多云环境下网络攻击风险,了解 LOTC 攻击及预防

Living Off The Land (LOTL) 攻击对网络安全来说并不是什么新鲜事。近二十多年来,网络犯罪分子一直在使用预装或现成的应用程序(如 PowerShell、PsExec 和 Windows 管理工具)来做各种坏事。现在,网络犯罪分子正在将类似的方法应用于云。
通过“云外生存”(LOTC)攻击,黑客滥用受信任云服务(如Dropbox、Google Drive、Slack、Trello)的 API 来远程控制僵尸网络,同时使恶意流量看起来像受信任的云流量。攻击之所以成功,是因为这些应用程序默认受信任,并且从未检查过它们的流量,从而使攻击者能够以合法进程为幌子隐藏其恶意活动。零信任访问方法可能会有所帮助。让我们看看如何做到。
黑客为何使用 LOTC 策略以及他们如何运作?
要了解攻击者如何执行 LOTC 攻击,需要了解恶意软件的工作原理。命令和控制(C&C) 攻击是恶意软件基础设施的一个组成部分。恶意软件使用网络钓鱼、被盗凭证、未修补的软件等手段渗透到受害者的环境中。恶意软件基础设施有三个组成部分:
  1. 遥测通道:恶意软件与 C&C 服务器之间的通信链路,恶意软件使用其向黑客更新其在受害者环境中找到的信息。 
  2. 命令通道:C&C服务器与恶意软件之间的通信链路,用于控制恶意软件执行某些任务。
  3. 泄露通道:恶意软件用来将被盗数据上传到远程文件服务器的通信通道。 
这种传统 C&C 设置的缺点是,如果 C&C 的 IP 地址开始出现在社区黑名单中并被删除,恶意软件和 C&C 之间就不再有通信,从而导致攻击失败。
借助 LOTC,黑客可以将所有三个 C&C 基础设施组件置于云端,而不是指定或被劫持的服务器上,从而为攻击者提供终极隐身斗篷。去年,与有关的对手使用Google 命令和控制 (GC2) 服务攻击组织。据说他们的恶意软件已收到来自 Google Sheets 的命令,而所有数据都被泄露回 Google Drive。 
那么这些攻击是如何利用 Google Drive 之类的工具进行攻击的呢?很简单。恶意软件通过 API 与 Google Drive 进行通信。它被编程为读取文件夹名称并获取命令。接下来,恶意软件读取命令并通过将其发现或遥测数据写入另一个 Google Drive 来更新黑客由于 Drive 在设计上是一个存储系统,因此恶意软件会执行数据泄露并将数据上传回 Google Drive 文件夹。由于 Drive 流量默认受到信任,安全团队无法检测到任何恶意活动。就这样,Google Drive 可能成为恶意软件基础设施攻击的绝佳候选对象。这还不是全部。攻击可以设计为支持多个受害者——每个受害者在 Google Drive 上都有一个新根文件夹。就像 Google Drive 一样,其他云应用程序及其 API 也可以被用于 C&C 攻击。 
组织如何保护自己免受 LOTC 攻击?
尽管检测 LOTC 攻击很困难,但并非不可能。以下是一些需要牢记的建议:
零信任网络访问 (ZTNA): LOTC 攻击的发生是因为云服务在整个公司范围内享有固有的信任。采用零信任策略,只向用户和服务提供执行特定任务所需的最少访问权限。换句话说,部署安全策略,允许或限制特定用户、特定应用程序、这些应用程序内的特定操作以及数据进出网络的移动。 
已批准与未批准的应用程序:公司中并非每个人都需要访问 Google Drive、Dropbox 或 Trello。如果公司有某种方式来控制哪些帐户可以或不能访问特定的云服务,那么这可以降低受到攻击的风险。云计算行业将此称为“租户限制”。 
精细的云活动控制:需要对正在访问的云服务、访问者以及发出的命令有精细的了解。如果必须将文件上传到 Google Drive,请确保只有特定人员、特定文件类型和特定文件大小才能上传。云访问安全代理 ( CASB ) 可以在此提供帮助。组织还可以部署API 访问控制,以仅允许授权用户访问 API。
数据丢失防护: DLP 工具可以帮助安全团队制定策略,限制基于云的服务访问某些类型的数据。它可以查看上传或下载的文件并检查是否有任何敏感数据被泄露。大多数 DLP 系统都可以配置为生成警报并捕获正在传输的数据的审计日志。
云原生安全:由于大多数安全控制措施各有不同且各自为政,因此很难将所有点连接起来并描绘出攻击者活动的全貌。像SASE这样的单通道云安全架构融合了 CASB、DLP、安全网关、SD-WAN、防火墙即服务和ZTNA,可以提供对攻击者活动的实时可见性,并对整个 IT 环境进行全面控制。 
改变思维方式:不幸的是,人们仍然盲目地信任与任何云服务的任何通信。大多数组织仍然没有对云服务进行TLS 检查,也没有默认阻止高风险服务器、域或端口。这种思维方式需要重新审视。 
意识培训: LOTC 攻击分为多个阶段,通常第一阶段(恶意软件部署)是网络钓鱼攻击或由于密码不当或软件修补不当而导致的入侵。教导员工遵循安全最佳实践,不要回复可疑消息、点击可疑链接或下载可疑附件。LOTL 和 LOTC 允许攻击者利用内置和基于云的工具进行恶意活动,同时逃避检测。通过采用 ZTNA 方法以及此处列出的其他措施,组织可以获得对其 IT 资产的可见性和控制权,并显著降低这些风险。

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/94223.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年7月30日 下午5:29
下一篇 2024年7月30日 下午5:33

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注