无论如何，网络安全都是一场不断进行的攻守之战，黑客们将继续发起新的挑战。传统的技术，比如隐写术，即将包含恶意负载的信息隐藏在其他正常文件（例如图片）中，正处于不断发展之中，为我们带来了更多新的可能性。比如说，最近有一个研究人员证实，即便是在推特这个平台上，也不可能避免隐藏信息的技术。因为在这个平台上的图片可能被利用来打包并嵌入高达3MB的ZIP档案。然而，在我的研究中发现，除了利用混淆、隐写术和恶意软件打包技术之外，当前的威胁行为者也常常利用合法服务、平台、协议和工具来执行他们的活动。这样它们就可以与正常的流量或活动混杂在一起，从人类分析师和机器的角度看，这些流量或活动可能看起来是“干净”的。以下是网络罪犯目前使用的六种方法来掩盖自己的踪迹。

利用未触发警报的值得信赖的平台 是2020年安全专家们经常发现的一种现象，并且延续至今年。在过去几年中，攻击者已经开始瞄准一系列受信任的平台，包括渗透测试服务和工具（比如Cobalt Strike和Ngrok）、已建立的开源代码生态系统（比如GitHub），以及图像和文本分享网站（比如Imgur和Pastebin）。Ngrok通常被有道德的黑客作为bug赏金项目或渗透测试的组成部分，用于收集数据或建立入站连接的模拟隧道。然而，恶意的人可能会利用Ngrok进行滥用，以便直接安装僵尸网络的恶意软件，或者将合法的通信服务连接到恶意服务器。最近，SANS研究所的Xavier Mertens发现了一个恶意软件样本，其采用Python编写，其中嵌入了base64编码的代码，被用来在感染了Ngrok的系统上部署后门。由于Ngrok备受信赖，远程攻击者可以利用Ngrok隧道连接到受感染的系统，从而可能规避公司的防火墙或NAT保护。GitHub被一些人利用来存放恶意软件，从Octopus Scanner到Gitpaste-12。近期，一些狡猾的攻击者正在利用GitHub和Imgur结合使用一个开源的PowerShell脚本，这使得他们能够在GitHub上托管一个简单的脚本，然后从一个无恶意的Imgur图片中提取出Cobalt Strike的有效载荷。Cobalt Strike是一个常用的渗透测试框架，用来模拟复杂的真实网络攻击，但像所有安全软件一样，它也可能遭到对手的不当使用。

同样，开发人员所依赖的自动化工具也可能被滥用。2021年4月，骇客滥用GitHub Actions，将数百个存储库作为目标，发动了一场自动攻击，利用GitHub的服务器和资源进行了加密货币挖矿。这些例子展示了攻击者为何觉得针对合法平台是有利可图的，而许多防火墙和安全监控工具可能还无法有效地阻止这些攻击。

在SolarWinds爆发漏洞后，可能已经引起公众对软件供应链安全问题的关注。这些攻击一直在逐渐增加。无论是拼写错误、品牌劫持或混淆，都可能是“上游”攻击的形式，发现是从概念验证研究开始，但后来被不法分子滥用用于恶意目的，利用已知的合作伙伴生态系统中的信任，在受欢迎的品牌或软件组件中干扰。黑客的目标是将恶意代码注入到与特定品牌相关的受信赖的代码仓库中，然后传播到最终目标，即该品牌的合作伙伴、客户或用户。所有可以被所有人访问的系统也将被对手利用。因此，许多供应链攻击的目标是开源生态系统，其中一些系统因坚持“对所有人开放”的原则而没有进行严格验证。然而，商业机构也遭受到了这些攻击。最近的一个案例中发生了这样的事情，有人将其类比于SolarWinds事件。软件测试公司Codecov披露了一起针对其Bash Uploader脚本的攻击事件，而这次攻击在两个多月内竟然未被察觉到。Codecov现有超过29000家客户，其中包括一些知名的全球品牌。在这次入侵中，公司使用的上传程序遭到篡改，导致系统的环境变量（包括密钥、凭据和令牌）被泄露给了攻击者的IP地址。抵御供应链攻击需要采取多方面行动。为了确保软件提供商的开发版本安全，他们需要增加投资。AI和ML技术在devops方面的应用可以自动识别并阻止可疑的软件组件，有助于预防拼写错误、品牌冒名和混淆依赖攻击。

另外，随着越来越多的企业选择使用Kubernetes或Docker容器来部署他们的应用程序，容器安全解决方案内置网络应用程序防火墙，并且能够及时发现简单的配置错误，从而有助于防范更严重的风险。

