隱秘的攻擊形式:無檔案攻擊型別分析

安芯網盾發表於2020-08-03

​“我還有機會嗎?”今年初夏大火的電視劇《隱秘的角落》中,這樣一句看似平常的話,背後卻暗藏殺機,劇中的一切看似人畜無害,實則毀天滅地。這樣的現象同樣存在於網路世界中,比如無檔案攻擊,近年來無檔案攻擊幾乎成為攻擊者的標配,攻擊者變得更聰明、更有耐心、更狡猾,他們悄無聲息的滲透到主機記憶體,然後待在那裡等待數天甚至數月,期間沒有任何心跳資訊可供傳統安全產品檢測,他們會在某一刻突然給攻擊目標緻命一擊。

隱秘的攻擊形式:無檔案攻擊型別分析


“無檔案攻擊”不代表沒有檔案,而是指惡意程式檔案不直接落地到目標系統的磁碟空間上的一種攻擊手法,它們可以逃避傳統的安全檢測機制。無檔案攻擊已經成為了一種趨勢,“離地/隱形/無檔案”已經成為了熱門的關鍵詞。


隱秘的攻擊手法:無檔案攻擊的三種型別

無檔案攻擊到底是如何侵入系統的呢?根據無檔案攻擊的攻擊入口點,無檔案攻擊的種類可分為:完全無檔案攻擊、間接利用檔案、僅操作需要的檔案這三種型別。

隱秘的攻擊形式:無檔案攻擊型別分析


型別一:完全無檔案攻擊

完全無檔案的攻擊可以被視為不需要在磁碟上寫入檔案的惡意軟體。那麼,此類惡意軟體如何感染計算機?

第一種情況是沒有藉助外部裝置的完全無檔案攻擊。例如,目標計算機接收利用EternalBlue漏洞的惡意網路資料包,導致DoublePulsar後門的安裝,該後門最終僅駐留在核心記憶體中。在這種情況下,沒有檔案或任何資料寫入檔案。

另一種情況是利用裝置來感染系統,其中惡意程式碼可能隱藏在裝置韌體(例如BIOS),USB外設(例如BadUSB攻擊)甚至網路卡韌體中。所有這些示例都不需要磁碟上的檔案即可執行,並且理論上只能駐留在記憶體中,即使重新啟動,重新格式化磁碟和重新安裝OS也能倖免。


型別二:利用間接檔案

惡意軟體還有其他方法可以在機器上實現無檔案存在,並且無需進行大量的工程工作。這種型別的無檔案惡意軟體不會直接在檔案系統上寫入檔案,但最終可能會間接使用檔案。Poshspy後門就是這種情況。

攻擊者在WMI儲存空間中放置了惡意的PowerShell命令,WMI儲存庫儲存在物理檔案上,該物理檔案是CIM物件管理器管理的中央儲存區域,通常包含合法資料。因此,儘管感染鏈從技術上確實使用了物理檔案,但出於實際目的,考慮到WMI儲存庫無法簡單地檢測和刪除的多用途資料容器,另外並配置了WMI篩選器以定期執行該命令。透過這種無檔案後門技術,攻擊者可以構造一個非常獨立的後門,並與他們之前的普通後門結合使用,確保在普通後門失效後還能實現對目標的永續性滲透。


型別三:僅操作需要的檔案

一些惡意軟體可以具有某種無檔案的永續性,但並非不使用檔案進行操作。這種情況的一個示例是Kovter,Kovter最常見的感染方法之一是來自基於宏的惡意垃圾郵件的附件。一旦單擊了惡意附件(通常是受損的Microsoft Office檔案),惡意軟體就會在通常位於%Application Data%或%AppDataLocal%的隨機命名的資料夾中安裝快捷方式檔案,批處理檔案和帶有隨機副檔名的隨機檔案。基於隨機副檔名的登錄檔項也安裝在“HKEY_CLASSES_ROOT”中,以指導隨機檔案的執行以讀取登錄檔項。這些元件用於執行惡意軟體的外殼生成技術。這是該攻擊的第一階段。

隱秘的攻擊形式:無檔案攻擊型別分析



在第二個階段中,將為隨機檔案建立登錄檔項,其中包含執行KOVTER程式的惡意指令碼。這意味著當受感染的計算機重新啟動或觸發快捷方式檔案或批處理檔案時,登錄檔項中的惡意指令碼就會載入到記憶體中。惡意指令碼包含外殼程式程式碼,惡意軟體將其注入到PowerShell程式中。隨後,外殼程式程式碼將解密位於同一登錄檔項中的二進位制登錄檔項被注入到一個建立的程式中(通常為regsvr32.exe),生成的regsvr32.exe將嘗試連線各種URL,這是其點選欺詐活動的一部分。


防護無檔案攻擊:你還有機會嗎?

無檔案攻擊的實現得益於某些應用程式和作業系統所特有的性質,它利用了反惡意軟體工具在檢測和防禦方面的缺陷,攻擊者常利用漏洞來入侵目標伺服器,攻擊者利用這種技術實施攻擊時,也經常會利用一些合法程式來繞過系統中的安全防護措施,比如瀏覽器、office軟體、powershell.exe、cscript.exe等,濫用Microsoft Windows中內建的眾多實用程式,惡意檔案可以攜帶執行惡意程式碼的漏洞,不會在目標主機的磁碟上寫入任何的惡意檔案。無檔案攻擊在成功潛入記憶體並安定下來後,便可以為所欲為,或進行挖礦、加密檔案進行勒索、C&C攻擊等,一切都看似合法無害。

當前有效的解決方案就是依賴於核心級的監控,捕獲每個目標程式的動態行為。安芯網盾所提供的實時防護無檔案攻擊解決方案,記憶體安全產品所採用的記憶體保護技術,記憶體保護技術完全獨立於作業系統,能高效抵禦漏洞相關的已知和未知記憶體篡改手法。由於其與作業系統完全隔離,也就完全不受客戶機內部威脅的侵擾。利用裸機監管程式,記憶體自省技術可為虛擬基礎設施提供額外的安全層,防止駭客利用零日漏洞或未修復漏洞進行的攻擊。


參考資料:

[1]https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats

[2]https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/kovter-an-evolving-malware-gone-fileless




相關文章