欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

无文件形式的恶意软件:了解非恶意软件攻击(一)

来源:本站整理 作者:佚名 时间:2019-10-06 TAG: 我要投稿


与基于文件的攻击不同,无文件恶意软件不会利用传统的可执行文件。无文件攻击滥用了操作系统内置的工具来进行攻击。从本质上讲,Windows是反对自己的。
没有可执行文件,杀毒软件就无法检测到签名,这就是无文件攻击如此危险的原因,因为它们能够轻松逃避防病毒产品。
利用MITRE ATT&CK框架防御这些攻击,MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战术及技术的公共知识库),引起了业界广泛注意。MITRE ATT&CK深入研究对手行为,安全分析师可利用该信息在网络攻防战中占据有利地位,可以通过五个步骤使用ATT&CK创建闭环安全过程。
无文件攻击使用一种称为“陆地生存(living-off-the-land)”的技术。陆地生存是指攻击者将合法工具用于恶意目的,并且已经存在至少25年了。被滥用的合法工具被称为LOLBins,这个概念最初在2013年DerbyCon黑客大会由Christopher Campbell和Matt Graeber进行创造,最终Philip Goh提出了LOLBins这个概念。随后进行广泛的互联网民意调查,并在达成普遍共识(69%)之后,该名称被正式指定。
什么程序才能称之为LOLBins?目前LOLBins常见的利用工具的包括Microsoft Office Macros,PowerShell,WMI和许多其他系统工具。
非恶意软件如何工作?
无文件恶意软件利用在操作系统上运行的受信任的合法进程(LOLBins)来执行恶意活动,例如横向移动,特权提升,逃避,侦察和有效载荷的传递。
在我们的研究中,仅在2019年,我们就发现并预防或检测了许多无文件攻击案例。我们已经看到攻击者在其攻击中使用了一系列默认的Windows进程,包括:
1.PowerShell,具有Cobalt Kitty行动,Ramnit Banking木马,Emotet,TrickBot和Ryuk的三重威胁以及Fallout Exploit Kit等攻击。
2.Windows Management Instrumentation(WMI),具有像Operation Soft Cell,Shade Exploit Kit,Adobe Worm Faker和 GandCrabs Evasive攻击之类的攻击。
3..NET,带有类似新Ursnif变体的攻击;
4.恶意宏,带有类似新Ursnif变体的攻击;
以上只是部分用于无文件攻击的进程的详尽列表,但是,这些是我们本文要重点介绍的LOLBins,因为我们可以有效地,比其他任何人更好地防止这些无文件攻击。
在攻击中使用非文件恶意软件的原因
1.隐形攻击:无文件恶意软件使用合法工具,这意味着几乎不可能将无文件攻击中使用的工具列入黑名单。
2.超前的生存能力:默认情况下,会安装用于无文件恶意软件的合法工具,攻击者无需创建或安装任何自定义工具即可使用它们。
3.受信任和经常被使用:这些工具是经常使用和信任的,出于合法目的,在企业环境中运行无文件恶意软件中使用的工具并不罕见。
非文件恶意软件的恶意利用
有100多种Windows系统工具可以作为LOLBins加以利用和滥用。
PowerShell
PowerShell是Microsoft创建的跨平台,开源任务自动化和配置管理框架,基于.NET的PowerShell框架由命令行外壳和脚本语言组成。 PowerShell可以完全访问许多Windows系统功能,包括WMI和组件对象模型(COM)对象,以及Microsoft Exchange服务器和其他服务器的管理功能。此外,它能够直接从内存中执行有效载荷,这使攻击者可以利用有效载荷来处理无文件恶意软件。
什么是POWERSHELL合法使用?
PowerShell旨在用作自动化工具。对于管理员来说,自动执行繁琐且重复的任务是一种节省的选择。PowerShell功能强大,你可以使用PowerShell在网络上的所有计算机上显示所有已安装的USB设备。你可以使用它来设置在后台运行的任务,也可以使用它杀死进程或导出有关计算机的信息,这就是使PowerShell对IT管理员如此重要的原因,他们可以自动完成许多需要专注于其他任务的任务。由于IT管理员每天都需要黑名单,因此这些进程几乎不可能进行黑名单。
为什么要使用POWERSHELL进行无文件攻击?
PowerShell使攻击者可以快速访问操作系统的系统功能,并且被公认为合法,可信的工具。
攻击者使用PowerShell进行无文件攻击的原因很多,包括:
1.默认安装:在Windows上默认安装PowerShell;
2.受信任和频繁使用:系统管理员频繁使用和信任PowerShell,这在企业环境中运行PowerShell进程并不罕见。
3.易于混淆:PowerShell脚本易于混淆,使用老版安全工具可能难以检测。
4.提供远程访问:PowerShell默认情况下具有远程访问功能,因此攻击者可以远程使用它。
可以考虑一下,使用现有的工具(如PowerShell)使攻击者更容易使用它内置的功能,不仅可以与攻击者进行外部通信,还可以直接对操作系统进行多种更改,这是使用PowerShell进行攻击的未来潜力。
POWERSHELL怎样发起攻击?
1.Operation Cobalt Kitty:Operation Cobalt Kitty这是安全公司Cybereason 报道的一系列攻击活动,这些活动集中在亚洲地区,目标在于攻陷商业公司获取其核心资料。这一系列攻击具有相似的手法和技术特征,Cybereason在2017年5月将其命名为 Cobalt Kitty,公布了相关的分析结果。这些攻击正是使用了基于无文件的PowerShell的基础架构以及自定义PowerShell载荷作为操作的一部分,并最终窃取了专有业务信息。
2.Ramnit银行木马:Ramnit初始形态为蠕虫病毒,通过自繁殖策略得到迅速传播,感染计算机的exe、dll、html、htm、vbs文件,新变种通过捆绑在未知来源的软件或植入到受害网站的工具包中进行传播,受感染机器组成僵尸网络,对网络上的目标发起DDoS

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载