前言
2018年上半年,勒索軟體的傳播態勢依然十分嚴峻,同時無檔案和PowerShell的攻擊數量激增,已成為今年要重點關注的領域。
近日,終端安全公司SentinelOne釋出了“2018年上半年企業風險指數報告”,報告顯示:2018年1月至6月期間,無檔案攻擊次數增加了94%;PowerShell攻擊從2018年5月的每1000個終端遭受2.5次攻擊飆升到6月的每1000個終端遭受5.2次攻擊;勒索軟體傳播態勢依然十分嚴峻且上升速率很快,每1000個終端遭受攻擊的數量從1月的5.6極速上升至6月的14.4。
無檔案惡意軟體初探
SentinelOne的產品管理總監和該報告的負責人Aviram Shmueli表示,無檔案和PowerShell攻擊的激增在意料之中,這兩種攻擊方式對於想隱藏於系統之中,進行長期惡意活動和竊取資料的攻擊者而言特別有吸引力。
顧名思義,無檔案惡意軟體會在感染目標計算機時,不會在本地硬碟驅動器上留下任何工件,從而輕鬆規避傳統的基於簽名和檔案檢測的安全軟體。最為典型的無檔案攻擊方式利用瀏覽器和相關程式(Java、Flash或PDF閱讀器)中的漏洞,或通過誘使用者點選附件而實現網路釣魚攻擊。
在無檔案惡意軟體攻擊情形中,惡意程式碼在計算機的記憶體中執行,並呼叫Windows系統上已有的程式,如PowerShell和Windows Management Instrumentation(WMI),不會再目標系統上增加或刪除任何檔案。
攻擊者使用Windows工具(如PowerShell)來保持對目標系統的長期控制,因為無檔案惡意軟體需要在目標系統的記憶體中執行程式碼。每次重新啟動終端時,攻擊過程都會中斷。為了解決這個限制,攻擊者會先遍歷一遍系統上的應用程式,使用PowerShell在後臺開啟一個應用程式,如記事本或計算器,通過其佔用的記憶體執行。另一種確保長期控制的方法是載入PowerShell指令碼,該指令碼指示目標計算機在每次啟動PC時重新載入惡意程式碼並執行。
舉一些比較典型的例子:
卡巴斯基實驗室在7月的部落格文章中詳細介紹了PowerGhost無檔案挖礦軟體。PowerGhost是一個經過混淆的PowerShell指令碼。首先,它通過各種方式被植入目標系統的記憶體彙總,並使用WMI工具和Mimikatz資料提取工具來提升許可權並設定挖礦操作。
最近,研究人員又發現了CactusTorch無檔案惡意軟體,它通過記憶體直接執行和載入惡意.NET檔案。
類似的惡意活動極速增加
SentinelOne的這份報告並不是唯一指出無檔案/PowerShell惡意活動大幅上升的聲音。今年早些時候,邁克菲釋出的研究查詢查詢結果顯示,僅在2017年第四季度與一年前同期相比,無檔案惡意軟體藉助PowerShell進行傳播和執行的情況出現了267%的飆升。
Aviram表示:“由於PowerShell中已經安裝在Windows作業系統上,無需安裝任何其他東西即可進行惡意活動。在可預見的未來,黑客肯定會更加頻繁地使用這種方式。同時攻擊的方式將越來越複雜,並轉向更高階形式的網路犯罪。此外,安全軟體對這種攻擊方式的防禦很不完善,需要大家重點關注。”
*參考來源:DARKReading,Freddy編譯整理,轉載請註明來自 FreeBuf.COM。
看雪推薦閱讀:
1、[原創]關於android 微信 frida 使用技巧
2、[原創]Hook原理
3、[翻譯]一次紅隊之旅
4、[原創]逆向及修復最新iOS版少數派客戶端的閃退 bug
5、[原創]逆向分析及修復稀土掘金iOS版客戶端閃退 bug