盡管在網絡安全方面的投資不斷增加，但網絡犯罪仍在激增。每天的攻擊都會使醫療保健提供癱瘓，并擾亂金融/保險服務公司、制造公司、律師事務所和軟件公司，以至于有關閉的風險。這在很大程度上是因為攻擊一直在變化，而防御沒有變化。如今的惡意軟件越來越多地在內存中執行運行時攻擊。

根據微軟的數據，微軟產品中70%的漏洞是內存安全問題。PurpleSec發現，2022年，內存崩潰是最常見的零日攻擊類型，占攻擊的67.55%。對于依賴基于檢測的解決方案來應對這些類型的攻擊的防御者來說，這是一個大問題。

不久前，幾乎所有的惡意軟件都依賴于可執行文件。威脅參與者在受害者環境中的磁盤上安裝了惡意軟件。該惡意軟件將通過函數調用、系統事件或消息與受感染的計算機交互或與命令和控制(C2)服務器通信。

傳統網絡安全在一定程度上運作良好

但是，無論是在服務器上還是在受攻擊的終端上，該惡意軟件都會留下其存在的證據。防御者可以依靠端點保護平臺(EPP)、端點檢測和響應(EDR/XDR)和防病毒(AV)等工具來發現惡意軟件部署的跡象。發現這些攻擊模式和特征是網絡安全技術演變的目的——在威脅造成真正破壞之前檢測和隔離威脅。

但隨著攻擊鏈現在進入內存，它們在要檢測的特征或要分析的行為模式方面提供的東西很少。傳統的惡意軟件攻擊并沒有消失。只是更多的威脅在運行時以設備內存為目標，而傳統的防御者對此的可見性有限。

內存中攻擊可以安裝有關聯的文件，也可以沒有關聯的文件，并在最終用戶啟動和關閉應用程序之間的空間中工作。像Emotet、Jupyter、Cobalt Strike和供應鏈攻擊這樣的運行時攻擊可以在受害者的環境中移動。

這些威脅通常不會在設備磁盤上留下可識別的印記。這些威脅的證據最終可能會在基于簽名的解決方案上顯示為警報。這包括安全信息和事件管理(SIEM)或安全協調、自動化和響應(SOAR)解決方案。但到那時，后衛們通常已經來不及做任何事情了。

隱蔽而強大的應用程序運行時攻擊為勒索軟件部署和數據外泄奠定了基礎。

內存中的威脅無處不在

作為無文件惡意軟件的一項功能，完整的內存中攻擊鏈在2010年代中期開始出現。臭名昭著的Angler漏洞工具包以其獨特的混淆而聞名，它授權網絡犯罪分子每月收取費用來利用網絡瀏覽器漏洞。

僅在2015年，網絡犯罪分子就利用Angler從受害者那里竊取和勒索了3400萬美元。

近年來，在內存方面的泄露激增。威脅參與者使用Cobalt Strike等工具從設備內存惡意加載通信信標。Cobalt Strike是一種合法的五層攻擊解決方案。2019至2020年間，使用Cobalt Strike的網絡攻擊增加了161%。它通常被Conti使用，Conti是目前運營中最成功的勒索軟件集團，在2021年獲得了1.8億美元的收入。

為了逃避傳統的以簽名和行為為重點的安全解決方案，威脅參與者現在創建針對運行時內存中的惡意軟件，并劫持合法進程。Picus實驗室的2021年紅色報告將20多萬個惡意軟件文件映射到MITRE ATT&CK框架。

“他們發現，去年最流行的五種攻擊方式中，有三種是在內存中發生的。”

內存泄露現在是攻擊鏈的典型特征，就像2021年愛爾蘭國家醫療服務體系被入侵之前那樣。

無法在運行時掃描設備內存

在應用程序運行時期間，設備內存中發生的情況對防御者來說大多是不可見的。若要了解原因，請考慮解決方案如何在有人使用應用程序時嘗試掃描應用程序。

解決方案必須 1） 在應用程序的生命周期內多次掃描設備內存，同時 2） 偵聽正確的觸發操作，以及 3） 查找惡意模式以捕獲正在進行的攻擊。做這三件事的最大障礙是規模。在典型應用程序的運行時環境中，可能有 4GB 的虛擬內存。不可能足夠頻繁地掃描如此大量的數據，至少不會減慢應用程序的速度，以至于無法使用。因此，內存掃描程序只能查看特定的內存區域、特定的時間線觸發器和非常具體的參數——所有這些都假設內存狀態是穩定和一致的。

