無檔案釣魚是將社會工程學與無檔案攻擊相結合的高階網路攻擊手段,是近幾年真實攻擊事件和攻防演練案例中利用頻率最高也是最容易成功的一類攻擊手段,最常見的就是利用大家對疫情的高度關注、利用大家對八卦資訊的獵奇心理等。
攻擊者利用無檔案釣魚主要有兩大優勢:
一是有效降低了攻擊門檻,使紅隊不必強攻使用者網路即可有機會獲取受信任立足點。它充分利用了人性弱點,透過精心偽造場景,誘使目標下載、執行惡意程式或訪問惡意連結,從而達到提權或資料竊取等目的。
二是利用無檔案的攻擊手法能有效繞過使用者網路安全防禦體系,提升釣魚成功機率。無檔案攻擊通常會利用作業系統的合法程式直接將惡意程式載入至記憶體執行來攻擊計算機,不會有惡意檔案在本地磁碟落地,並且不會留下任何足跡,這給檢測、溯源帶來很大困難。為了逃避檢測,攻擊者開發的無檔案惡意軟體變得越來越複雜越來越有針對性。這些軟體往往採用最新的技術,並以混淆、加密等方式來偽裝自己。
圖 典型無檔案釣魚攻擊場景
無檔案攻擊常見於PC終端,攻擊者通常利用釣魚郵件或是某些軟體漏洞發起攻擊,並呼叫Powershell、WMI、PsExec等系統自有工具遠端下載執行惡意命令,具有隱蔽性強、攻擊成功率高、破壞力大、溯源困難等特點。基於特徵簽名、網路流量、系統日誌的傳統檢測手段很難有效應對無檔案攻擊,很多勒索病毒、挖礦木馬甚至惡意後門程式均是透過無檔案攻擊實現。
目前,關基運營者針對釣魚攻擊的防護主要從“人防”和“技防”兩個層面入手。人防主要是透過安全培訓、郵件釣魚演習提高員工的網路安全意識。技防主要是透過部署郵件安全閘道器、郵件防洩漏等措施應對郵件威脅。而要想發現無檔案釣魚這類攻擊,需要實現對郵件附件、郵件賬號、郵件URL、郵件來源、郵件異常行為等一體化安全解決方案。
安芯網盾記憶體保護系統(MDPS)無檔案攻擊防護模組以行為分析為核心,深入指令碼直譯器內部,監控指令碼執行行為,透過發現指令碼敏感動作,結合上下文關聯,能有效檢測和發現無檔案攻擊行為,並能對攻擊進行阻斷。檢測過程不依賴特徵簽名、網路流量、系統日誌等靜態特徵,有效降低了因混淆、變種導致繞過的機率。
同時,立足郵件安全綜合防護需要,安芯網盾配合公安一所開發了郵件安全聯防預警系統M01。透過在本地部署郵件閘道器和威脅樣本異常行為分析系統,依託“雲端”威脅情報共享平臺、威脅行為分析系統和專家運營服務團隊,有效解決實戰攻防對抗過程中人員安全意識參差不齊、難以全面應對郵件釣魚及惡意程式攻擊、預警不及時等痛點問題,大力提升了應對社會工程學攻擊的防護水平。
安芯網盾助力攻防演練和日常防護,
讓您無懼紅隊“套路王”無檔案釣魚,
這裡有一份硬核指南,
識別二維碼即可免費下載!
如果您的企業即將參加實網攻防演練,歡迎您致電400-900-6609諮詢安芯網盾為您提供的獨家解決方案。安芯網盾作為記憶體安全領域的開拓者和領軍者,致力於為政府、金融、運營商、軍工、教育、醫療、網際網路及大型企業等行業客戶提供新一代高階威脅實時防護端點安全解決方案。我們將在企業安全建設上,持續為您保駕護航。