无文件形式的恶意软件:了解非恶意软件攻击(一)
与基于文件的攻击不同,无文件恶意软件不会利用传统的可执行文件。无文件攻击滥用了操作系统内置的工具来进行攻击。从本质上讲,Windows是反对自己的。
没有可执行文件,杀毒软件就无法检测到签名,这就是无文件攻击如此危险的原因,因为它们能够轻松逃避防病毒产品。
利用MITRE ATT&CK框架防御这些攻击,MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战术及技术的公共知识库),引起了业界广泛注意。MITRE ATT&CK深入研究对手行为,安全分析师可利用该信息在网络攻防战中占据有利地位,可以通过五个步骤使用ATT&CK创建闭环安全过程。
无文件攻击使用一种称为“陆地生存(living-off-the-land)”的技术。陆地生存是指攻击者将合法工具用于恶意目的,并且已经存在至少25年了。被滥用的合法工具被称为LOLBins,这个概念最初在2013年DerbyCon黑客大会由Christopher Campbell和Matt Graeber进行创造,最终Philip Goh提出了LOLBins这个概念。重庆随后进行广泛的互联网民意调查,并在达成普遍共识(69%)之后,该名称被正式指定。
什么程序才能称之为LOLBins?目前LOLBins常见的利用工具的包括Microsoft Office Macros,PowerShell,WMI和许多其他系统工具。
非恶意软件如何工作?
无文件恶意软件利用在操作系统上运行的受信任的合法进程(LOLBins)来执行恶意活动,例如横向移动,特权提升,逃避,侦察和有效载荷的传递。
在我们的研究中,仅在2019年,我们就发现并预防或检测了许多无文件攻击案例。我们已经看到攻击者在其攻击中使用了一系列默认的Windows进程,包括:
1.PowerShell,具有Cobalt Kitty行动,Ramnit Banking木马,Emotet,TrickBot和Ryuk的三重威胁以及Fallout Exploit Kit等攻击。
2.Windows Management Instrumentation(WMI),具有像Operation Soft Cell,Shade Exploit Kit,Adobe Worm Faker和 GandCrabs Evasive攻击之类的攻击。
3..NET,带有类似新Ursnif变体的攻击;
4.恶意宏,带有类似新Ursnif变体的攻击;
以上只是部分用于无文件攻击的进程的详尽列表,但是,这些是我们本文要重点介绍的LOLBins,因为我们可以有效地,比其他任何人更好地防止这些无文件攻击。
在攻击中使用非文件恶意软件的原因
1.隐形攻击:无文件恶意软件使用合法工具,这意味着几乎不可能将无文件攻击中使用的工具列入黑名单。
2.超前的生存能力:默认情况下,会安装用于无文件恶意软件的合法工具,攻击者无需创建或安装任何自定义工具即可使用它们。
3.受信任和经常被使用:这些工具是经常使用和信任的,出于合法目的,在企业环境中运行无文件恶意软件中使用的工具并不罕见。
非文件恶意软件的恶意利用
有100多种Windows系统工具可以作为LOLBins加以利用和滥用。
PowerShell
PowerShell是Microsoft创建的跨平台,开源任务自动化和配置管理框架,基于.NET的PowerShell框架由命令行外壳和脚本语言组成。 PowerShell可以完全访问许多Windows系统功能,包括WMI和组件对象模型(COM)对象,以及Microsoft Exchange服务器和其他服务器的管理功能。此外,它能够直接从内存中执行有效载荷,这使攻击者可以利用有效载荷来处理无文件恶意软件。奇热
什么是POWERSHELL合法使用?
PowerShell旨在用作自动化工具。对于管理员来说,自动执行繁琐且重复的任务是一种节省的选择。PowerShell功能强大,你可以使用PowerShell在网络上的所有计算机上显示所有已安装的USB设备。你可以使用它来设置在后台运行的任务,也可以使用它杀死进程或导出有关计算机的信息,这就是使PowerShell对IT管理员如此重要的原因,他们可以自动完成许多需要专注于其他任务的任务。由于IT管理员每天都需要黑名单,因此这些进程几乎不可能进行黑名单。
为什么要使用POWERSHELL进行无文件攻击?
