恶意软件攻击仍然是头条新闻的主要内容,网络犯罪分子正在利用社交工程技术制作恶意电子邮件,并利用现代通信渠道。作为主要的攻击载体,恶意电子邮件通常包含恶意附件,当打开这些附件时,就会触发恶意软件的执行,并利用漏洞达到恶意攻击的目的。恶意文件也会被用户通过通信渠道接收的链接下载。
据安克诺斯专家观察,2023年每封电子邮件扫描到的文件和URL数量增加了15%,网络犯罪分子继续在攻击中利用Microsoft Office和Adobe PDF文件等恶意文档作为武器。其他行业分析师也看到了类似的情况。恶意软件通常嵌入文件中,但其执行链可能有所不同。例如,最初是利用漏洞,提高权限,然后下载并执行恶意软件。Office和PDF文件多年来一直被用于网络攻击,因为它们可能包含嵌入式宏、shell代码、JavaScript,甚至是整个文件。然而,近年来这个问题愈演愈烈,因为黑客现在利用搜索引擎优化(SEO)将恶意文件尤其是PDF文件,排在搜索引擎结果更靠前的位置。
另一个类似的问题涉及由PowerShell等合法工具执行的恶意脚本。与恶意文件一样,使用恶意脚本的攻击数量也在逐年稳步增长。安克诺斯专家发现,在过去的两年中,此类攻击的增长速度几乎翻了一番。恶意脚本的目标是相同的:渗透系统、提高权限、下载并执行有效负载。
对于网络安全公司来说,上述两个问题是相同的,因为它们都需要您区分好的和坏的文档或脚本。好消息是,通过使用机器学习(ML)和人工智能(AI),或者如安克诺斯所说的使用机器智能(MI),可以更有效地解决这个问题。
使用机器智能检测威胁
作为机器学习的先驱,安克诺斯早在2017年推出主动防护反勒索软件时就使用了机器学习这项技术。此后不久,安克诺斯又创建了一个基于人工智能的全面静态检测引擎,该引擎目前用于安克诺斯的旗舰产品安克诺斯数据保护软件。
该引擎会不断更新,每引入一个新的机器学习模型,它在性能和检测率方面就会有所提高。例如,一开始,它被用来分析已执行进程的堆栈跟踪,后来,它开始分析整个文件和库以捕获恶意的文件和库。现在它可以分析从可执行文件和进程图像中提取的字符串。提取字符串中数百个选定单词的频率作为附加特征,使检测率提高了3%以上!
类似的方法也可用于检测恶意文档和脚本。
让我们从Microsoft Office文档开始。尽管微软从2023年开始在互联网文档中默认禁用宏,但遗憾的是,这并不能解决所有问题。网络标记(MOTW)属性是一种识别来自互联网的文件的功能,Windows将其添加到来自互联网或限制区域等不受信任位置的文件中,例如浏览器下载或电子邮件附件。这里要说明的是,该属性仅适用于保存在NTFS文件系统中的文件,而不适用于保存在FAT32格式化设备中的文件。如果文件来自合法的办公室电子邮件怎么办?这在工作严重依赖宏的环境中不一定有效,例如会计工作。尽管如此,启用策略的环境会变得更加安全,并且可以成功地防止一些典型的网络钓鱼攻击,如在Emotet活动中使用的网络钓鱼攻击。
但正如我们所看到的,这种策略会给许多企业带来其他麻烦。因此安克诺斯AI专家增强了我们的检测引擎,通过机器学习的强大功能识别恶意文档。
执行以下一项或多项功能的脚本可能会被视为恶意脚本:
- 创建进程
- 执行PowerShell、VBA等脚本
- 从远程服务器下载文件
- 将自身嵌入到其他Office文件或Office模板文件中
然而,真正的检测并非如此简单,因为需要考虑很多其他参数。例如,安克诺斯机器学习模型会分析DOCX文件的以下属性,从而得出结论:
- 各种文本和VBA函数功能
- 比率特征,如注释、代码等
- 宏本身、代码和注释的熵
- 任何混淆处理以及混淆处理的内容
- 已知的入侵指标(IoC)参数,如URL、可执行文件等
当然,这并不是一个完整的列表,但它有助于说明我们在一个不断修订和更新的大型数据集上分析了很多属性。因此,我们在模型大小被压缩到小于1MB的情况下,实现了极好的检测率。如果没有人工智能(AI)和机器学习(ML),要达到这样的结果几乎是不可能的。请记住,这只是强大的多层保护的一部分,只有在其他技术没有事先检测到威胁时才会触发多层保护,如电子邮件安全扫描引擎、沙箱或URL过滤。
安克诺斯专家最近也开始采用类似的方法来检测恶意AutoIt脚本,这种脚本通常用于服务提供商环境。通过一个大约0.6MB的模型,我们已经能够提供92%的检测率,对DOCX方面也是如此,并且该模型在不断改进。
消除PDF被武器化的威胁
除了Microsoft Office Word文档外,Adobe便携式文档格式(PDF)也是网络犯罪分子用来入侵系统或在用户电脑上植入恶意软件的常用工具。基于PostScript语言,PDF可以包含大量信息,包括文本、超链接、多媒体、图像、附件、元数据等。PDF格式具有“操作”功能,允许打开网页链接或文件,运行JavaScript代码以及其他许多可以被恶意执行的操作。
PDF文档可以通过浏览器和各种阅读软件来查看,所有这些软件都可能存在威胁者可以利用的漏洞。这些漏洞包括任意代码执行、缓冲区溢出、内存损坏、越界读取等等。目前,PDF阅读器有数百个CVE,截止2023年11月,仅Adobe Acrobat Reader就有900多个已知漏洞。安全研究人员和威胁行为者几乎每天都在发现与PDF相关的新漏洞。
以下是CVE-2023-44372漏洞在野外被利用的示例:Acrobat Reader DC版本23.0006.20360(及更早版本)和20.005.30524(及更早版本)受Use-After-Free漏洞影响。未经身份验证的攻击者可以利用此漏洞在当前用户的上下文中执行任意代码。利用这个漏洞需要用户交互,因为受害者必须打开恶意文件。
与上述其他文件类型一样,安克诺斯基于机器学习的恶意PDF检测模型会检查各种参数,以得出正确的判断:
- 熵
- 总字符数
- 特殊关键词计数
- 行数,特殊分配行
因此,可以实现上述相同且非常有效的检测率。
网络安全意识培训可以发挥重要作用
将这种检测模型集成到网络保护解决方案中是至关重要的。然而,人对于防御也是至关重要的。在大多数情况下,使用恶意文档或脚本需要用户输入。没有用户输入,就没有威胁。如果用户能够意识到威胁及其出现的方式,然后做出适当的反应,那么整个公司和个人的整体安全态势都会受益匪浅。
安全意识培训应教会用户遵循以下众所周知的安全规则:
- 始终检查邮件或链接的来源。您是否认识这个人?您是否在等这份文件?一定要检查发件人的电子邮件地址,而不仅仅是发件人姓名或电子邮箱别名。
- 如果您点击文件后收到不兼容警告,被要求启用某些功能、出现链接、验证码,或类似内容,应立即关闭该文件或将其删除,然后立即通知安全团队。
- 如果已经点击了该文件,但它没有打开,这也是一个不好的迹象。如果文件被打开了,但它与您预期的不一样,您可能已经成为受害者,此时也应立即通知安全团队。
总而言之,最好的原则是在打开链接和附件之前停下来想一想。仔细检查所有内容,如果仍然不确定,请与安全团队联系。保持警惕,确保安全。