隱秘的攻擊形式:無檔案攻擊型別分析
“我還有機會嗎?”今年初夏大火的電視劇《隱秘的角落》中,這樣一句看似平常的話,背後卻暗藏殺機,劇中的一切看似人畜無害,實則毀天滅地。這樣的現象同樣存在於網路世界中,比如無檔案攻擊,近年來無檔案攻擊幾乎成為攻擊者的標配,攻擊者變得更聰明、更有耐心、更狡猾,他們悄無聲息的滲透到主機記憶體,然後待在那裡等待數天甚至數月,期間沒有任何心跳資訊可供傳統安全產品檢測,他們會在某一刻突然給攻擊目標緻命一擊。
“無檔案攻擊”不代表沒有檔案,而是指惡意程式檔案不直接落地到目標系統的磁碟空間上的一種攻擊手法,它們可以逃避傳統的安全檢測機制。無檔案攻擊已經成為了一種趨勢,“離地/隱形/無檔案”已經成為了熱門的關鍵詞。
隱秘的攻擊手法:無檔案攻擊的三種型別
無檔案攻擊到底是如何侵入系統的呢?根據無檔案攻擊的攻擊入口點,無檔案攻擊的種類可分為:完全無檔案攻擊、間接利用檔案、僅操作需要的檔案這三種型別。
型別一:完全無檔案攻擊
完全無檔案的攻擊可以被視為不需要在磁碟上寫入檔案的惡意軟體。那麼,此類惡意軟體如何感染計算機?
第一種情況是沒有藉助外部裝置的完全無檔案攻擊。例如,目標計算機接收利用EternalBlue漏洞的惡意網路資料包,導致DoublePulsar後門的安裝,該後門最終僅駐留在核心記憶體中。在這種情況下,沒有檔案或任何資料寫入檔案。
另一種情況是利用裝置來感染系統,其中惡意程式碼可能隱藏在裝置韌體(例如BIOS),USB外設(例如BadUSB攻擊)甚至網路卡韌體中。所有這些示例都不需要磁碟上的檔案即可執行,並且理論上只能駐留在記憶體中,即使重新啟動,重新格式化磁碟和重新安裝OS也能倖免。
型別二:利用間接檔案
惡意軟體還有其他方法可以在機器上實現無檔案存在,並且無需進行大量的工程工作。這種型別的無檔案惡意軟體不會直接在檔案系統上寫入檔案,但最終可能會間接使用檔案。Poshspy後門就是這種情況。
攻擊者在WMI儲存空間中放置了惡意的PowerShell命令,WMI儲存庫儲存在物理檔案上,該物理檔案是CIM物件管理器管理的中央儲存區域,通常包含合法資料。因此,儘管感染鏈從技術上確實使用了物理檔案,但出於實際目的,考慮到WMI儲存庫無法簡單地檢測和刪除的多用途資料容器,另外並配置了WMI篩選器以定期執行該命令。透過這種無檔案後門技術,攻擊者可以構造一個非常獨立的後門,並與他們之前的普通後門結合使用,確保在普通後門失效後還能實現對目標的永續性滲透。
型別三:僅操作需要的檔案
一些惡意軟體可以具有某種無檔案的永續性,但並非不使用檔案進行操作。這種情況的一個示例是Kovter,Kovter最常見的感染方法之一是來自基於宏的惡意垃圾郵件的附件。一旦單擊了惡意附件(通常是受損的Microsoft Office檔案),惡意軟體就會在通常位於%Application Data%或%AppDataLocal%的隨機命名的資料夾中安裝快捷方式檔案,批處理檔案和帶有隨機副檔名的隨機檔案。基於隨機副檔名的登錄檔項也安裝在“HKEY_CLASSES_ROOT”中,以指導隨機檔案的執行以讀取登錄檔項。這些元件用於執行惡意軟體的外殼生成技術。這是該攻擊的第一階段。
在第二個階段中,將為隨機檔案建立登錄檔項,其中包含執行KOVTER程式的惡意指令碼。這意味著當受感染的計算機重新啟動或觸發快捷方式檔案或批處理檔案時,登錄檔項中的惡意指令碼就會載入到記憶體中。惡意指令碼包含外殼程式程式碼,惡意軟體將其注入到PowerShell程式中。隨後,外殼程式程式碼將解密位於同一登錄檔項中的二進位制登錄檔項被注入到一個建立的程式中(通常為regsvr32.exe),生成的regsvr32.exe將嘗試連線各種URL,這是其點選欺詐活動的一部分。
防護無檔案攻擊:你還有機會嗎?
