Menlo Security发表新的研究文章： HEAT 攻击--规避 HTTP 流量检查

网路攻击者和企业资安人员面临的挑战是企业网路使用人员及其资料所在的位置持续在发生变化。曾经有一段时间，攻击者将攻击漏洞集中在目标的网路、端点、伺服器操作系统以及已安装的应用程序上。攻击者仍然这样做，但随著企业资料系统变化，大多数工作都在网路上进行，威胁攻击者越来越多地瞄准网路浏览器。据估计，员工每天 75% 的时间都在使用网路浏览器进行工作和提高工作效率。这就是人员和资料——也就是金钱——所在的地方。

在关于HEAT的系列中，Menlo Security详细介绍了攻击者如何使用技术来规避静态和动态内容检查、恶意连结分析以及离线分类和威胁检测。HEAT攻击不断增加，依赖传统安全防御的企业将发现自己成为受害者。

Menlo Security发表这篇文章探讨了威胁攻击者如何制作攻击以逃避 HTTP 流量检查。在这些攻击中，攻击者使用 JavaScript 在 HTTP 流量透过检查引擎后产生恶意内容。此内容是在端点的网路浏览器中创立的。由于这些图像是在本地 JavaScript 引擎中呈现或代码执行的，因此这些攻击绕过了在攻击到达端点之前发生的安全审查。

在深入了解攻击技术细节之前，最好先了解一下传统 HTTP 流量检查的工作原理。透过 HTTP 流量检查，可以分析 HTTP中的威胁。 HTTP 分析引擎将寻找进入浏览器的漏洞，例如恶意软体、恶意内容、网路钓鱼工具包的典型签名、冒充品牌的图像等。当然，攻击者会试图逃避这种检测。

规避 HTTP 流量检查的最常见方法之一是利用混淆的 JavaScript 隐藏任何可能触发安全防御的内容。为此，攻击者在浏览器的 JavaScript 引擎中动态组装恶意负载。这样，基于签名的 HTTP 流量检测技术将在攻击到达端点时错过攻击。此类攻击的执行通常始于复杂的网路钓鱼页面，这些页面诱使用户误以为他们是真的。攻击者将使用经过混淆或动态生成的漏洞利用代码来避免检测的 JavaScript 签名。他们还可能使用CSS 操作来避免视觉检测，并将外观良好的图像转换为冒充知名品牌的图像以进行网路钓鱼。所有这些都发生在浏览器级别和最终用户的眼前，避掉了之前的任何检查点。

攻击者使用 JavaScript 是因为它非常流行。 HP 威胁研究团队最近进行的分析发现，这种隐藏的 JavaScript 技术最近被用于在端点上插入远端访问木马，以徵用最终用户设备并窃取敏感资料。在这次攻击中，威胁者使用了 RATDispenser，这是一个 JavaScript 加载程序，它使用很少检测到的 JavaScript 附件。

这些旨在规避 HTTP 检查的混淆技术无法透过网路流量上发生的传统 HTTP 流量检查来识别。这些攻击将成功绕过这些安全控制并在端点上执行。为了捕捉这些类型的攻击，企业必须查看 JavaScript 引擎的执行情况，并根据端点上的活动识别恶意行为，以便在攻击完全执行之前识别和阻止攻击。

对于这些攻击，最有效的安全措施是靠近用户以及执行代码和操作资料的地方。例如网路安全平台专注于可接受的使用策略执行，使用签名来识别恶意软件，并且不评估网路浏览器和应用程序中的特定活动。

企业安全团队必须做的是确保正确检查所有内容，并以传统安全工具经常遗漏的方式阻止 HEAT（和其他）攻击。随著远端和混合工作成为常态，攻击者将继续利用这些策略，这意味著企业安全团队需要强调预防性安全措施。