2018年上半年無檔案/PowerShell惡意活動飆升至新高度

前言

2018年上半年，勒索軟體的傳播態勢依然十分嚴峻，同時無檔案和PowerShell的攻擊數量激增，已成為今年要重點關注的領域。

近日，終端安全公司SentinelOne釋出了“2018年上半年企業風險指數報告”，報告顯示：2018年1月至6月期間，無檔案攻擊次數增加了94％；PowerShell攻擊從2018年5月的每1000個終端遭受2.5次攻擊飆升到6月的每1000個終端遭受5.2次攻擊；勒索軟體傳播態勢依然十分嚴峻且上升速率很快，每1000個終端遭受攻擊的數量從1月的5.6極速上升至6月的14.4。

無檔案惡意軟體初探

SentinelOne的產品管理總監和該報告的負責人Aviram Shmueli表示，無檔案和PowerShell攻擊的激增在意料之中，這兩種攻擊方式對於想隱藏於系統之中，進行長期惡意活動和竊取資料的攻擊者而言特別有吸引力。

顧名思義，無檔案惡意軟體會在感染目標計算機時，不會在本地硬碟驅動器上留下任何工件，從而輕鬆規避傳統的基於簽名和檔案檢測的安全軟體。最為典型的無檔案攻擊方式利用瀏覽器和相關程式（Java、Flash或PDF閱讀器）中的漏洞，或通過誘使用者點選附件而實現網路釣魚攻擊。

在無檔案惡意軟體攻擊情形中，惡意程式碼在計算機的記憶體中執行，並呼叫Windows系統上已有的程式，如PowerShell和Windows Management Instrumentation（WMI），不會再目標系統上增加或刪除任何檔案。

攻擊者使用Windows工具（如PowerShell）來保持對目標系統的長期控制，因為無檔案惡意軟體需要在目標系統的記憶體中執行程式碼。每次重新啟動終端時，攻擊過程都會中斷。為了解決這個限制，攻擊者會先遍歷一遍系統上的應用程式，使用PowerShell在後臺開啟一個應用程式，如記事本或計算器，通過其佔用的記憶體執行。另一種確保長期控制的方法是載入PowerShell指令碼，該指令碼指示目標計算機在每次啟動PC時重新載入惡意程式碼並執行。

舉一些比較典型的例子：

卡巴斯基實驗室在7月的部落格文章中詳細介紹了PowerGhost無檔案挖礦軟體。PowerGhost是一個經過混淆的PowerShell指令碼。首先，它通過各種方式被植入目標系統的記憶體彙總，並使用WMI工具和Mimikatz資料提取工具來提升許可權並設定挖礦操作。

最近，研究人員又發現了CactusTorch無檔案惡意軟體，它通過記憶體直接執行和載入惡意.NET檔案。

類似的惡意活動極速增加

SentinelOne的這份報告並不是唯一指出無檔案/PowerShell惡意活動大幅上升的聲音。今年早些時候，邁克菲釋出的研究查詢查詢結果顯示，僅在2017年第四季度與一年前同期相比，無檔案惡意軟體藉助PowerShell進行傳播和執行的情況出現了267％的飆升。

Aviram表示：“由於PowerShell中已經安裝在Windows作業系統上，無需安裝任何其他東西即可進行惡意活動。在可預見的未來，黑客肯定會更加頻繁地使用這種方式。同時攻擊的方式將越來越複雜，並轉向更高階形式的網路犯罪。此外，安全軟體對這種攻擊方式的防禦很不完善，需要大家重點關注。”

*參考來源：DARKReading，Freddy編譯整理，轉載請註明來自 FreeBuf.COM。

看雪推薦閱讀：

1、[原創]關於android 微信 frida 使用技巧

2、[原創]Hook原理

3、[翻譯]一次紅隊之旅

4、[原創]逆向及修復最新iOS版少數派客戶端的閃退 bug

5、[原創]逆向分析及修復稀土掘金iOS版客戶端閃退 bug