“我还有机会吗?”往年初夏大火的电视剧《隐秘的角落》中,这样一句看似平时的话,背地却暗藏杀机,剧中的所有看似人畜有害,实则毁天灭地。这样的景象同样存在于网络世界中,比方无文件攻打,近年来无文件攻打简直成为攻击者的标配,攻击者变得更聪慧、更有急躁、更刁滑,他们悄无声息的渗透到主机内存,而后待在那里期待数天甚至数月,期间没有任何心跳信息可供传统平安产品检测,他们会在某一刻忽然给攻打指标致命一击。
“无文件攻打”不代表没有文件,而是指恶意程序文件不间接落地到指标零碎的磁盘空间上的一种攻打手法,它们能够回避传统的平安检测机制。无文件攻打曾经成为了一种趋势,“离地 / 隐形 / 无文件”曾经成为了热门的关键词。
隐秘的攻打手法:无文件攻打的三种类型
无文件攻打到底是如何侵入零碎的呢?依据无文件攻打的攻打入口点,无文件攻打的品种可分为:齐全无文件攻打、间接利用文件、仅操作须要的文件这三种类型。
类型一:齐全无文件攻打
齐全无文件的攻打能够被视为不须要在磁盘上写入文件的恶意软件。那么,此类恶意软件如何感化计算机?
第一种状况是没有借助外部设备的齐全无文件攻打。例如,指标计算机接管利用 EternalBlue 破绽的歹意网络数据包,导致 DoublePulsar 后门的装置,该后门最终仅驻留在内核内存中。在这种状况下,没有文件或任何数据写入文件。
另一种状况是利用设备来感化零碎,其中恶意代码可能暗藏在设施固件(例如 BIOS),USB 外设(例如 BadUSB 攻打)甚至网卡固件中。所有这些示例都不须要磁盘上的文件即可运行,并且实践上只能驻留在内存中,即便重新启动,从新格式化磁盘和重新安装 OS 也能幸存。
类型二:利用间接文件
恶意软件还有其余办法能够在机器上实现无文件存在,并且无需进行大量的工程工作。这种类型的无文件恶意软件不会间接在文件系统上写入文件,但最终可能会间接应用文件。Poshspy 后门就是这种状况。
攻击者在 WMI 存储空间中搁置了歹意的 PowerShell 命令,WMI 存储库存储在物理文件上,该物理文件是 CIM 对象管理器治理的地方存储区域,通常蕴含非法数据。因而,只管感化链从技术上的确应用了物理文件,但出于理论目标,思考到 WMI 存储库无奈简略地检测和删除的多用途数据容器,另外并配置了 WMI 筛选器以定期运行该命令。通过这种无文件后门技术,攻击者能够结构一个十分独立的后门,并与他们之前的一般后门联合应用,确保在一般后门生效后还能实现对指标的持久性浸透。
类型三:仅操作须要的文件
一些恶意软件能够具备某种无文件的持久性,但并非不应用文件进行操作。这种状况的一个示例是 Kovter,Kovter 最常见的感化办法之一是来自基于宏的歹意垃圾邮件的附件。一旦单击了歹意附件(通常是受损的 Microsoft Office 文件),恶意软件就会在通常位于%Application Data%或%AppDataLocal%的随机命名的文件夹中装置快捷方式文件,批处理文件和带有随机文件扩展名的随机文件。基于随机文件扩展名的注册表项也装置在“HKEY_CLASSES_ROOT”中,以领导随机文件的执行以读取注册表项。这些组件用于执行恶意软件的外壳生成技术。这是该攻打的第一阶段。
在第二个阶段中,将为随机文件创建注册表项,其中蕴含执行 KOVTER 过程的歹意脚本。这意味着当受感化的计算机重新启动或触发快捷方式文件或批处理文件时,注册表项中的歹意脚本就会加载到内存中。歹意脚本蕴含外壳程序代码,恶意软件将其注入到 PowerShell 过程中。随后,外壳程序代码将解密位于同一注册表项中的二进制注册表项被注入到一个创立的过程中(通常为 regsvr32.exe),生成的 regsvr32.exe 将尝试连贯各种 URL,这是其点击欺诈流动的一部分。
防护无文件攻打:你还有机会吗?
无文件攻打的实现得益于某些应用程序和操作系统所特有的性质,它利用了反恶意软件工具在检测和进攻方面的缺点,攻击者常利用破绽来入侵指标服务器,攻击者利用这种技术施行攻打时,也常常会利用一些非法程序来绕过零碎中的平安防护措施,比方浏览器、office 软件、powershell.exe、cscript.exe 等,滥用 Microsoft Windows 中内置的泛滥实用程序,歹意文件能够携带执行恶意代码的破绽,不会在指标主机的磁盘上写入任何的歹意文件。无文件攻打在胜利潜入内存并安宁下来后,便能够随心所欲,或进行挖矿、加密文件进行勒索、C&C 攻打等,所有都看似非法有害。
以后无效的解决方案就是依赖于内核级的监控,捕捉每个目标程序的动静行为。安芯网盾所提供的实时防护无文件攻打解决方案,内存平安产品所采纳的内存保护技术,内存保护技术齐全独立于操作系统,能高效抵挡破绽相干的已知和未知内存篡改手法。因为其与操作系统齐全隔离,也就齐全不受客户机外部威逼的侵扰。利用裸机监管程序,内存自省技术可为虚构基础设施提供额定的平安层,避免黑客利用零日破绽或未修复破绽进行的攻打。
参考资料:
[1]https://docs.microsoft.com/en…
[2]https://www.trendmicro.com/vi…