■ 河北 刘兴

编者按：当前企业如不采取分层级的安全策略，将极易被网络攻击所攻破。本文将对此探讨来自一个端点攻击的实例，以建议用户加强分层安全防护措施。

随着各种攻击手段的不断提升，网络威胁变得越来越隐蔽和复杂。令人担忧的是，当前大多数恶意软件都能够规避传统的基于签名的反恶意软件的检测，这使得恶意软件可以轻松地传播到用户端点。由此带来的结果是，缺乏分层分级安全防护手段的企业经常令自己处于不安全的状态。此外，由于不安全的密码策略，攻击者在盗取用户凭据或通过暴力手段破解凭据方面成功率也很高。

在过去的十年中，整个网络安全威胁格局发生了重大变化，但有一件事情保持不变：端点正在受到网络攻击者的“围猎”。表面上看，攻击者在渗透入目标系统之后，学会了变得更有耐心，但实质上是在扩大对目标的攻击范围。

以Norsk Hydro 勒索软件攻击为例，最初的感染时间段往往是发生在攻击者执行勒索软件并锁定目标计算机系统之前的三个月。不管是对于该勒索软件还是用户来说，这个时间足够长。受害用户完全可以在该勒索软件对自己造成损害之前就检测出漏洞。但是事实是，大多数企业根本就没有完善的分层安全策略。

IBM 发布的2020 年数据泄露成本报告显示，受害企业平均需要280 天才能发现并遏制攻击行为。也就是说，攻击者可能正潜伏在您的网络上酝酿他们的计划长达9个多月。

那么，攻击者这段时间到底在做什么？它们是如何做到不被发现进入端点的？让我们一步步来揭露。

攻击者通常以网络钓鱼作为开始。无论您看到的哪种安全报告，它们大多都会指出类似的结果——大约90%的网络攻击都是从网络钓鱼开始的。成功实施的网络钓鱼包括几种不同的方式，从破坏凭据到通过在计算机上运行远程访问木马等。对于凭据攻击，最近攻击者有在利用众所周知的云服务的可自定义子域来托管看似合法的身份验证表单。

来自WatchGuard 威胁实验室遇到的一个网络钓鱼事例表明，电子邮件中的链接是针对单个收件人定制的，攻击者可以利用此链接将受害者的电子邮件地址填充为伪造表格，以提高信誉。该网络钓鱼甚至托管在Microsoft 所属的域中，但其实是位于攻击者控制下的子域（servicemanager00）中，因此有些没有经验的用户可能会对此信以为真。

对于恶意软件攻击来说，攻击者（或至少是成功的攻击者）已基本上不再将恶意软件以可执行文件的方式添加到电子邮件。因为现在很多用户已认识到启动未知的可执行电子邮件附件是一个很不安全的行为，并且大多数电子邮件服务和客户端都具有一定的安全技术以阻止类似的攻击。取而代之的是，攻击者开始利用dropper文件，通常以宏文件格式的Office 文档或JavaScript文件的形式存在。

如果收件人尚未更新其Microsoft Office 最新版本，或没有一定的安全能力来避免使用启用宏的文档，那么对这种攻击方式就要留意了。而通过利用JavaScript 是最近较为常见的一种攻击方式，它利用Windows 的内置脚本引擎来发起攻击。在任一种情况下，dropper 文件仅仅通过识别操作系统，然后调用主目录即可获取Secondary Payload。

Secondary Payload 通常是某种形式的远程访问木马或僵尸网络，其中包括一整套工具，如键盘记录器、Shell 脚本注入器以及下载其他模块的能力。此后很长时间内，感染通常不仅限于单个端点。攻击者可以利用自己的立足点来感染受害者网络上的其他目标，并试图将它们“一网打尽”。

如果攻击者设法获得一组有效的凭据，并且用户尚未部署多因素身份验证，那么这将更加容易让攻击者得逞了。这会让攻击者从“大门口”大大方方地进入。然后，他们可以在远程攻击中使用受害者自己的服务（例如内置的Windows 脚本引擎和软件部署服务）来执行恶意行为。此时攻击者通常利用PowerShell 部署无文件恶意软件，来加密和/或泄露用户关键数据。

WatchGuard 威胁实验室最近发现了一个攻击行为。当被发现时，该威胁至少破坏了一个本地帐户和一个具有管理权限的域帐户，攻击者已在受害者的网络上存在了一段时间。安全团队尚无法确定攻击者是如何获得证书的，或者它们在网络中存在了多长时间。但是一旦开启了安全检测服务，指示灯就会立即亮起，以识别漏洞。

在这次攻击中，攻击者使用了Visual Basic 脚本和两个流行的PowerShell 工具包（PowerSploit 和Cobalt Strike）的组合，以绘制受害者的网络并启动恶意软件。安全团队观察到的一种行为来自Cobalt Strike 的外壳代码解码器，它使攻击者能够下载恶意命令，并将其加载到内存中，然后从那里直接执行它们，而代码不会触及受害者的硬盘。而传统端点反恶意软件引擎通常是使用依靠扫描文件来识别威胁的，这使得传统检测方式无法及时检测出这些无文件恶意软件攻击。

在该用户网络的其他地方，安全团队发现攻击者使用了内置的Windows 工具PsExec 启动了具有系统级特权的远程访问木马，这是由于域管理员凭据的泄露而发现的。该团队还确定了攻击者试图使用基于命令行的云存储管理工具将敏感数据泄露到DropBox 帐户。

幸运的是，该用户快速识别并清除了恶意软件。但是，如果受害者没有更改被盗的凭据，那么攻击者可能会随时再次发起攻击。如果受害者将高级端点检测和响应（EDR）引擎作为其分层安全策略的一部分来进行部署，他们就可能会减少那些因被盗凭据所造成的损害。

攻击者当在实施无差别的攻击时，哪怕是小型企业也无法幸免于难。如今仅仅依靠单层保护已无法再确保企业网络安全。无论企业的规模大小如何，采用分层安全策略来检测并阻止端点攻击是至关重要的。这意味着包括从边缘到端点的保护，以及对用户的安全培训等。而且，不要忘记实施多因素身份验证（MFA），这也是阻断攻击的重要手段。