歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

無文件形式的惡意軟件:了解非惡意軟件攻擊(一)

來源:本站整理 作者:佚名 時間:2019-10-06 TAG: 我要投稿


與基于文件的攻擊不同,無文件惡意軟件不會利用傳統的可執行文件。無文件攻擊濫用了操作系統內置的工具來進行攻擊。從本質上講,Windows是反對自己的。
沒有可執行文件,殺毒軟件就無法檢測到簽名,這就是無文件攻擊如此危險的原因,因為它們能夠輕松逃避防病毒產品。
利用MITRE ATT&CK框架防御這些攻擊,MITRE ATT&CK是一款可以加速檢測與響應的最新工具(對手戰術及技術的公共知識庫),引起了業界廣泛注意。MITRE ATT&CK深入研究對手行為,安全分析師可利用該信息在網絡攻防戰中占據有利地位,可以通過五個步驟使用ATT&CK創建閉環安全過程。
無文件攻擊使用一種稱為“陸地生存(living-off-the-land)”的技術。陸地生存是指攻擊者將合法工具用于惡意目的,并且已經存在至少25年了。被濫用的合法工具被稱為LOLBins,這個概念最初在2013年DerbyCon黑客大會由Christopher Campbell和Matt Graeber進行創造,最終Philip Goh提出了LOLBins這個概念。隨后進行廣泛的互聯網民意調查,并在達成普遍共識(69%)之后,該名稱被正式指定。
什么程序才能稱之為LOLBins?目前LOLBins常見的利用工具的包括Microsoft Office Macros,PowerShell,WMI和許多其他系統工具。
非惡意軟件如何工作?
無文件惡意軟件利用在操作系統上運行的受信任的合法進程(LOLBins)來執行惡意活動,例如橫向移動,特權提升,逃避,偵察和有效載荷的傳遞。
在我們的研究中,僅在2019年,我們就發現并預防或檢測了許多無文件攻擊案例。我們已經看到攻擊者在其攻擊中使用了一系列默認的Windows進程,包括:
1.PowerShell,具有Cobalt Kitty行動,Ramnit Banking木馬,Emotet,TrickBot和Ryuk的三重威脅以及Fallout Exploit Kit等攻擊。
2.Windows Management Instrumentation(WMI),具有像Operation Soft Cell,Shade Exploit Kit,Adobe Worm Faker和 GandCrabs Evasive攻擊之類的攻擊。
3..NET,帶有類似新Ursnif變體的攻擊;
4.惡意宏,帶有類似新Ursnif變體的攻擊;
以上只是部分用于無文件攻擊的進程的詳盡列表,但是,這些是我們本文要重點介紹的LOLBins,因為我們可以有效地,比其他任何人更好地防止這些無文件攻擊。
在攻擊中使用非文件惡意軟件的原因
1.隱形攻擊:無文件惡意軟件使用合法工具,這意味著幾乎不可能將無文件攻擊中使用的工具列入黑名單。
2.超前的生存能力:默認情況下,會安裝用于無文件惡意軟件的合法工具,攻擊者無需創建或安裝任何自定義工具即可使用它們。
3.受信任和經常被使用:這些工具是經常使用和信任的,出于合法目的,在企業環境中運行無文件惡意軟件中使用的工具并不罕見。
非文件惡意軟件的惡意利用
有100多種Windows系統工具可以作為LOLBins加以利用和濫用。
PowerShell
PowerShell是Microsoft創建的跨平臺,開源任務自動化和配置管理框架,基于.NET的PowerShell框架由命令行外殼和腳本語言組成。 PowerShell可以完全訪問許多Windows系統功能,包括WMI和組件對象模型(COM)對象,以及Microsoft Exchange服務器和其他服務器的管理功能。此外,它能夠直接從內存中執行有效載荷,這使攻擊者可以利用有效載荷來處理無文件惡意軟件。
什么是POWERSHELL合法使用?
PowerShell旨在用作自動化工具。對于管理員來說,自動執行繁瑣且重復的任務是一種節省的選擇。PowerShell功能強大,你可以使用PowerShell在網絡上的所有計算機上顯示所有已安裝的USB設備。你可以使用它來設置在后臺運行的任務,也可以使用它殺死進程或導出有關計算機的信息,這就是使PowerShell對IT管理員如此重要的原因,他們可以自動完成許多需要專注于其他任務的任務。由于IT管理員每天都需要黑名單,因此這些進程幾乎不可能進行黑名單。
為什么要使用POWERSHELL進行無文件攻擊?
PowerShell使攻擊者可以快速訪問操作系統的系統功能,并且被公認為合法,可信的工具。
攻擊者使用PowerShell進行無文件攻擊的原因很多,包括:
1.默認安裝:在Windows上默認安裝PowerShell;
2.受信任和頻繁使用:系統管理員頻繁使用和信任PowerShell,這在企業環境中運行PowerShell進程并不罕見。
3.易于混淆:PowerShell腳本易于混淆,使用老版安全工具可能難以檢測。
4.提供遠程訪問:PowerShell默認情況下具有遠程訪問功能,因此攻擊者可以遠程使用它。
可以考慮一下,使用現有的工具(如PowerShell)使攻擊者更容易使用它內置的功能,不僅可以與攻擊者進行外部通信,還可以直接對操作系統進行多種更改,這是使用PowerShell進行攻擊的未來潛力。
POWERSHELL怎樣發起攻擊?
1.Operation Cobalt Kitty:Operation Cobalt Kitty這是安全公司Cybereason 報道的一系列攻擊活動,這些活動集中在亞洲地區,目標在于攻陷商業公司獲取其核心資料。這一系列攻擊具有相似的手法和技術特征,Cybereason在2017年5月將其命名為 Cobalt Kitty,公布了相關的分析結果。這些攻擊正是使用了基于無文件的PowerShell的基礎架構以及自定義PowerShell載荷作為操作的一部分,并最終竊取了專有業務信息。
2.Ramnit銀行木馬:Ramnit初始形態為蠕蟲病毒,通過自繁殖策略得到迅速傳播,感染計算機的exe、dll、html、htm、vbs文件,新變種通過捆綁在未知來源的軟件或植入到受害網站的工具包中進行傳播,受感染機器組成僵尸網絡,對網絡上的目標發起DDoS

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.nkppsz.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        秒速时时彩骗局