無檔案攻擊的實現得益於某些應用程式和作業系統所特有的性質,它利用了反惡意軟體工具在檢測和防禦方面的缺陷,攻擊者常利用漏洞來入侵目標伺服器,攻擊者利用這種技術實施攻擊時,也經常會利用一些合法程式來繞過系統中的安全防護措施,比如瀏覽器、office軟體、powershell.exe、cscript.exe等,濫用Microsoft Windows中內建的眾多實用程式,惡意檔案可以攜帶執行惡意程式碼的漏洞,不會在目標主機的磁碟上寫入任何的惡意檔案。無檔案攻擊在成功潛入記憶體並安定下來後,便可以為所欲為,或進行挖礦、加密檔案進行勒索、C&C攻擊等,一切都看似合法無害。
當前有效的解決方案就是依賴於核心級的監控,捕獲每個目標程式的動態行為。安芯網盾所提供的實時防護無檔案攻擊解決方案,記憶體安全產品所採用的記憶體保護技術,記憶體保護技術完全獨立於作業系統,能高效抵禦漏洞相關的已知和未知記憶體篡改手法。由於其與作業系統完全隔離,也就完全不受客戶機內部威脅的侵擾。利用裸機監管程式,記憶體自省技術可為虛擬基礎設施提供額外的安全層,防止駭客利用零日漏洞或未修復漏洞進行的攻擊。
參考資料:
[1]https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats
[2]https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/kovter-an-evolving-malware-gone-fileless
相關文章
- Novter無檔案攻擊分析報告
- SQL隱碼攻擊讀寫檔案SQL
- 反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-SQL隱碼攻擊技術-資料型別轉換SQL資料型別
- 利聯科技:無錫BGP伺服器受到的DNS汙染攻擊和其他型別攻擊的分析伺服器DNS型別
- SQL隱碼攻擊式攻擊掃描器SQL
- SQL隱碼攻擊關聯分析SQL
- DDOS攻擊常見的型別型別
- SQL隱碼攻擊SQL
- 用友NCCloud FS檔案管理SQL隱碼攻擊CloudSQL
- 攻擊JavaWeb應用[3]-SQL隱碼攻擊[1]JavaWebSQL
- 攻擊JavaWeb應用[4]-SQL隱碼攻擊[2]JavaWebSQL
- 什麼是CC攻擊?CC攻擊型別【網路安全教程】型別
- CC攻擊和DD攻擊的區別在哪裡
- 六個建議防止SQL隱碼攻擊式攻擊SQL
- 常見的網路攻擊型別型別
- SQL隱碼攻擊的例子SQL
- MySQL隱碼攻擊技巧MySql
- MYSQL SQL隱碼攻擊MySql
- 【SQL隱碼攻擊原理】SQL
- 防止SQL隱碼攻擊SQL
- SQL隱碼攻擊(一)SQL
- DDoS攻擊與CC攻擊的區別是什麼?
- WEB三大攻擊之—SQL隱碼攻擊與防護WebSQL
- ASP上兩個防止SQL隱碼攻擊式攻擊FunctionSQLFunction
- 什麼是XSS攻擊?XSS攻擊有哪幾種型別?型別
- SQL隱碼攻擊原理是什麼?如何防範SQL隱碼攻擊?SQL
- 反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-SQL隱碼攻擊技術-語句注入SQL
- 反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-SQL隱碼攻擊技術-語句修改SQL
- 網路安全SQL隱碼攻擊型別分為幾種?SQL型別
- 網路攻擊中主動攻擊和被動攻擊有什麼區別?
- 反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-防衛SQL隱碼攻擊-驗證檢查SQL
- 反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊-防衛SQL隱碼攻擊-繫結變數SQL變數
- 反恐精英之動態SQL和SQL隱碼攻擊-SQL隱碼攻擊SQL
- 駭客攻擊技術之高階SQL隱碼攻擊技術(轉)SQL
- 常見web攻擊型別有哪些?如何預防及防範web攻擊?Web型別
- 挖洞入門_顯錯型SQL隱碼攻擊SQL
- 【網路安全】什麼是SQL隱碼攻擊漏洞?SQL隱碼攻擊的特點!SQL
- SQL隱碼攻擊語句SQL