调研 | 90%+的恶意软件隐藏在加密流量

上一季度威胁趋势的分析结果表明，攻击者增加了无文件恶意软件的使用，而所有检出恶意软件中近三分之二是零日恶意软件。

企业如果尚未实现控制措施检测藏身于加密网络流量中的恶意软件，就会面临环境中广泛分布大量恶意工具，自身端点设备可能遭受攻击的风险。

WatchGuard Technologies采用从客户网络收集到的匿名数据分析研究了威胁活动。结果表明，2021年第二季度检出的恶意软件中，91.5%都涉及通过加密HTTPS连接投送。WatchGuard表示，目前只有20%的企业设置有解密和扫描HTTPS流量以发现恶意软件的检测机制，意味着其余80%的企业有可能漏掉九成日常攻击其网络的恶意软件。

WatchGuard首席安全官Corey Nachreiner表示，大部分企业没有启用基于网络的HTTPS解密控制措施的一个原因，在于他们认为这一设置十分复杂，而某种程度上讲，解密和扫描HTTPS流量也确实很复杂。

“既想发挥中间人解密的功效，又想不破坏保护流量的HTTPS证书的神圣性，就必须设置中间证书或根CA证书，这是官方证书验证过程的一部分。”

有很多种方法可以做到这一点，其中一些比较棘手，而另一些则没有那么复杂。

Nachreiner称：“简而言之，第一次这么做确实需要付出一些努力，还要创建例外规则好让机制能够运行良好，这就是为什么有些公司不愿意花费这些时间精力的原因。但我们坚信这样做是值得的，否则你的网络安全会漏掉很多风险。”

本周发布的WatchGuard报告强调了企业在恶意软件方面令人不安的趋势，其中就提到了加密恶意软件这一数据点。

例如，WatchGuard的分析显示，仅今年前六个月，基于脚本的攻击(无文件攻击)数量就已达到2020年全年总数的80%。上一季度的数据表明，相较于2020 ，今年无文件恶意软件的数量有可能翻一番。

类似加密恶意软件，无文件攻击(例如涉及使用JavaScript、PowerShell和Visual Basic的攻击)是另一种不易被某些杀毒软件(AV)工具检测到的威胁。

Nachreiner指出：“虽然情况并非总是如此，但其中许多脚本都可以设计为利用本地合法工具的攻击，这意味着端点上永远不会落下任何恶意文件。攻击者继续使用脚本和盗自受害者的权限或通过提权攻击，来推进他们的恶意活动。”

因此，以文件为中心的恶意软件检测工具可能会漏掉这些攻击。

零日恶意软件和其他趋势

零日恶意软件检出数量比上一季度下降了9%，但仍占第二季度所有恶意软件样本的64%，形势不容乐观。该数据是基于特征码的杀毒软件工具不足以应付当前威胁情况的又一明证。

Nachreiner表示：“攻击者可以自动重新打包恶意软件，这意味着投放到各个受害者系统上的同一恶意软件可能披着不一样的外衣。”

企业越来越需要机器学习模型或行为分析这样的检测技术，从而能够主动检测貌似新型的恶意软件，而不必等待杀软供应商发布恶意软件特征码。

在宏观层面，企业边界处检出的恶意软件下降了近4%，但网络攻击数量远超上一季度，激增至三年来的新高。上季度网络攻击总数达到520万次，比第一季度增长22.3%。这些数字突显了其他供应商注意到的一种趋势，即在新冠肺炎疫情迫使人们转向更分散的工作环境之后，攻击者的关注重点发生了变化。

Nachreiner说：“我们认为，这种情况就是疫情造成的，疫情期间很多知识型员工都转为在家工作了。”由于恶意软件往往针对用户接收电子邮件或浏览网页的任何地方，因此攻击者已将重点转向远程员工。

“既然员工现在都在家里办公了，恶意软件也就转战公司网络边界之外了。这就是为什么我们在边界处没有看到那么多恶意软件的原因。”。Nachreiner警告称，这并不一定意味着恶意软件的总量已经下降。这一数据仅表明端点安全产品而不是外围网络控制措施检出了大部分恶意软件。

与此同时，网络攻击者继续攻击仍部署在办公室或云端的服务器和服务。几位安全研究人员注意到，由于更多的员工(包括信息安全人员)在家办公，这些服务器和服务的防护程度大多有所降低。

鸿蒙官方战略合作共建――HarmonyOS技术社区