藏有漏洞攻擊包的網站是資安廠商和研究人員經常研究的目標,所以攻擊者會想去閃躲正義的一方也並不令人驚訝。他們怎麼做呢?
攻擊者所用的最基本方法是IP黑名單。就像資安廠商會有IP用來發送垃圾郵件、代管惡意網站和接收被竊資料的大量黑名單一樣,攻擊者也掌握了他們認為安全廠商所使用的IP列表,並封鎖來自這些地址的存取。
更複雜一點的方式是只感染特定IP地址一次。這要如何做?
假設安全廠商有和特定攻擊相關的網站列表。他們會連上一個網站(手動或使用自動化工具),但攻擊者會在自己的後端資料庫記錄此特定IP地址已經連過與此攻擊相關的網站,如果安全廠商想要連到資料庫內的其他網站,那將無法成功存取惡意內容。
圖一、閃避爬網技術
這樣的後端資料庫可以和動態DNS服務一起使用。攻擊者可以動態地建立多個服務用隨機網址,所以他們可以在有人存取過後幾分鐘內就將該網址停用。
漏洞攻擊包會在不同程度上支援這些技術。最常見的是「一次性感染」技術,被兩個版本的黑洞漏洞攻擊包(1.x和2.x)和Styx以及CoolKit所使用。
雖然個別來說都有對策,但這的確對資安廠商和研究人員帶來額外的障礙。雖然我們可以解決這些限制,但這也強調了不依賴任何特定方式來保護使用者有多麼重要。
安全沒有特效藥。「深度防禦」策略同時使用了雲端和端點模式,仍然是今日安全環境內抵禦威脅最有效的方法。最重要的是,關連多個模式以找到感染鏈的全貌仍是發現和分析新威脅非常重要的一環。
透過雲端技術來保護使用者仍是個有效的方式,廣泛的覆蓋率、強大的關連能力和防護能力,同時也用更少的資源。就如同貓捉老鼠的遊戲,我們會不斷改進爬網和蜜罐能力以領先網路犯罪分子。
然而,端點防護仍然可以補強雲端防護不足的地方 – 當威脅在端點即時的運作,有真正的使用者、真實的環境時。在端點上,可以檢查使用者所用的檔案和網站,潛在惡意內容(如JavaScript和Java)可以被執行以分析惡意行為。使用者可以在任何惡意檔案被儲存進系統前加以防護。
同時,任何新偵測威脅的資訊會被反饋到主動式雲端截毒技術,讓我們可以保護所有的使用者,並收集這些威脅的相關資訊。用它來了解情況,並制定更有效的方法保護使用者。
@原文出處:How Exploit Kits Dodge Security Vendors and Researchers