共计 2757 个字符,预计需要花费 7 分钟才能阅读完成。
攻击者总是在寻找新的办法来回避检测。因为大多数端点平安产品可能较好地解决基于文件的攻打,而对无文件攻打的解决能力较弱。目前在无文件攻打的案例里,基于脚本的样本比例比拟高,基于脚本、防止文件落地的攻击方式成为了攻击者绕过大多数传统平安产品的绝佳办法。
脚本可提供初始拜访权限,实现回避检测并促成感化后的横向挪动。攻击者将间接在计算机上应用脚本,或者将其嵌入到发送给受害者的电子邮件附件如 Office 文档和 PDF 中。本文概述了以后的脚本威逼状况以及最常见的脚本攻打办法。
基于脚本的攻打的衰亡
基于脚本的攻打从 2017 年开始变得越来越风行,Ponemon Institute 公布的 2020 端点平安报告显示:当初基于脚本的攻打已占所有攻打的 40%。值得注意的是,在横向挪动和感化中滥用非法应用程序和诸如 PowerShell 之类的本地工具的景象激增。
许多歹意威逼都在应用脚本。例如,下载 PE 文件的脚本能够将其保留到磁盘中,也能够在内存中运行,这取决于其复杂程度。该脚本还能够执行其余歹意操作,例如收集无关受害者的信息,包含计算机名称甚至保留的明码。
脚本能够是一系列简略的系统命令,也能够是用脚本语言编写的程序。常见的脚本语言有 VBScript,JavaScript 和 PowerShell。与应用程序不同,脚本不须要编译为机器码,而是间接由计算机解释执行。用 Perl 脚本语言的创建者 Larry Wall 的话来说:“脚本是给演员的货色,而程序是给观众的货色。”
攻击者如何利用脚本?
提到基于脚本的攻打,就不得不介绍他们经常利用的工具 PowerShell。PowerShell 是用于命令行治理和脚本语言的配置管理和工作自动化的框架。它提供对 Microsoft Windows Management Instrumentation(WMI)和 Component Object Model(COM)的拜访,利用这一工具,系统管理员能够将 IT 治理流程自动化。而与此同时,它也成为了攻击者在零碎中立足的无效且通用的工具。
在许多状况下,PowerShell 容许攻击者侵入受害者的零碎,因为应用 PowerShell 可使攻击者取得他们须要的权限,在零碎中执行横向挪动,以及与其余 Windows 应用程序进行交互。
攻击者在攻打中应用 PowerShell 将恶意代码间接加载到内存中,而无需写入磁盘,从而绕过了许多端点平安产品。攻击者还能够应用 PowerShell 通过 Metasploit 或 PowerSploit 等框架主动执行数据窃取和感化。
与其余类型的攻打一样,在基于脚本的攻打中,攻击者通常应用网络钓鱼攻打来入侵受害者的主机,这种网络钓鱼攻打蕴含一个 dropper,例如 PDF,RTF,Office 文件或存档。在大多数状况下,这个 dropper 将运行一个脚本,该脚本能够是 VBA 宏,也能够是其余类型的脚本,例如 PowerShell,JavaScript 或 HTA。
在某些状况下,这些脚本充当下载程序,要么将 PE 文件下载到磁盘之后删除,要么将 PE 文件注入到另一个过程,要么下载另一个脚本来执行下一阶段的攻打。极少数状况下,脚本蕴含整个歹意逻辑。另外,攻击者能够利用相似 Adobe Acrobat 等的文档阅读器中的破绽来进行下一阶段的攻打。无论是基于脚本的恶意软件,还是基于文件的恶意软件攻打(包含驰名的勒索软件和金融恶意软件流动),都在宽泛应用 droppers。
一组攻打样本显示,有 75%的无文件流动应用脚本,其中大多数是 PowerShell,HTA,JavaScript,VBA 中的一个或多个。
例如,总部位于伊朗的 OilRig 组织应用的 Helminth Trojan 应用脚本编写恶意代码。他们在攻打过程中,利用了 Microsoft Word 文档文件中编号为 CVE-2017-0199 的破绽。该脚本由 Windows 过程执行。这一脚本会运行 HTML 可执行文件 mshta.exe。一旦执行,脚本将启动攻打,就会将 Helminth Trojan 以 PowerShell 和 VBS 脚本的模式下载到本地并执行。
脚本的应用为攻击者带来了哪些益处?
1、脚本易于编写和执行,难以了解且极其多态。此外,攻击者能够利用多种类型的脚本文件来进行攻打,其中最受欢迎的是 PowerShell,JavaScript,HTA,VBA,VBS 和批处理脚本。
2、因为基于脚本的无文件攻打产生在内存中,因而传统的动态文件检测变得有效。另外,脚本使预先溯源剖析变得复杂,因为许多与攻打无关的歹意脚本仅存在于计算机的内存中,并且可能通过重启零碎而被笼罩或删除。
3、基于脚本的攻打简直能够在所有 Windows 零碎上运行,从而减少了潜在的攻击面和感化机会。
基于脚本的攻打的一个次要毛病是,除非通过破绽利用进行部署,否则运行脚本必须进行用户交互。例如,在大多数状况下,脚本要么作为脚本文件蕴含在须要用户操作的电子邮件中,要么作为 VBA 宏蕴含在要求用户启用宏的文档中。
其余基于脚本的威逼
HTML 应用程序(HTA)是一个 Microsoft Windows 文件,用于在 Internet Explorer 上运行,该文件将 HTML 代码与 Internet Explorer 反对的脚本(例如 VBScript 或 JScript)联合在一起。HTA 文件通过 Microsoft HTA 引擎 mshta.exe 执行,该引擎具备本地用户的特权而不是 Internet Explorer 的受限特权,并且能够拜访文件系统和注册表。
歹意的 HTA 文件容许脚本应用本地用户特权运行计算机,从而实现下载和运行可执行文件或其余脚本。只管这被认为是一种旧的攻打伎俩,但许多基于脚本的攻打仍在持续应用 HTA 文件,因为这些文件能够作为附件发送,由其余脚本下载或从歹意网站重定向。
VBScript 是 Microsoft Visual Basic 的脚本版,它是一种基于 VBA(Visual Basic for Applications)的 Microsoft 脚本语言。VBS 代替了 VBA 提供的残缺利用程序开发,提供了更间接的用法,实现系统管理员的工作自动化。与用于相似用处的 PowerShell 十分相似,VBScript 经常出现在基于脚本的攻打中。
如何进攻基于脚本的攻打?
基于脚本的攻打很多没有落地到磁盘,属于无文件攻打。通过应用启发式剖析和行为剖析(the use of heuristics and behavioral analysis),从而进行内存检测和相干行为的收集剖析,能够达到检测、进攻脚本攻打的目标。咱们之前也写过如何防护无文件攻打的文章,感兴趣的同学欢送来学习~
相干浏览:
揭秘安芯神甲智能内存保护零碎为何能轻松防护无文件攻打
参考链接:
https://www.helpnetsecurity.c…