和 使用高度隐蔽的方式进行加密货币支付 考虑到Darknet市场的分散性和注重隐私的特点，卖家和软件运营商经常交易加密货币。尽管加密货币不是由政府中央银行铸造或控制，但仍缺乏类似现金的匿名性。因此，网络犯罪分子已经发现了一种新的途径来在不同账户之间转移资金。

近期，涉及2016年的Bitfinex黑客事件，总价值超过7.6亿美元的比特币被分成多笔较小的交易转移到了另一个新账户，每笔交易的金额在1 BTC到1200 BTC不等。加密货币并非一种完全安全的隐藏资金来源途径。在2020年美国总统大选之夜，美国政府清空了价值10亿美元的比特币钱包，其中存放着与已于2013年关闭的臭名昭著的暗网市场“丝绸之路”有关的资金。门罗币（XMR）和Zcash（ZEC）等其他一些加密货币，在匿名交易方面比比特币具有更强的隐私保护功能。毫无疑问，随着攻击者不断寻找更有效的方式来掩盖他们的行踪，罪犯和调查人员之间的对抗将在这个领域持续发展。

当攻击者使用

公共通道和协议时，像可信平台和品牌一样，它们使用的加密通道、端口和协议都为攻击者提供了另一种方式来隐藏他们的痕迹。

例如，如今HTTPS协议是网络中普遍且必不可少的协议，因此在企业环境中很难阻止端口443（用于HTTPS/SSL）。尽管如此，HTTPS上的DNS over HTTPS（DoH）——一种用于域名解析的协议——也会使用443端口，并且已经被恶意软件制造者滥用，将其作为命令与控制（C2）通道传输至已感染的系统。这个问题具有双重层面。攻击者可以利用滥用常见协议如HTTPS或DoH，获得与正常用户同样的端到端加密通道隐私保护优势。

接着，这也增加了网络管理员的负担。阻止任何形式的域名系统本身就是具有挑战性的任务，但现今，在域名系统请求和响应都加密在HTTPS情况下，安全专业人员需要面对阻拦、筛选和分析许多经由网络进出的可疑HTTPS流量的棘手问题。研究人员Alex Birsan展示了一种混淆技术，成功侵入了35家以上的大型科技公司。他利用DNS（端口53）泄露基本信息以提高成功率。Birsan选择使用DNS是因为他们对性能有要求，并且合法使用DNS，公司防火墙不太可能阻止DNS流量。

在恶意软件中运行被签名的二进制文件经过了混淆

使用LOLBIN是一种无文件恶意软件常见的概念，仍然被视为一种有效的规避技术。

LOLBIN引用了合法且具有数字签名的可执行文件，比如微软签署的Windows可执行文件。黑客可以利用这些文件来启动恶意代码，提升权限，或者规避防病毒和其他端点安全产品。

在一个月前，微软发布了一些企业能够使用的防御技巧指南，以阻止攻击者滥用微软的Azure LOLBIN。 在另一个案例中，我发现最近才发现的Linux和macOS恶意软件在所有主要的反病毒软件中都表现出零检测率。

包含混淆代码，这可以帮助避开检测。然而，更深入的研究表明，这种恶意软件是通过使用数百个合法的开源组件构建的，并以与合法应用程序相同的方式展开恶意活动，例如获取管理权限。尽管恶意软件的混淆、运行时打包程序、虚拟机规避以及在图像中隐藏恶意有效负载是高级威胁所采用的技术，但它们的真正威力在于绕过安全产品或在其监控之外运行BOB半岛官方。当有效负载能够以某种程度与可信软件组件、协议、通道、服务或平台结合时，这种可能性就出现了。根据BlackBerry研究与情报团队的最新报告，恶意软件开发者正在越来越多地采用不常见的编程语言，部分是为了更好地规避检测。主要使用的编程语言包括Go、D、Nim和Rust。

这些语言通过多种方式增加了混淆。首先，用新的编码方式重新编写恶意软件将导致基于签名的检测工具无法识别它（至少在生成新签名之前）。接着，黑莓公司的研究人员还指出，这些语言本身也起到了混淆的作用。举例来说，第一阶段恶意软件通常采用罕见的编程语言编写，用于解码、加载和部署其他常见的恶意软件，以帮助避开端点检测。黑莓研究人员指出，目前还很少有专门针对这些语言编写的恶意软件进行混淆的措施。其中一种常见的是Gobfuscate，用于隐藏使用Go语言编写的恶意软件。它可以处理包、函数、类型和方法的名称，以及全局变量和字符串。

 

BOB半岛下载

BOB半岛首页

BOB半岛入口

BOB半岛APP

BOB半岛入口 BOB半岛官方