Menlo Security發表新的研究文章： HEAT 攻擊--規避 HTTP 流量檢查

網路攻擊者和企業資安人員面臨的挑戰是企業網路使用人員及其資料所在的位置持續在發生變化。曾經有一段時間，攻擊者將攻擊漏洞集中在目標的網路、端點、伺服器操作系統以及已安裝的應用程序上。攻擊者仍然這樣做，但隨著企業資料系統變化，大多數工作都在網路上進行，威脅攻擊者越來越多地瞄準網路瀏覽器。據估計，員工每天 75% 的時間都在使用網路瀏覽器進行工作和提高工作效率。這就是人員和資料——也就是金錢——所在的地方。

在關於HEAT的系列中，Menlo Security詳細介紹了攻擊者如何使用技術來規避靜態和動態內容檢查、惡意連結分析以及離線分類和威脅檢測。HEAT攻擊不斷增加，依賴傳統安全防禦的企業將發現自己成為受害者。

Menlo Security發表這篇文章探討了威脅攻擊者如何製作攻擊以逃避 HTTP 流量檢查。在這些攻擊中，攻擊者使用 JavaScript 在 HTTP 流量透過檢查引擎後產生惡意內容。此內容是在端點的網路瀏覽器中創立的。由於這些圖像是在本地 JavaScript 引擎中呈現或代碼執行的，因此這些攻擊繞過了在攻擊到達端點之前發生的安全審查。

在深入了解攻擊技術細節之前，最好先了解一下傳統 HTTP 流量檢查的工作原理。透過 HTTP 流量檢查，可以分析 HTTP中的威脅。 HTTP 分析引擎將尋找進入瀏覽器的漏洞，例如惡意軟體、惡意內容、網路釣魚工具包的典型簽名、冒充品牌的圖像等。當然，攻擊者會試圖逃避這種檢測。

規避 HTTP 流量檢查的最常見方法之一是利用混淆的 JavaScript 隱藏任何可能觸發安全防禦的內容。為此，攻擊者在瀏覽器的 JavaScript 引擎中動態組裝惡意負載。這樣，基於簽名的 HTTP 流量檢測技術將在攻擊到達端點時錯過攻擊。此類攻擊的執行通常始於複雜的網路釣魚頁面，這些頁面誘使用戶誤以為他們是真的。攻擊者將使用經過混淆或動態生成的漏洞利用代碼來避免檢測的 JavaScript 簽名。他們還可能使用CSS 操作來避免視覺檢測，並將外觀良好的圖像轉換為冒充知名品牌的圖像以進行網路釣魚。所有這些都發生在瀏覽器級別和最終用戶的眼前，避掉了之前的任何檢查點。

攻擊者使用 JavaScript 是因為它非常流行。 HP 威脅研究團隊最近進行的分析發現，這種隱藏的 JavaScript 技術最近被用於在端點上插入遠端訪問木馬，以徵用最終用戶設備並竊取敏感資料。在這次攻擊中，威脅者使用了 RATDispenser，這是一個 JavaScript 加載程序，它使用很少檢測到的 JavaScript 附件。

這些旨在規避 HTTP 檢查的混淆技術無法透過網路流量上發生的傳統 HTTP 流量檢查來識別。這些攻擊將成功繞過這些安全控制並在端點上執行。為了捕捉這些類型的攻擊，企業必須查看 JavaScript 引擎的執行情況，並根據端點上的活動識別惡意行為，以便在攻擊完全執行之前識別和阻止攻擊。

對於這些攻擊，最有效的安全措施是靠近用戶以及執行代碼和操作資料的地方。例如網路安全平台專注於可接受的使用策略執行，使用簽名來識別惡意軟件，並且不評估網路瀏覽器和應用程序中的特定活動。

企業安全團隊必須做的是確保正確檢查所有內容，並以傳統安全工具經常遺漏的方式阻止 HEAT（和其他）攻擊。隨著遠端和混合工作成為常態，攻擊者將繼續利用這些策略，這意味著企業安全團隊需要強調預防性安全措施。