在范圍如此有限的情況下，在最好的情況下，專注于內存掃描的解決方案可能會占用3%到4%的應用程序內存。但威脅越來越多地使用多態來混淆他們的存在，甚至在內存中也是如此。這意味著在如此小的設備內存樣本中捕獲惡意活動將是奇跡。使這一問題雪上加霜的是，攻擊現在繞過或篡改了大多數解決方案用來發現正在進行的攻擊的掛鉤。

毫不奇怪，遠程訪問特洛伊木馬程序(RAT)、信息竊取程序和加載程序現在使用應用程序內存來隱藏更長時間。攻擊者在網絡中停留的平均時間約為11天。對于老鼠和信息竊取等高級威脅，這個數字更接近45天。

Windows和Linux應用程序都是目標

在內存中，泄露不是一種單一類型的威脅。相反，這是導致廣泛后果的攻擊鏈的一個特征。例如，勒索軟件不一定與內存運行時攻擊相關聯。但要部署勒索軟件，威脅參與者通常必須滲透網絡并提升權限。這些過程往往在運行時在內存中發生。

網絡安全的標準方法是檢測正在進行的攻擊或被破壞后的攻擊。這使每種類型的組織和 IT 資產都面臨“隱形”運行時攻擊的風險。Morphisec的事件響應團隊已經看到內存中入侵被用于從金融機構的服務器到醫院的端點以及介于兩者之間的所有情況。

這些威脅不僅針對 Windows 服務器和設備上的內存進程，它們還針對Linux。去年，由威脅行為者創建的惡意版本的Cobalt Strike專門用于Linux服務器。在金融等行業，Linux被用來為虛擬化平臺和網絡服務器提供動力，攻擊激增。攻擊通常會破壞內存中的業務關鍵型服務器，從而為信息盜竊和數據加密奠定基礎。

防止內存中運行時攻擊

內存中運行時攻擊是一些最先進的破壞性攻擊。他們不僅針對企業，現在還把整個政府都扣為人質。因此，防御者必須專注于在運行時阻止對應用程序內存的威脅。只專注于檢測是不好的;內存中和無文件的惡意軟件實際上是不可見的。傳統的安全技術在受保護資產周圍豎起一堵墻，并依賴于檢測惡意活動，無法阻止多態和動態威脅。

相反，應通過安全層確保有效的深度防御，從而首先防止內存受損。這就是移動目標防御（MTD）技術的作用。MTD 通過在運行時變形（隨機化）應用程序內存、API 和其他操作系統資源，創建即使是高級威脅也無法穿透的動態攻擊面。實際上，它不斷地移動房屋的門，同時將假門留在原處，從而捕獲惡意軟件以進行取證分析。即使威脅行為者能找到通往建筑物的門，當他們返回時，它也不會在那里。因此，他們不能在同一端點上重用攻擊，更不用說在其他端點上了。

MTD 技術不是在攻擊發生后檢測到攻擊，而是先發制人地阻止攻擊，而無需簽名或可識別的行為。而且它不會影響系統性能、生成誤報警報或需要增加員工人數才能運行。

擴展閱讀

Morphisec（摩菲斯）

Morphisec（摩菲斯）作為移動目標防御的領導者，已經證明了這項技術的威力。他們已經在5000多家企業部署了MTD驅動的漏洞預防解決方案，每天保護800多萬個端點和服務器免受許多最先進的攻擊。事實上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無文件攻擊，這些攻擊是NGAV、EDR解決方案和端點保護平臺（EPP）未能檢測和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評論和PeerSpot評論)在其他NGAV和EDR解決方案無法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門程序(例如，Cobalt Strike、其他內存信標)

供應鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關鍵應用程序，windows和linux本地和云服務器提供解決方案，2MB大小快速部署。

免費的Guard Lite解決方案，將微軟的Defener AV變成一個企業級的解決方案。讓企業可以從單一地點控制所有終端。