Исследование Aqua Security выявило увеличение количества атак на память на 1400%
1 июля 2023 г.Согласно отчету об угрозах Cloud Native Threat Report от Aqua Security за 2023 год, в котором рассматриваются атаки на память в сетях и цепочках поставок программного обеспечения, злоумышленники оттачивают свое внимание к эксплойтам, которые избегают обнаружения и остаются незамеченными в системах.
Исследовательское подразделение компании Nautilus, специализирующейся на облачной безопасности, отметило увеличение количества атак на память на 1400% по сравнению с тем, что компания сообщила в своем исследовании 2022 года. По данным Aqua Security, Nautilus проанализировала 700 000 атак за шестимесячный период исследования в своей глобальной сети приманок.
Команда Nautilus сообщила, что более 50% атак были сосредоточены на уклонении от защиты и включали методы маскировки, такие как файлы, запускаемые из /tmp, места, используемого для хранения временных файлов. Атаки также включали запутанные файлы или информацию, такие как динамическая загрузка кода, которая загружает библиотеки — в данном случае вредоносные — в память во время выполнения, не оставляя подозрительного цифрового следа.
Ассаф Мораг, ведущий исследователь угроз в Aqua Nautilus, сказал, что обнаружение группой HeadCrab, вредоносного ПО на основе Redis, которое скомпрометировало более 1200 серверов, пролило свет на то, как атаки на память уклоняются от безагентных решений, которые удаленно отслеживают, исправляют и сканируют системы. . Это связано с тем, что, в отличие от систем на основе агентов, они не устанавливаются на клиентские машины, пояснил Мораг.
«Когда дело доходит до безопасности во время выполнения, только сканирование на основе агентов может обнаруживать атаки, подобные этим, которые предназначены для обхода технологий сканирования на основе томов, и они имеют решающее значение, поскольку методы уклонения продолжают развиваться», — сказал он.
Перейти к:
- Что такое атаки на память?
Обнаружены уязвимости цепочки поставок облачного ПО
Защита во время выполнения имеет решающее значение
Что такое атаки на память?
Атаки на память (также известные как «живущие за пределами земли» или «безфайловые атаки») используют программное обеспечение, приложения и протоколы, существующие в целевой системе, для выполнения вредоносных действий. Как объяснила Джен Осборн, заместитель директора по анализу угроз в Palo Alto Networks Unit 42, атаки на память трудно отследить, поскольку они не оставляют цифрового следа.
- Атаки на память не требуют от злоумышленника размещения кода или сценариев в системе.
Атаки на память не записываются на диск, вместо этого для атаки используются такие инструменты, как PowerShell, Windows Management Instrumentation или даже средство сохранения паролей Mimikatz.
«Они [запускают эксплойты памяти], потому что их гораздо сложнее обнаружить и найти позже, потому что во многих случаях они не сохраняются в журналах», — сказал Осборн.
ПОСМОТРЕТЬ: технический директор Prisma Cloud из Palo Alto Networks Ори Сигал обсуждает код для облачной безопасности (TechRepublic)
В блоге 2018 года Джош Фу, в настоящее время директор по маркетингу продуктов компании Tanium, занимающейся разработкой программного обеспечения для управления конечными точками, объяснил, что атаки на память направлены на ввод инструкций или извлечение данных из ОЗУ или ПЗУ. В отличие от атак, направленных на файловые каталоги на диске или ключи реестра, атаки на память трудно обнаружить даже с помощью антивирусного программного обеспечения.
Фу отметил, что атаки на память обычно работают следующим образом:
- Сначала сценарий или файл попадает на конечную точку. Он ускользает от обнаружения, потому что выглядит как набор инструкций, а не как обычный файл.
Затем эти инструкции загружаются в машину.
После выполнения злоумышленники используют собственные инструменты и ресурсы системы для проведения атаки.
Фу написал, что защитники могут помочь предотвратить и смягчить атаки на память следующим образом:
- Будьте в курсе патчей.
Блокировка веб-сайтов, использующих Flash, Silverlight или JavaScript, или блокировка их запуска на сайтах, запрашивающих их включение.
Ограничение использования макросов в документах.
Изучая эту статью о том, как злоумышленники используют Mimikatz для извлечения паролей.
Обнаружены уязвимости цепочки поставок облачного ПО
В отчете Aqua Nautilus, в котором также рассматриваются риски цепочки поставок облачного программного обеспечения, включая неправильные конфигурации, отмечается, что субъекты используют пакеты программного обеспечения и используют их в качестве векторов атак. Например, они обнаружили логическую уязвимость, которую назвали «планирование пакетов», которая позволяет злоумышленникам маскировать вредоносные пакеты под легитимный код.
Кроме того, исследователи сообщили об уязвимости во всех версиях Node.js, которая позволяет встраивать вредоносный код в пакеты, что приводит к повышению привилегий и сохранению вредоносных программ в средах Windows.
Фирма сообщила, что 10 основных уязвимостей, выявленных в ее глобальной сети в 2022 году (за исключением Log4Shell, которая была чрезвычайно высокой по сравнению с остальными), в основном были связаны с возможностью удаленного выполнения кода. «Это подтверждает идею о том, что злоумышленники ищут первоначальный доступ и запускают вредоносный код на удаленных системах», — говорят авторы (рис. A).
Рисунок А
Защита среды выполнения имеет решающее значение
Согласно отчету, атаки на память, использующие рабочие нагрузки во время выполнения, где выполняется код, становятся все более популярной целью для злоумышленников, стремящихся украсть данные или нарушить бизнес-операции.
Авторы говорят, что устранение уязвимостей и неправильных конфигураций в исходном коде важно, потому что:
- Может потребоваться время, чтобы расставить приоритеты и исправить известные уязвимости, что может привести к уязвимости среды выполнения.
Специалисты по безопасности могут не знать или пропустить векторы атак на цепочку поставок, создавая прямую и неконтролируемую связь с производственной средой.
В высокоскоростных, сложных и мультивендорных облачных средах по-прежнему могут быть упущены важные производственные конфигурации.
Вероятны уязвимости нулевого дня, поэтому важно иметь систему мониторинга вредоносных событий в производственной среде.
Авторы исследования также заявили, что недостаточно просто сканировать известные вредоносные файлы и сетевые сообщения, а затем блокировать их и предупреждать службы безопасности. Предприятия также должны отслеживать индикаторы злонамеренного поведения, такие как несанкционированные попытки доступа к конфиденциальным данным, попытки скрыть процессы при повышении привилегий и открытие лазеек на неизвестные IP-адреса.
Оригинал