欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

无文件形式的恶意软件:了解非恶意软件攻击(2)

来源:本站整理 作者:佚名 时间:2019-10-07 TAG: 我要投稿


上篇文章,我们介绍了非恶意软件如何工作?在攻击中使用非文件恶意软件的原因,以及PowerShell,什么是POWERSHELL合法使用?为什么要使用POWERSHELL进行无文件攻击?本篇文章,我们将继续介绍indows管理工具(WMI),以及为什么要使用WMI进行无文件攻击?另外还对.NET框架以及为什么要使用.NET进行无文件攻击都做了介绍。
Windows管理工具(WMI)
Windows Management Instrumentation(WMI)是Microsoft标准,用于访问有关企业环境中设备的管理信息。自Windows NT 4.0和Windows 95以来,WMI已深深嵌入到Windows操作系统中。
WMI的合法用途是什么?
WMI就是关于网络上Windows设备的管理。它可以为你提供有关本地或远程计算机状态的信息,并且可以用于配置安全设置,例如系统属性,用户组,调度进程或禁用错误日志记录。对于需要轻松管理网络上所有计算机的管理员来说,WMI非常有价值-这是企业中经常发生的任务。这种管理对于IT部门的成功至关重要,因为IT部门无法摆脱他们的日常工作。
为什么要使用WMI进行无文件攻击?
WMI最早且最主流的恶意使用目的是在Stuxnet中,震网病毒又名Stuxnet病毒,是一个席卷全球工业界的病毒。震网(Stuxnet)病毒于2010年6月首次被检测出来,是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站,水坝,国家电网。互联网安全专家对此表示担心。作为世界上首个网络“超级破坏性武器”,Stuxnet的计算机病毒已经感染了全球超过 45000个网络,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。计算机安防专家认为,该病毒是有史以来最高端的“蠕虫”病毒。从那时起,攻击者便经常采用它进行侦察,防病毒检测,代码执行,虚拟机检测,肆意传播,持久性和数据盗窃。
攻击者使用WMI进行无文件攻击的原因很多,包括:
1.默认情况下安装:Windows上默认安装WMI。
2.受信任和频繁使用:系统管理员频繁使用和信任WMI,看到在企业环境中使用WMI并不少见。
3.作为系统运行:任何永久性WMI事件订阅都作为系统运行,从而使它们更具可信度。
4.容易触发:几乎每个操作系统动作都可以触发WMI事件,从而使其与操作系统动作结合使用非常容易。
有关使用WMI进行无文件攻击的深入说明,请阅读“滥用WMI来构建持久,异步和无文件后门程序”。
目前哪些攻击使用了WMI?
1.GandCrab的逃避性感染链:在2019年,Cybereason Nocturnus小组发现并阻止了针对日本跨国公司的运动。该攻击使用恶意宏作为触发来解密有效载荷,并使用WMI对象设置环境变量。这种攻击的最终目标是勒索计算机。目前,GandCrab勒索软件负责全球40%的勒索软件感染。
2.Adobe Worm Faker提供自定义的有效载荷:2019年6月Cybereason发现了一个有趣的恶意软件样本,并将之命名为Adobe Worm Faker,它是一类利用LOLBins进行攻击的蠕虫病毒,能够根据运行的机器动态地改变其行为,以便在每台目标机器上选择最佳的漏洞利用和payload。这种恶意软件潜在的破坏性风险特别高,且能够逃避AV和EDR产品,需要人工检测才能发现一些端倪。该恶意软件根据目标计算机动态更改其行为,该攻击使用WMI方法收集有关目标计算机的信息并收集有关目标计算机上现有杀毒软件产品的信息。攻击的主要目的是窃取客户信息,例如财务数据和密码。
3.Soft Cell攻击:早在2018年,Cybereason的Nocturnus团队发现了针对全球电信提供商的高级持续性攻击,这种攻击的重点是获取特定的高价值目标的数据,并完全接管网络。根据获得的数据,研究人员将这种攻击称为Operation Soft Cell,Operation Soft Cell至少自2017年以来一直活跃。攻击者试图窃取存储在活动目录中的所有数据,以及组织中的每个用户名和密码,以及其他个人身份信息,计费数据,呼叫详细记录,凭据,电子邮件服务器,用户的地理位置。攻击使用WMI命令在网络上横向移动。在被发现之前,这种攻击从电信提供商那里窃取了诸如呼叫详细记录之类的数据。
4.Exploit Kits(以下简称EK)利用新场景:2019年,Cybereason团队在野外观察到了Spelevo漏洞利用工具包。该攻击使用WMI成功执行了其有效载荷,该攻击用于点击欺诈,这是对其勒索软件功能的一次改变。Spelevo类似于RIG和GrandSoft之类的EK,很可能由俄罗斯黑客组织开发,这些工具包每月的“租金”约为1000美元至1500美元。在2019年7月,攻击攻击者将Spelevo?EK和Shade捆绑在一起,能在受害者难以察觉的情况下完成诈骗,这点与Shade勒索软件的主要用途有点不一样。我们之前有研究过,欺诈点击每年都在以50%的速度在增长,是快速而又隐蔽赚钱的一种方法。
.NET框架
.NET是Microsoft提供的一个开放源代码框架或一组通用,常用和可编辑的功能。它具有两个主要组件,开发人员可以一起使用它们来创建应用程序:公共语言运行库和.NET Framework类库。为.NET框架编写的程序在软件环境“通用语言运行时”中执行。.NET于2000年底首次发布于beta版本。此后,它不仅作为框架而且作为构建Web,移动和桌面应用程序,而且还作为更特定的应用程序模型的开放源代码开发人员平台而受到欢迎。
.NET的合法用途是什么?
.NET是Microsoft构建的框架,用于开发各种应用程序。它提供对开发人员经常使用并可以构建的功能基础结构的访问,它与几种编程语言一起使用,包括C#,VB.NET Shop,C ++和F#。它可用于创建基于Windows的应用程序,云应用程序,人工智能应用程序甚至跨平台应用程序。
例如,你可以使用.NET来ping网络上的另一个IP地址,或创建一个新进程。.NET可用于分配内存,创建新线程或编写shellcode,这些只是可以在应用程序中使用.NET数万种方法的几个示例。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载