擊感染鏈通常包括一些流行的文件類型，例如.lnk、.html、.pdf和.iso文件。

最新的威脅趨勢是將辦公文檔嵌入到PDF文件中，這種策略預計會越來越流行。

HTML文件還被用于HTML走私——用JavaScript將嵌入文件寫入磁盤。這種多重方法使傳統(tǒng)安全解決方案更難檢測和阻止惡意文件。

五、Havoc

Havoc是一個C2框架，因其強大的功能集和積極的開發(fā)迭代而受到攻擊者歡迎。

Havoc的主要功能包括通過Ekko、Ziliean或FOLIAGE進行睡眠混淆、x64返回地址欺騙、Nt*API的間接系統(tǒng)調(diào)用、SMB支持、令牌庫以及各種內(nèi)置的后利用命令。

Havoc能通過硬件斷點（Breakpoint）修補Amsi/Etw，在“睡眠”期間使用代理庫加載并復制堆棧，這使得Havoc對于攻擊者來說特別有吸引力。

六、濫用合法遠程訪問軟件實現(xiàn)持久性

遠程訪問木馬通常難以逃避防病毒軟件的檢測，因此攻擊者開始轉(zhuǎn)向合法的遠程訪問軟件作為替代方案。

這些合法的遠程訪問軟件（包括ConnectWise Control、Anydesk、NetSupport、TeamViewer、Atera、LogMeIn和Splashtop等）通常不會被安全解決方案歸入為“可疑”軟件清單(PUA)。因此，攻擊者對此類軟件的使用常常能逃避檢測，進而實現(xiàn)持久性駐留。

七、隧道工具（例如，ngrok、frp等）

隧道工具能幫助攻擊者建立從內(nèi)部服務到遠程系統(tǒng)的代理連接，同時避免檢測。隧道工具通常支持多種架構(gòu)，符合使用辦公設(shè)備、路由器和物聯(lián)網(wǎng)系統(tǒng)實現(xiàn)持久性駐留的趨勢。

如今，越來越多的攻擊者開始熱衷于使用隧道工具建立秘密通信渠道。

八、SEO中毒

SEO（搜索引擎優(yōu)化）中毒是指攻擊者操縱搜索引擎排名以引誘用戶訪問惡意網(wǎng)站的攻擊技術(shù)。

自2023年初以來SEO中毒攻擊顯著增加，涉及多種攻擊策略，包括關(guān)鍵詞填充、偽裝、人為提高點擊率以及使用專用鏈接網(wǎng)絡。

一些攻擊者還善于使用針對性SEO中毒（例如魚叉式網(wǎng)絡釣魚）來攻擊特定受眾。這使得識別和防御此類攻擊變得更加困難，因為是針對受害者量身定制的。

結(jié)論

網(wǎng)絡安全態(tài)勢正高速發(fā)展，企業(yè)安全團隊需要及時了解新興威脅趨勢，這對制定有效的防御策略至關(guān)重要。本文介紹的八種安全威脅預計將在未來幾個月對安全威脅態(tài)勢產(chǎn)生重大影響，安全團隊需要有針對性地調(diào)整防御措施，更好地保護企業(yè)和個人免受網(wǎng)絡威脅。