如何拿下那些并未使用恶意软件攻击的网络罪犯

很多技艺高超的黑客会选择绕过恶意软件，而使用其它常规管理工具。为了检测出这类隐藏极深的犯罪分子，我们需要对网络中的异常活动进行全面监控。

如今网络犯罪领域已经在实施模式方面出现了巨大转变。在各类规模最大且复杂程度最高的攻击活动中，恶意软件已经较少被用到。

相反，恶意入侵者们更倾向于使用内置于各类操作系统当中的合法工具来实现自己的邪恶意图。这些合法工具，包括远程管理工具以及脚本引擎，相较于用途单一的恶意软件往往更难被我们检测到。

但这绝不算什么新鲜事物。早在计算技术发展的早期阶段，合法工具就已经成为实现黑客活动的常见手段。计算机病毒与木马程序直到上世纪八十年代末才开始出现，而在此之前，它们更多只是一种令人讨厌的事物——还算不上真正的安全威胁。

而即使是在恶意软件的全盛时期，此类代码以及其它恶意工具也主要被用于突破防御体系，例如窃取登录凭证、猜测密码内容、破解密码哈希值或者安装后门及远程访问程序等。一旦恶意人士进入到内部环境，他们通常会立刻转而使用常规管理工具，例如远程桌面，来实现自身在不同计算机之间的往来迁移。

时至今日，管理员及其安全软件储备已经非常强大，足以检测出各类恶意程序。没错。杀毒软件在应对全新恶意代码时几乎毫无作用——但别急，只要稍过一段时间，它们就能够揪出这些常见攻击工具了。另外，防御者们也已经成功利用应用程序控制(例如白名单)程序来防止计算设备被安装上未经验证的软件。

更为隐蔽的攻击手段

攻击者们已经意识到，他们完全可以利用各类合法工具及脚本命令来实现恶意活动，而不再需要大量恶意软件作为辅助。

在多数情况下，“恶意软件”的表现其实并不可怕，往往只是利用合法远程管理工具向家中拨打电话以申请登录。举例来说，大家能够找到完整的PowerShell攻击工具包，而网络犯罪组织在使用这类资源方面显然极有心得。

就目前来讲，大多数攻击者已经能够在不涉及恶意工具的前提下完成其需要实现的每项任务。他们熟知那些少为人知、鲜有使用但却极为强大的程序。他们了解该工具的每一项功能以及每一条语法命令行参数，这能够让他们得以悄无声息地加以运用。总而言之，很多技术人员甚至应该直接把工资卡交给这帮坏蛋：因为他们的管理工具使用水平要比大多数管理员更加出色。

检测恶意行为

当恶意人士使用的完全属于合法工具时，大家该如何检测出这类恶意活动?答案是追踪异常行为。

简单来讲，异常行为是指那些超出正常范围或者预期区间的行为。这显然带来了新的问题，也就是我们必须首先了解正常范围在哪里;而制定这类基准可能是防御工作当中难度最高的部分。

首先我们应当着重保护企业当中最为重要的资源以及与此类资源相连通的连接。收集来自较长时间周期的行为基准——至少应该为几周，最好能达到几个月。而后通过定义阈值来表示需要进行调查的可疑活动。

有时候阈值可以被设定为1——这代表着出现一次即代表可疑。最典型的例子就是某位域管理员接入到了某台特定服务器，而事实上其应该永远只接入到域控制器。再举两个例子：使用了公司几乎从不使用的远程连接方法或者运行了某个极少被使用的合法可执行文件。

而在更多情况下，警报会在“特定阈值”被超出时触发。这方面的典型例子就是大量错误的密码输入尝试。在企业当中每天都会有用户输入错误的密码以及PIN码内容——在某些企业中，这类情况每天甚至会出现成千上万次，但这些都属于合法状况。要解决这个问题，技巧在于找出哪个时间段内集中出现了大量错误的密码输入尝试，且其频度超过了正常情况。一般来讲，我们可以为高权限账户或者关键性资产设定较少的尝试次数阈值。

总体来讲，异常行为应当被定义为由不明原因引起的状况或者变化，具体包括：

◆位置

◆事件

◆时间

◆时长

◆来源

◆模式

我已经列举了以上这些例子，但大家也可以把以下异常状况添加到自己的清单当中：

◆来自用户账户及计算机的、正常来讲不应存在的未认证连接。

◆不合常理的活动时间(例如在对应员工已经下班回家且不可能进行远程登录的时段，利用其账户进行输入或者执行不合常理的操作)。

◆在多个不同位置利用同一账户进行多次连接。

◆不合常理的发起位置或者目标位置。

◆不合常理的网络连接路径(例如服务器到服务器、服务器到客户端、客户端到客户端以及客户端到服务器等等)。

◆超出正常范围的传输带宽占用或者文件访问活动。

◆使用访问频率极低的管理员程序

◆禁用杀毒检测软件。

◆不合常理的重置或者重启。

◆不合常理的活动中止状况。

◆大量数据被传输至国外位置。

◆不合常理的夜间数据传输活动。

◆不合常理的本地关键性文件内容修改操作。

◆不合常理的SSL/TLS连接。

◆不合常理的文件包归档或加密操作。

除了设定阈值与警报之外，另一大重点在于记录命令行与脚本——包括脚本中的每一行内容。目前微软Windows系统已经通过内置事件监控机制实现了这项功能，但在非Windows系统上我们则需要进行修改或者采用第三方工具。

另一种理想的检测手段是使用“蜜罐”技术。每家企业都应当在内部环境中设置一套伪造系统。由于该系统并非真正的业务环境，因此合法员工或者系统(在经过广播与正常连接过滤之后)应该不会尝试接入。而一次不合常理的连接就意味着我们的环境面临着潜在威胁。

实现自动化监控

大家需要尽可能多地使用自动化异常检测手段。每一个异常事件都应当得到妥善调查，并被确切定性为恶意活动或者排除为正常行为。当然，刚开始进行检测时肯定会出现大量虚假警报。不用担心，只要对检测及警报进行细心调整，并在虚假警报过滤出去，触发的准确率将会不断提高。

发生在工作站以及服务器上的警报也应当被发送至用户及其主管处进行审查。最重要的就是将不合常理的行为发送至对应员工的主管处，这也正是追踪内部员工非法活动的最佳处理方式。

利用合法工具进行的异常活动确实很难被我们追踪到，不过需要注意的是，单凭恶意软件检测工具本身就能保障安全的好日子已经一去不复返。如今很多企业在吸取这一教训的过程中付出了惨重的代价，希望大家能够以更为积极的心态了解新型威胁并建立起相应的防御措施。