217
在攻與防的博弈中尋求企業最佳防護實踐
本文講的是 : 在攻與防的博弈中尋求企業最佳防護實踐 , 【IT168 編譯】黑帽子預算已經成為企業常見的防守策略,在這種方法中,企業試圖提高攻擊者的攻擊成本來減少攻擊。同時,攻擊者也在試圖讓企業付出更沉重的代價來收集攻擊情報:從域名生成到更微妙的代碼混淆,攻擊者利用各種技術來提高企業檢測攻擊、分析惡意軟件和收集情報的成本。
在黑帽大會上,安全服務公司CrowdStrike的高級安全研究人員Jason Geffner將會對最新的惡意軟件樣本執行終端到終端分析,來演示攻擊者為提高惡意軟件分析和識別難度所采用的一些最新技術。作為演示的一部分,Geffner計劃發布一個工具來幫助分析師清除攻擊者用來偽裝其內部運作的垃圾代碼。
Geffner表示,“當涉及混淆時,無論是混淆惡意軟件還是出於DRM目的,這始終將是一場貓捉老鼠的遊戲,采用混淆技術的人知道,給予足夠的時間,研究人員將能夠繞過混淆技術。”
Geffner在黑帽大會上將演示的惡意軟件來自大規模定製攻擊,可能是由犯罪組織創建,目的是從企業受害者搶去錢財和信息。該攻擊使用了域名生成的算法(這種算法讓企業很難切斷惡意軟件通信),並且加入了很多垃圾代碼來加大分析工作的難度。
ThreatGRID公司首席技術官Dean De Beer表示,混淆技術的總體水平正在提高。對於一般的混淆技術,如果一個程序加密或封裝太多,自動化係統會暗示該軟件可能是惡意軟件。但高明的混淆技術可以避免拉響警報,並且讓企業更加難以對代碼進行逆向工程。攻擊者利用各種技術來加大分析工作的難度,同時,提高企業響應攻擊的時間和成本。
Dean De Beer表示,“攻擊者想方設法提高企業檢測的難度,如果你遇到混淆代碼,它采用的是自定義封裝工具或者加密工具,你需要將其加載到調製器,設置斷點,並試圖找出加密代碼。並不是每個企業都有人可以進行逆向工程,或者有足夠的時間來進行分析。”
CrowdStrike分析的惡意軟件使用了比合法程序多四倍的垃圾代碼,CrowdStrike發布的工具能夠自動地從惡意軟件中清除這些垃圾郵件。雖然攻擊者可能會迅速修改其工具和惡意軟件來讓自動化反混淆變得更加困難,但這會提高了攻擊者的攻擊成本。
他表示,“如果攻擊者需要不斷改變其攻擊方式,這增加了他們的攻擊難度,至少這能夠在一定程度上緩解攻擊。”然而,如果攻擊者找到更好的辦法來隱藏其代碼以及讓分析工具更困難的話,這可能導致企業很難獲得關於攻擊者工具和技術的情報。
De Beer表示,“隨著時間的推移,攻擊者的攻擊將會被解碼和解密,無論是通過動態還是靜態的手段,但攻擊者的目標是增加企業分析工作的難度,讓這工作變得很困難,如果你不能擴展你的分析,並且,你不能擴展你的能力來產生可操作的內容和威脅情報,那麼,攻擊者就淩駕於你之上。”
最後更新:2017-10-11 10:33:30