关注 | 一种可高度规避检测的新威胁：HEAT

研究人员日前发现，HEAT（Highly Evasive Adaptive Threat）是一种具备高度规避性的自适应新威胁，它使用多种技术，专门规避当前安全架构中多层机制的检测。

在疫情防控常态化趋势下，越来越多的企业开启远程办公模式，企业“上云”成为驱动流程创新和业务创新的主流方式。为了对远程模式的员工下手，网络犯罪分子经常通过网络钓鱼或鱼叉式网络钓鱼电子邮件发送恶意链接。虽然这种简单的攻击策略很有效，但攻击者一直在改变攻击方法，并寻找新的攻击途径，企图保持领先一步实施攻击。

可规避现有检测技术的新威胁

高度规避性自适应威胁HEAT使用多种技术，专门规避当前安全架构中多层机制的检测，这种威胁投递恶意软件或窃取登录信息，为盗窃数据、隐形监控、接管账户和植入勒索软件有效载荷创造条件。

HEAT攻击者利用以下四种规避技术绕过传统网络安全防御。

•规避静态内容检查和动态内容检查：HEAT攻击规避特征和行为分析引擎，使用HTML走私（HTML smuggling）之类的新颖技术，向受害者投递恶意有效载荷。

•规避恶意链接分析：在电子邮件路径中，企业常常可以在恶意链接抵达用户之前分析链接，然而，HEAT威胁规避了历来在电子邮件路径中实施的恶意链接分析引擎。

•规避离线分类和威胁检测：HEAT攻击闯入良性网站，或不遗余力地创建新网站（名为“Good2Bad”网站），并从这些网站投递恶意软件，从而绕过Web分类机制。研究人员发现，从2020年到2021年，Good2Bad网站的数量增加了137%以上。

•规避HTTP流量检查：在HEAT攻击中，包括浏览器漏洞、加密货币代码、网络钓鱼工具包代码和冒充知名品牌徽标的图像等在内的恶意内容，由浏览器中的JavaScript通过渲染引擎生成，在这种情况下，检测技术显得毫无用处。

如何应对HEAT威胁

HEAT攻击现被包括Nobelium（SolarWinds攻击背后的团伙）在内的知名威胁团伙所利用，且呈愈演愈烈之势。事实上，Menlo Labs研究团队观察到，仅在2021年下半年，HEAT攻击就猛增了224%。鉴于最终用户会有75%的工作时间花在浏览器上，这种高度规避性攻击的数量和复杂度会随之飙升，企业有必要对这种攻击做好针对性防御。

全球数百万企业和个人依靠浏览器来执行大部分工作和私人事务，随着远程办公的蔚然成风，加上威胁技术的迅猛发展，这种攻击已成为当今企业面临的最大威胁之一。此外，由于HEAT攻击隐藏在合法使用的背后，包括安全Web网关、沙盒、URL信誉和过滤在内的传统安全功能对这种类型的攻击毫无作用。仅仅阻止它们行不通。相反，企业必须能够防范这些技术的恶意使用，才能有效地保护自身。

企业不仅需要与时俱进，实施针对复杂威胁的安全策略和功能，还要改变观念，才能保护企业免受未来黑客的攻击。为了保护网络，安全领导者和业务领导者须改变注重检测和补救的观念，转而采取一种基于零信任架构的预防性安全方法，并采用安全访问服务边缘（SASE）框架，以保护远程混合员工队伍。只有在靠近最终用户、应用程序和数据的地方采取安全措施，才能取得良好的效果。

威胁在不断变化，黑客也变得越来越高明，所有企业成为受害者的风险比以往更大。有一点可以肯定：安全领导者必须保持灵活，确保安全架构与时俱进以防止攻击发生，并且落实具体的计划，以防不时之需。只有防止网络犯罪分子接近其觊觎的网络、应用程序和设备，企业才能确保资源不受感染，从而让安全运营团队更专注于其他可能影响更大的威胁。