随着云计算技术在各行各业的迅速遍及,数据包全和安保曾经成为人们最关心的疑问。但是,随着云安保措施的始终开展,恶意行为者寻求应用破绽的战略也在始终开展。
2023年6月,云原生安保畛域的威望机构Aqua Security公司颁布了一份钻研报告,提醒了网络安保畛域一个令人深感担心的开展趋向。该报告标明,与2022年《云原生要挟报告》相比,基于内存的攻打出现了史无前例的1%的惊人增长。
2023年7月,Wiz公司网络安保钻研人员做出了打破性的发现,发现了一个基于python的无文件恶意软件,名为“PyLoose”。这次攻打是第一次性记载在案的基于python的无文件攻打,明白针对事实场景中的云计算上班负载。经常使用Linux无文件技术memfd,PyLoose奇妙地将XMRigMiner间接加载到内存中,防止了将有效负载写入磁盘的须要,并应用了操作系统的配置来应用它。
这种重复出现的攻打事情凸显了传统云安保措施面临的严重应战。以下深化钻研基于内存的攻打的技术方面、它们对传统安保进攻的规避,并探讨包全云计算基础设备的被动战略。
了解基于内存的攻打
基于内存的攻打,通常被称为“无文件攻打”,曾经成为幼稚黑客的首选武器。与依赖于存储在磁盘上的恶意文件的传统攻打不同,基于内存的攻打应用了指标系统的易失性内存。因为驻留在内存中,这些攻打在系统上留下的痕迹很小,因此难以检测和阻止。
通常状况下,基于内存的攻打是经过初级脚本言语(例如PowerShell或JavaScript)成功的。它准许网络攻打者将恶意代码间接注入运转进程的内存空间。一旦代码被口头,攻打就可以轻轻地启动,口头从数据窃取和操纵到整个系统危害的各种操作。
规避传统云安保进攻
基于内存的攻打激增的局部要素是它们能够避开传统的云安保进攻。恶意行为者正在投入少量资源来成功先进的规避技术,旨在暗藏他们的优惠并在受损的系统中取得弱小的立足点。依据AquaSecurity公司的钻研,对六个月的蜜罐数据的剖析显示,超越50%的攻打是专门针对绕过进攻措施的。
以下了解这些攻打绕过传统安保措施的一些关键模式:
(1)缺乏基于签名的检测:传统的防病毒软件和入侵检测系统(IDS)(如SolarWindsSecurityEventManager和Snort)严重依赖基于签名的检测来识别已知的恶意软件和恶意文件。因为基于内存的攻打不触及将文件写入磁盘,因此它们有效地防止触发这些签名,使它们对许多安保处置打算无法见。
(2)基于行为的规避:基于内存的攻打通经常常使用曾经在系统上运转的非法进程,这使得基于行为的检测系统难以辨别反常优惠和恶意优惠。这使得网络攻打能够无缝地融入环境。
(3)加密的有效负载:许多基于内存的攻打应用加密技术来混杂其有效负载,使其无法被安保扫描仪读取。这种战略防止安保工具审核攻打的内容并了解其用意。
(4)缩小内存占用:经过仅在内存空间内操作,基于内存的攻打在系统上留下的内存占用可以疏忽不计。这种规避特色使得攻打后的法医剖析愈加艰巨。
技术缓解战略
为了应答日益增长的基于内存的攻打要挟,云计算安保专业人员和IT治理员必定驳回联合各种安保技术和最佳通常的多层方法。以下了解企业可以驳回的关键缓解战略,以防止基于内存的恶意软件。
(1)端点检测和照应(EDR):端点检测和照应(EDR)处置打算提供端点的实时监控,包含主机和上班站,使组织能够检测和照应可疑优惠,即使它们出当初内存中。应用机器学习和行为剖析,EDR工具可以识别标明基于内存的攻打的意外优惠。例如,MalwarebytesEDR为识别和反抗无文件恶意软件要挟提供了有效的弥补措施。它亲密监督端点上潜在的有害行为,并有效地检测可疑行为。此外,MalwarebytesNebula中的“可疑优惠监控”是一个托管在云中的安保平台,它经常使用ML程序和在云中成功的剖析来极速检测可疑行为。
(2)内存完整性包全:现代操作系统和云平台提供内存完整性包全机制。例如,微软在Windows10、Windows11和WindowsServer2016及更高版本中引入了基于虚构化的安保(VBS)个性,即内存完整性(MemoryIntegrity),以打击内存破绽,增强系统安保性。这些个性确保了系统内存空间的完整性,防止了未经授权的修正和窜改。
(3)活期软件更新和补丁治理:使一切软件和运行程序坚持最新关于减轻基于内存的攻打至关关键。攻打者经常应用未打补丁软件中的已知破绽浸透系统。活期更新有助于消弭这些安保破绽。
(4)特权更新缓解:限度用户特权和成功最小特权准则可以减轻基于内存的攻打的影响。限度用户在未经授权的状况下口头脚本或访问关键系统资源,可以缩小攻打面。
(5)网络分段:将云网络正确地宰割为不同的安保区域可以限度攻打者在环境中的横向移动。组织可以经过经常使用防火墙和访问控制来控制基于内存的攻打的影响。
(6)行为剖析:成功监督用户和进程行为的行为剖析工具可以协助识别标明基于内存的攻打的可疑优惠。例如,Mixpanel、Amplitude和FullStory等盛行的用户行为剖析工具可以检测未授权的向运转进程注入代码的希图。
结语
随着基于内存的攻打的激增继续应战传统的云安保进攻,对被动和片面的安保措施的需求变得至关关键。驳回联合端点检测和照应、内存完整性包全和活期更新的多层方法可以增强对这些难以捉摸的要挟的进攻。
要挟情势始终变动,企业必定坚持警觉,顺应新的安保应战,并驳回尖端技术,以包全其云计算基础设备和敏感数据。只要坚持踊跃被动和消息闭塞,能力在数字时代抵御黑客有情的攻打。