Очень уклончивая адаптивная угроза

( Высокоуклончивая адаптивная угроза HEAT) — это тип атаки кибербезопасности, предназначенный для обхода традиционных средств защиты сети. ^[1] ^[2] ТЕПЛОВЫЕ атаки предназначены для обхода средств защиты, действовавших годами. ^[3] Атаки HEAT позволяют обойти типичные средства контроля кибербезопасности, такие как безопасные веб-шлюзы (SWG) и средства защиты от вредоносных программ, через вредоносные ссылки, замаскированные под обычные URL-адреса, которые жертвы считают безопасными. HEAT-атаки выходят за рамки традиционных методов фишинга, которые исторически осуществлялись по электронной почте, поскольку они внедряются в ссылки, которые не помечаются антифишинговым программным обеспечением. ^[4] Как и в случае с большинством угроз кибербезопасности, движущие силы HEAT-атак в первую очередь носят финансовый и политический характер. HEAT-атаки направлены на технические ограничения широко используемых инструментов безопасности, основной целью которых являются веб-браузеры. ^[5] Национальные государства и киберпреступники обычно используют HEAT-атаки для попыток фишинга или первоначального доступа к программам-вымогателям. ^[6]

Высокоадаптивные уклончивые угрозы (HEAT) требуют технологии адаптивного анализа угроз для обнаружения угроз, упущенных другими подходами. ^[7]

Определение

ТЕПЛОВЫЕ атаки демонстрируют четыре основные характеристики ^[8]

Уклонение от автономной категоризации и обнаружения угроз . HEAT-атаки обходят фильтрацию URL-адресов за счет использования эфемерных и/или скомпрометированных вредоносных сайтов с безопасной категоризацией.
Уклонение от анализа вредоносных ссылок . HEAT-атаки обходят инструменты безопасности электронной почты, переходя от фишинговых ссылок электронной почты к другим источникам, таким как Интернет, социальные сети, SMS и платформы обмена файлами.
Уклонение от статической и динамической проверки содержимого . HEAT-атаки обходят проверку на основе файлов, используя динамическую загрузку файлов (т. е. контрабанду HTML).
Уклонение от проверки HTTP-трафика . HEAT-атаки обходят проверку содержимого/страниц HTTP, используя динамически генерируемый и/или запутанный контент (код JavaScript и изображения).

История и известные ТЕПЛОВЫЕ атаки

Хотя некоторые методы, используемые в атаках HEAT, используются в отрасли уже несколько лет, растущие тенденции к удаленной работе, более широкое использование программного обеспечения как услуги (SaaS) и приложений на основе браузера, а также атаки программ-вымогателей ускорили внедрение методов HEAT. со стороны нападавших.

DURI — атака DURI HEAT была обнаружена в 2020 году. Полезной нагрузкой Duri было ранее обнаруженное вредоносное ПО. ^[9] Однако метод доставки изменился и стал использовать технику HEAT-атаки, контрабанду HTML, чтобы увеличить уровень заражения целевых конечных точек. ^[10]:.
Qakbot — Qakbot — это банковский троян , который используется как минимум с 2007 года. Qakbot активно поддерживается, и недавние модификации включают использование HEAT-атак, таких как zip-файлы, защищенные паролем. ^[11]
Nobelium . Вредоносное ПО Nobelium обычно используется в атаках, направленных на финансовые услуги и других целевых жертв. Техника контрабанды заключалась в кодировании сценария на веб-странице или во вложении HTML. Веб-браузер пользователя декодирует сценарий, который впоследствии создает вредоносную нагрузку на главном компьютере. ^[12]

Ссылки

^ Служба безопасности, Менло (2 февраля 2022 г.). «Слишком горячо, чтобы с ним справиться: почему современная работа привела к ТЕПЛОВЫМ атакам» . Менло Секьюрити .
^ «3 проблемы выявления скрытых угроз» . Пало-Альто Сети .
^ «Возрождение браузеров: изменение ландшафта корпоративных браузеров» – через www.youtube.com.
^ «ТЕПЛОВЫЕ Атаки: новый взгляд на методы использования браузеров» . БетаНьюс . 30 марта 2023 г.
^ Барт, Брэдли (27 сентября 2022 г.). «Тепловые атаки на основе браузера ставят в затруднительное положение директоров по информационной безопасности» . СК Медиа .
^ https://ten-inc.com/presentations/Menlo-Threat-Landscape-HEATs-Up-with-Highly-Evasive-Adaptive-Threats.pdf
^ «Использование адаптивного анализа угроз для обнаружения скрытых вредоносных программ» . info.opswat.com .
^ «Четыре метода уклонения от высокоуклончивых адаптивных угроз» .
^ Рамасвами, Андреа Кайзер, Шьям Сундар (1 апреля 2020 г.). «Навигация по кибербезопасности во время пандемии: новейшие вредоносные программы и субъекты угроз» . Зонт Циско . {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
^ Субраманиан, Кришнан (18 августа 2020 г.). «Новое предупреждение о контрабандной атаке в формате HTML: Дури» . Менло Секьюрити .
^ https://www.malware-traffic-anaанализ.net/2020/04/08/index.html/
^ Разведка, угроза Microsoft (11 ноября 2021 г.). «Всплеск контрабанды HTML: очень уклончивая техника загрузки, все чаще используемая в банковских вредоносных программах и целевых атаках» . Блог Microsoft по безопасности .

[1] Служба безопасности, Менло (2 февраля 2022 г.). «Слишком горячо, чтобы с ним справиться: почему современная работа привела к ТЕПЛОВЫМ атакам» . Менло Секьюрити .

[2] «3 проблемы выявления скрытых угроз» . Пало-Альто Сети .

[3] «Возрождение браузеров: изменение ландшафта корпоративных браузеров» – через www.youtube.com.

[4] «ТЕПЛОВЫЕ Атаки: новый взгляд на методы использования браузеров» . БетаНьюс . 30 марта 2023 г.

[5] Барт, Брэдли (27 сентября 2022 г.). «Тепловые атаки на основе браузера ставят в затруднительное положение директоров по информационной безопасности» . СК Медиа .

[6] ttps://ten-inc.com/presentations/Menlo-Threat-Landscape-HEATs-Up-with-Highly-Evasive-Adaptive-Threats.pdf

[7] «Использование адаптивного анализа угроз для обнаружения скрытых вредоносных программ» . info.opswat.com .

[8] «Четыре метода уклонения от высокоуклончивых адаптивных угроз» .

[9] Рамасвами, Андреа Кайзер, Шьям Сундар (1 апреля 2020 г.). «Навигация по кибербезопасности во время пандемии: новейшие вредоносные программы и субъекты угроз» . Зонт Циско . {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )

[10] Субраманиан, Кришнан (18 августа 2020 г.). «Новое предупреждение о контрабандной атаке в формате HTML: Дури» . Менло Секьюрити .

[11] ttps://www.malware-traffic-anaанализ.net/2020/04/08/index.html/

[12] Разведка, угроза Microsoft (11 ноября 2021 г.). «Всплеск контрабанды HTML: очень уклончивая техника загрузки, все чаще используемая в банковских вредоносных программах и целевых атаках» . Блог Microsoft по безопасности .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]