攻击者总是在寻找新的办法来回避检测。因为大多数端点平安产品可能较好地解决基于文件的攻打,而对无文件攻打的解决能力较弱。目前在无文件攻打的案例里,基于脚本的样本比例比拟高,基于脚本、防止文件落地的攻击方式成为了攻击者绕过大多数传统平安产品的绝佳办法。
脚本可提供初始拜访权限,实现回避检测并促成感化后的横向挪动。攻击者将间接在计算机上应用脚本,或者将其嵌入到发送给受害者的电子邮件附件如Office文档和PDF中。本文概述了以后的脚本威逼状况以及最常见的脚本攻打办法。
基于脚本的攻打的衰亡
基于脚本的攻打从2017年开始变得越来越风行,Ponemon Institute公布的2020端点平安报告显示:当初基于脚本的攻打已占所有攻打的40%。值得注意的是,在横向挪动和感化中滥用非法应用程序和诸如PowerShell之类的本地工具的景象激增。
许多歹意威逼都在应用脚本。例如,下载PE文件的脚本能够将其保留到磁盘中,也能够在内存中运行,这取决于其复杂程度。该脚本还能够执行其余歹意操作,例如收集无关受害者的信息,包含计算机名称甚至保留的明码。
脚本能够是一系列简略的系统命令,也能够是用脚本语言编写的程序。常见的脚本语言有VBScript,JavaScript和PowerShell。与应用程序不同,脚本不须要编译为机器码,而是间接由计算机解释执行。用Perl脚本语言的创建者Larry Wall的话来说:“脚本是给演员的货色,而程序是给观众的货色。”
攻击者如何利用脚本?
提到基于脚本的攻打,就不得不介绍他们经常利用的工具PowerShell。PowerShell是用于命令行治理和脚本语言的配置管理和工作自动化的框架。它提供对Microsoft Windows Management Instrumentation(WMI)和Component Object Model(COM)的拜访,利用这一工具,系统管理员能够将IT治理流程自动化。而与此同时,它也成为了攻击者在零碎中立足的无效且通用的工具。
在许多状况下,PowerShell容许攻击者侵入受害者的零碎,因为应用PowerShell可使攻击者取得他们须要的权限,在零碎中执行横向挪动,以及与其余Windows应用程序进行交互。
攻击者在攻打中应用PowerShell将恶意代码间接加载到内存中,而无需写入磁盘,从而绕过了许多端点平安产品。攻击者还能够应用PowerShell通过Metasploit或PowerSploit等框架主动执行数据窃取和感化。
与其余类型的攻打一样,在基于脚本的攻打中,攻击者通常应用网络钓鱼攻打来入侵受害者的主机,这种网络钓鱼攻打蕴含一个dropper ,例如PDF,RTF,Office文件或存档。在大多数状况下, 这个dropper 将运行一个脚本,该脚本能够是VBA宏,也能够是其余类型的脚本,例如PowerShell,JavaScript或HTA。
在某些状况下,这些脚本充当下载程序,要么将PE文件下载到磁盘之后删除,要么将PE文件注入到另一个过程,要么下载另一个脚本来执行下一阶段的攻打。极少数状况下,脚本蕴含整个歹意逻辑。另外,攻击者能够利用相似Adobe Acrobat等的文档阅读器中的破绽来进行下一阶段的攻打。无论是基于脚本的恶意软件,还是基于文件的恶意软件攻打(包含驰名的勒索软件和金融恶意软件流动),都在宽泛应用droppers。
一组攻打样本显示,有75%的无文件流动应用脚本,其中大多数是PowerShell,HTA,JavaScript,VBA中的一个或多个。
例如,总部位于伊朗的OilRig组织应用的Helminth Trojan应用脚本编写恶意代码。他们在攻打过程中,利用了Microsoft Word文档文件中编号为CVE-2017-0199的破绽 。该脚本由Windows过程执行。这一脚本会运行HTML可执行文件mshta.exe。一旦执行,脚本将启动攻打,就会将Helminth Trojan以PowerShell和VBS脚本的模式下载到本地并执行。
脚本的应用为攻击者带来了哪些益处?
1、脚本易于编写和执行,难以了解且极其多态。此外,攻击者能够利用多种类型的脚本文件来进行攻打,其中最受欢迎的是PowerShell,JavaScript,HTA,VBA,VBS和批处理脚本。
2、因为基于脚本的无文件攻打产生在内存中,因而传统的动态文件检测变得有效。另外,脚本使预先溯源剖析变得复杂,因为许多与攻打无关的歹意脚本仅存在于计算机的内存中,并且可能通过重启零碎而被笼罩或删除。
3、基于脚本的攻打简直能够在所有Windows零碎上运行,从而减少了潜在的攻击面和感化机会。
基于脚本的攻打的一个次要毛病是,除非通过破绽利用进行部署,否则运行脚本必须进行用户交互。例如,在大多数状况下,脚本要么作为脚本文件蕴含在须要用户操作的电子邮件中,要么作为VBA宏蕴含在要求用户启用宏的文档中。
其余基于脚本的威逼
HTML应用程序(HTA)是一个Microsoft Windows文件,用于在Internet Explorer上运行,该文件将HTML代码与Internet Explorer反对的脚本(例如VBScript或JScript)联合在一起。HTA文件通过Microsoft HTA引擎mshta.exe执行,该引擎具备本地用户的特权而不是Internet Explorer的受限特权,并且能够拜访文件系统和注册表。
歹意的HTA文件容许脚本应用本地用户特权运行计算机,从而实现下载和运行可执行文件或其余脚本。只管这被认为是一种旧的攻打伎俩,但许多基于脚本的攻打仍在持续应用HTA文件,因为这些文件能够作为附件发送,由其余脚本下载或从歹意网站重定向。
VBScript是Microsoft Visual Basic的脚本版,它是一种基于VBA(Visual Basic for Applications)的Microsoft脚本语言。VBS代替了VBA提供的残缺利用程序开发,提供了更间接的用法,实现系统管理员的工作自动化。与用于相似用处的PowerShell十分相似,VBScript经常出现在基于脚本的攻打中。
如何进攻基于脚本的攻打?
基于脚本的攻打很多没有落地到磁盘,属于无文件攻打。通过应用启发式剖析和行为剖析( the use of heuristics and behavioral analysis),从而进行内存检测和相干行为的收集剖析,能够达到检测、进攻脚本攻打的目标。咱们之前也写过如何防护无文件攻打的文章,感兴趣的同学欢送来学习~
相干浏览:
揭秘安芯神甲智能内存保护零碎为何能轻松防护无文件攻打
参考链接:
https://www.helpnetsecurity.c...