黑客技术  网络攻击

黑客经常利用合法软件来达到恶意目的，因为这使他们能够逃避安全措施并获得对系统的未经授权的访问。 

通过使用合法软件，威胁行为者可以避免检测并融入正常网络流量，这使得防御者更难检测和减轻攻击。

ReliaQuest 的安全研究人员最近发现，威胁行为者一直在积极利用合法软件进行隐秘的网络攻击。

黑客利用合法软件

ReliaQuest 记录了 2024 年 1 月至 8 月期间使用有效软件 CAMO（恶意操作商业应用程序）的网络事件令人烦恼的显著增加。在所有重大操作键盘事件中，60% 都使用了这种策略，与 2023 年相比增加了 16%。

然而，CAMO 参与者使用常见的 IT 工具 PDQ Deploy、Total Software Deployment (TSD) 和 RMM 软件，如 AnyDesk 或 ScreenConnect。

这些工具通常具有有效的代码签名证书，这些证书已在攻击杀伤链的多个阶段使用过。

⁤例如，Medusa勒索软件组织利用 PDQ Deploy来传播和执行勒索软件，而 Inc Ransom组织则使用SoftPerfect NetScan进行网络发现，并使用Restic（伪装成“winupdate.exe”）进行数据泄露。⁤

⁤Black Basta勒索软件组织利用RMM工具建立命令和控制 (C2) 通道，发起了社会工程活动。⁤

⁤CAMO 带来了独特的挑战，因为这些合法工具经常逃避安全策略，并且很容易与正常的 IT 操作混合，这有助于使威胁检测和事件响应复杂化。

⁤为了缓解基于CAMO的攻击，建议组织实施纵深防御策略，包括：

• 使用VLAN和DMZ进行网络分段。⁤
• ⁤通过Windows Defender应用程序控制 (WDAC) 或AppLocker将应用程序列入白名单。⁤
• ⁤严格控制 RMM 工具的使用。⁤

⁤此外，研究人员还敦促将CAMO意识纳入他们的事件响应计划、渗透测试和风险评估中。⁤

⁤不仅如此，他们还建议实施数据泄露预防措施，例如阻止未经授权的云服务和监控对敏感数据的访问。⁤

威胁行为者将继续长期利用CAMO、 AnyDesk和PDQ Deploy等合法IT工具进行恶意活动。

这种趋势从它们在网络犯罪论坛上的事件和讨论中的频繁使用可以看出。

像“Cozy Bear”这样的民族国家组织可能会将合法行为融入复杂的自定义恶意软件（CloudDuke）中，使用 Microsoft OneDrive 进行数据泄露。这种持久性是由工具的有效性和不同威胁行为者的不同需求驱动的。

• 阿里云机房着火超30个小时，云服务宕机，AWS趁火打劫？