滥用不会引发警报的可信平台安全专业人士

CISO（信息安全官）拥有不断改进的工具来帮助发现和阻止恶意活动：包括网络监控工具、病毒扫描程序、软件组件分析 (SCA) 工具、数字取证和事件响应 (DFIR) 解决方案等等待。

然而，网络安全是一场攻防战，攻击者将不断发起新的挑战。

诸如隐写术之类的较旧技术（将包括恶意负载在内的信息隐藏在图像等其他良性文件中）也在发展，带来了新的可能性。例如黑客小技巧，一位研究人员最近证明，即使 也不能幸免于隐写术，因为平台上的图像可以被滥用以在其中打包高达 3MB 的 ZIP 档案。

然而，在我自己的研究中，我注意到除了使用混淆、隐写术和恶意软件打包技术之外，今天的威胁参与者还经常利用合法的服务、平台、协议和工具来开展他们的活动。这允许它们与正常的流量或活动混合在一起，这对于人类分析师和机器来说可能看起来“干净”。

以下是网络犯罪分子目前掩盖其踪迹的六种方式。

滥用不引发警报的可信平台

这是安全专业人士在 2020 年看到的普遍现象，并且已经蔓延到今年。

从渗透测试服务和工具（如和 Ngrok），到已建立的开源代码生态系统（如 ），再到图像和文本网站（如 Imgur 和受信任的平台。

通常，道德黑客使用 Ngrok 来收集数据或为入站连接构建模拟隧道，作为漏洞赏金练习或渗透测试计划的一部分。但恶意行为者滥用 Ngrok 直接安装僵尸网络恶意软件，或将合法通信服务连接到恶意服务器。在最近的一个例子中，SANS 研究所发现了一个用 Ngrok 编写的恶意软件样本，其中包含使用 Ngrok 在受感染系统上安装后门的编码代码。

由于 Ngrok 广受信任，远程攻击者可以通过 Ngrok 隧道连接到受感染的系统，从而可能绕过公司防火墙或 NAT 保护。

还被滥用以托管 -12 的恶意软件。最近，狡猾的攻击者滥用了与 Imgur 一起使用的开源脚本，这使得他们可以托管一个简单的脚本，其中包含从良性 Imgur 照片中解析的有效负载。是一种流行的渗透测试框架，用于模拟高级现实世界的网络攻击，但与任何安全软件产品一样，它也可能被对手滥用。

同样，开发人员所依赖的自动化工具也不能免于利用。

2021 年 4 月，攻击者滥用针对数百个存储库发起自动攻击，利用服务器和资源进行加密货币挖掘。

这些示例说明了为什么攻击者看到了针对许多防火墙和安全监控工具可能还无法阻止的合法平台的价值。

利用品牌价值、声誉或知名度的上游攻击

软件供应链安全问题可能在泄露后引起了公众的注意，但这些攻击在一段时间内一直呈上升趋势。

无论是拼写错误、品牌劫持还是依赖混淆（最初作为概念验证研究发现，但后来被滥用于恶意目的），“上游”攻击利用对已知合作伙伴生态系统的信任，并利用知名度或声誉品牌或软件组件。攻击者的目标是将恶意代码推送到与品牌关联的可信代码存储库，然后将代码分发给最终的下游目标：品牌的合作伙伴、客户或用户。

任何对所有人开放的系统也对对手开放。因此，许多供应链攻击针对的是开源生态系统，其中一些没有经过严格验证以遵守“对所有人开放”的原则。然而，商业组织也受到这些攻击。

在最近的一起被比作事件的案例中，这家软件测试公司披露了对其 Bash 脚本的攻击，该攻击在两个多月内未被发现。

拥有超过 29,000 家客户，其中包括一些全球知名品牌。在这次攻击中，公司客户端使用的上传器被修改为将系统的环境变量（密钥、凭据和令牌）泄露到攻击者的 IP 地址。

防范供应链攻击需要在多个方面采取行动。软件提供商需要投入更多资金来确保其开发版本的安全。基于 AI 和 ML 的解决方案可以自动检测和阻止可疑软件组件，有助于防止拼写错误、品牌劫持和依赖混淆攻击。

