【51CTO.com快譯】很多技藝高超的黑客會選擇繞過惡意軟件，而使用其它常規管理工具。為了檢測出這類隱藏極深的犯罪分子，我們需要對網絡中的異常活動進行全面監控。

[[149396]]

如今網絡犯罪領域已經在實施模式方面出現了巨大轉變。在各類規模最大且復雜程度最高的攻擊活動中，惡意軟件已經較少被用到。

相反，惡意入侵者們更傾向于使用內置于各類操作系統當中的合法工具來實現自己的邪惡意圖。這些合法工具，包括遠程管理工具以及腳本引擎，相較于用途單一的惡意軟件往往更難被我們檢測到。

但這絕不算什么新鮮事物。早在計算技術發展的早期階段，合法工具就已經成為實現黑客活動的常見手段。計算機病毒與木馬程序直到上世紀八十年代末才開始出現，而在此之前，它們更多只是一種令人討厭的事物——還算不上真正的安全威脅。

而即使是在惡意軟件的全盛時期，此類代碼以及其它惡意工具也主要被用于突破防御體系，例如竊取登錄憑證、猜測密碼內容、破解密碼哈希值或者安裝后門及遠程訪問程序等。一旦惡意人士進入到內部環境，他們通常會立刻轉而使用常規管理工具，例如遠程桌面，來實現自身在不同計算機之間的往來遷移。

時至今日，管理員及其安全軟件儲備已經非常強大，足以檢測出各類惡意程序。沒錯。殺毒軟件在應對全新惡意代碼時幾乎毫無作用——但別急，只要稍過一段時間，它們就能夠揪出這些常見攻擊工具了。另外，防御者們也已經成功利用應用程序控制(例如白名單)程序來防止計算設備被安裝上未經驗證的軟件。

更為隱蔽的攻擊手段

攻擊者們已經意識到，他們完全可以利用各類合法工具及腳本命令來實現惡意活動，而不再需要大量惡意軟件作為輔助。

在多數情況下，“惡意軟件”的表現其實并不可怕，往往只是利用合法遠程管理工具向家中撥打電話以申請登錄。舉例來說，大家能夠找到完整的PowerShell攻擊工具包，而網絡犯罪組織在使用這類資源方面顯然極有心得。

就目前來講，大多數攻擊者已經能夠在不涉及惡意工具的前提下完成其需要實現的每項任務。他們熟知那些少為人知、鮮有使用但卻極為強大的程序。他們了解該工具的每一項功能以及每一條語法命令行參數，這能夠讓他們得以悄無聲息地加以運用。總而言之，很多技術人員甚至應該直接把工資卡交給這幫壞蛋：因為他們的管理工具使用水平要比大多數管理員更加出色。

檢測惡意行為

當惡意人士使用的完全屬于合法工具時，大家該如何檢測出這類惡意活動?答案是追蹤異常行為。

簡單來講，異常行為是指那些超出正常范圍或者預期區間的行為。這顯然帶來了新的問題，也就是我們必須首先了解正常范圍在哪里;而制定這類基準可能是防御工作當中難度最高的部分。

首先我們應當著重保護企業當中最為重要的資源以及與此類資源相連通的連接。收集來自較長時間周期的行為基準——至少應該為幾周，最好能達到幾個月。而后通過定義閾值來表示需要進行調查的可疑活動。

有時候閾值可以被設定為1——這代表著出現一次即代表可疑。最典型的例子就是某位域管理員接入到了某臺特定服務器，而事實上其應該永遠只接入到域控制器。再舉兩個例子：使用了公司幾乎從不使用的遠程連接方法或者運行了某個極少被使用的合法可執行文件。

而在更多情況下，警報會在“特定閾值”被超出時觸發。這方面的典型例子就是大量錯誤的密碼輸入嘗試。在企業當中每天都會有用戶輸入錯誤的密碼以及PIN碼內容——在某些企業中，這類情況每天甚至會出現成千上萬次，但這些都屬于合法狀況。要解決這個問題，技巧在于找出哪個時間段內集中出現了大量錯誤的密碼輸入嘗試，且其頻度超過了正常情況。一般來講，我們可以為高權限賬戶或者關鍵性資產設定較少的嘗試次數閾值。

總體來講，異常行為應當被定義為由不明原因引起的狀況或者變化，具體包括：

◆位置

◆事件

◆時間

◆時長

◆來源

◆模式

我已經列舉了以上這些例子，但大家也可以把以下異常狀況添加到自己的清單當中：

◆來自用戶賬戶及計算機的、正常來講不應存在的未認證連接。

◆不合常理的活動時間(例如在對應員工已經下班回家且不可能進行遠程登錄的時段，利用其賬戶進行輸入或者執行不合常理的操作)。

◆在多個不同位置利用同一賬戶進行多次連接。

◆不合常理的發起位置或者目標位置。

◆不合常理的網絡連接路徑(例如服務器到服務器、服務器到客戶端、客戶端到客戶端以及客戶端到服務器等等)。

◆超出正常范圍的傳輸帶寬占用或者文件訪問活動。

◆使用訪問頻率極低的管理員程序

◆禁用殺毒檢測軟件。

◆不合常理的重置或者重啟。

◆不合常理的活動中止狀況。

◆大量數據被傳輸至國外位置。

◆不合常理的夜間數據傳輸活動。

◆不合常理的本地關鍵性文件內容修改操作。

◆不合常理的SSL/TLS連接。

◆不合常理的文件包歸檔或加密操作。

除了設定閾值與警報之外，另一大重點在于記錄命令行與腳本——包括腳本中的每一行內容。目前微軟Windows系統已經通過內置事件監控機制實現了這項功能，但在非Windows系統上我們則需要進行修改或者采用第三方工具。

另一種理想的檢測手段是使用“蜜罐”技術。每家企業都應當在內部環境中設置一套偽造系統。由于該系統并非真正的業務環境，因此合法員工或者系統(在經過廣播與正常連接過濾之后)應該不會嘗試接入。而一次不合常理的連接就意味著我們的環境面臨著潛在威脅。

實現自動化監控

大家需要盡可能多地使用自動化異常檢測手段。每一個異常事件都應當得到妥善調查，并被確切定性為惡意活動或者排除為正常行為。當然，剛開始進行檢測時肯定會出現大量虛假警報。不用擔心，只要對檢測及警報進行細心調整，并在虛假警報過濾出去，觸發的準確率將會不斷提高。

發生在工作站以及服務器上的警報也應當被發送至用戶及其主管處進行審查。最重要的就是將不合常理的行為發送至對應員工的主管處，這也正是追蹤內部員工非法活動的最佳處理方式。

利用合法工具進行的異常活動確實很難被我們追蹤到，不過需要注意的是，單憑惡意軟件檢測工具本身就能保障安全的好日子已經一去不復返。如今很多企業在吸取這一教訓的過程中付出了慘重的代價，希望大家能夠以更為積極的心態了解新型威脅并建立起相應的防御措施。

英文：Catch attackers even when they don't use malware