此外，随着越来越多的公司采用或容器来部署他们的应用程序，具有内置 Web 应用程序防火墙的容器安全解决方案以及及早检测简单配置错误的能力将有助于防止更大的危害。

通过难以追踪的方法进行加密货币支付

鉴于其去中心化和注重隐私的设计，加密货币经常被卖家和软件运营商交易。

但是，尽管不是由政府中央银行铸造或控制，加密货币仍然缺乏与现金相同的匿名性。

结果，网络犯罪分子找到了在账户之间转移资金的创新方法。

最近，与 2016 年黑客事件相关的价值超过 6 亿美元的比特币在从 1 BTC 到 1200 BTC 的多个较小交易中转移到新账户。

加密货币并不是隐藏资金痕迹的万无一失的方法。在 2020 年美国总统大选之夜，美国政府清空了一个价值 10 亿美元的比特币钱包，其中包含与最臭名昭著的暗网市场丝绸之路有关的资金，该市场于 2013 年关闭。

在匿名交易方面，其他一些加密货币，例如 (XMR) 和 Zcash (ZEC)，比比特币具有更广泛的隐私保护。毫无疑问，犯罪分子和调查人员之间的冲突将继续在这方面，因为攻击者继续寻找更好的方法来隐藏他们的踪迹。

使用通用通道和协议

与受信任的平台和品牌一样，合法应用程序使用的加密通道、端口和协议为攻击者提供了另一种掩盖其足迹的方式。

例如，HTTPS 协议是当今 Web 上常见且不可或缺的协议，因此 443 端口（HTTPS/SSL 使用）在企业环境中很难被屏蔽。

然而，DNS over HTTPS (DoH) - 一种用于解析域的协议 - 也使用端口 443，并且已被恶意软件作者滥用来传输他们的命令和控制（C2) 命令到受感染的系统）。

这个问题有两个方面。首先，通过滥用 HTTPS 或 DoH 等常见协议，攻击者可以享受与合法用户相同的端到端加密通道的隐私优势。

其次，它也给网络管理员带来了困难。阻止任何形式的 DNS 本身就是一个挑战，但现在，鉴于 DNS 请求和响应是通过 HTTPS 加密的，安全专业人员需要拦截、挑选和分析来自进出的许多 HTTPS 请求的可疑流量网络麻烦。

研究人员 Alex 展示了依靠混淆技术闯入超过 35 家大型科技公司，他能够通过使用 DNS（端口 53)）泄露基本信息来最大限度地提高成功率。选择 DNS 是因为出于性能要求和合法的 DNS 使用，企业防火墙很可能不会阻止 DNS 流量。

使用签名的二进制文件运行模糊的恶意软件

使用非本地二进制文件（）的无文件恶意软件的常见概念仍然是一种有效的规避技术。

指合法的、经过数字签名的可执行文件，例如由 签名的可执行文件，攻击者可以滥用这些可执行文件来启动具有提升权限的恶意代码，或绕过防病毒等端点安全产品。

上个月，微软分享了一些关于企业可以采用的防御技术的指南，以防止攻击者滥用微软的 Azure。

在另一个例子中，我分析的最近发现的 Linux 和 macOS 恶意软件在所有领先的防病毒产品中都具有完美的零检测率。

在二进制文件中包含混淆代码，这确实有助于逃避检测。然而，进一步的调查还显示，该恶意软件是使用数百个合法的开源组件构建的黑客小技巧，并以与合法应用程序相同的方式执行恶意活动，例如获得管理权限。

虽然混淆恶意软件、运行时打包程序、虚拟机规避或在图像中隐藏恶意负载是高级威胁使用的已知规避技术，但它们的真正威力来自绕过安全产品或在其雷达下运行。

当有效载荷可以以某种方式与受信任的软件组件、协议、通道、服务或平台组合时，这将成为可能。

用不常见的编程语言编写恶意软件

根据 and 团队的一份新报告，恶意软件作者正在更多地使用不常见的编程语言来部分更好地规避检测。使用的主要语言有 Go、D、Nim 和 Rust。

这些语言以几种不同的方式增加了混乱。首先，用新语言重写恶意软件意味着基于签名的检测工具将不再标记它（至少在创建新签名之前）。其次，黑莓研究人员还表示，这些语言本身就是一个混淆层。例如，用于解码、加载和部署其他常见恶意软件的第一阶段恶意软件是用一种不常见的语言编写的，这将有助于逃避端点检测。

黑莓研究人员指出，目前用这些语言编写的恶意软件很少有自定义混淆。最常见的一种是用 Go 编码的恶意软件。它可以处理包、函数、类型和方法名称，以及全局变量和字符串。

另外，对于编程、学习C/C++编程或想提高的工作伙伴来说，如果你想更好的提高你的编程能力来帮助你提高水平！在这里我或许能帮到你~

高级C语言