PowerShell使攻击者可以快速访问操作系统的系统功能,并且被公认为合法,可信的工具。
攻击者使用PowerShell进行无文件攻击的原因很多,包括:
1.默认安装:在Windows上默认安装PowerShell;
2.受信任和频繁使用:系统管理员频繁使用和信任PowerShell,这在企业环境中运行PowerShell进程并不罕见。
3.易于混淆:PowerShell脚本易于混淆,使用老版安全工具可能难以检测。
4.提供远程访问:PowerShell默认情况下具有远程访问功能,因此攻击者可以远程使用它。
可以考虑一下,使用现有的工具(如PowerShell)使攻击者更容易使用它内置的功能,不仅可以与攻击者进行外部通信,还可以直接对操作系统进行多种更改,这是使用PowerShell进行攻击的未来潜力。
POWERSHELL怎样发起攻击?
1.Operation Cobalt Kitty:Operation Cobalt Kitty这是安全公司Cybereason 报道的一系列攻击活动,这些活动集中在亚洲地区,目标在于攻陷商业公司获取其核心资料。这一系列攻击具有相似的手法和技术特征,Cybereason在2017年5月将其命名为 Cobalt Kitty,公布了相关的分析结果。这些攻击正是使用了基于无文件的PowerShell的基础架构以及自定义PowerShell载荷作为操作的一部分,并最终窃取了专有业务信息。
2.Ramnit银行木马:Ramnit初始形态为蠕虫病毒,通过自繁殖策略得到迅速传播,感染计算机的exe、dll、html、htm、vbs文件,新变种通过捆绑在未知来源的软件或植入到受害网站的工具包中进行传播,受感染机器组成僵尸网络,对网络上的目标发起DDoS攻击。2019年,Cybereason Nocturnus团队在将客户加入主动威胁狩猎服务时发现了对客户的严重威胁。此攻击是远程服务器执行PowerShell命令的操作的一部分,该命令最终会泄露包括银行凭据的敏感数据。
3.针对日本的新Ursnif变体:Cybereason Nocturnus团队发现了具有增强功能的多产Ursnif木马的新变体。此变体在PowerShell中使用无文件技术来检查目标计算机上的语言设置。 PowerShell命令由使用.NET Framework的恶意宏执行。该攻击从邮件客户端和浏览器中存储的电子邮件凭据中窃取数据,特别是针对银行客户。
4.三重威胁(Triple Threat,Emotet、Ryuk 和 TrickBot 携手展开新的信息窃取活动):Emotet部署TrickBot窃取数据并传播Ryuk:2019年,Cybereason Nocturnus团队发现了一种威胁,该威胁影响了使用三种不同主要恶意软件的多个客户:Emotet,TrickBot和Ryuk。此变体使用恶意宏执行下载Emotet有效载荷的PowerShell命令。这种攻击不仅会泄露一系列敏感数据,还会传播Ryuk勒索软件,从而造成进一步的破坏。
5.FalloutExploit Kit攻击:2019年,Cybereason Nocturnus团队发现了一种利用日常Internet浏览来安装恶意软件的攻击。此攻击使用PowerShell执行最终的AZORult信息窃取者有效载荷,AZORult是一种信息窃取的恶意软件,随着时间的推移已经发展成为一种多层功能的软件。通过使用PowerShell,它绕过Windows中的反恶意软件扫描接口保护机制。InfoStealer会窃取个人数据,例如比特币敏感文件,登录数据等。
6.Sodinokibi:勒索软件的王储:在2019年5月,中国国内发生大量借助钓鱼邮件方式传播的sodinokibi勒索攻击。该病毒与大名鼎鼎的GandCrab较为相似,该病毒已经宣布停止运营。而sodinokibi勒索几乎完全继承了GandCrab的传播渠道。sodinokibi勒索病毒首先出现于2019年4月底,早期使用web服务相关漏洞传播。近期发现,sodinokibi勒索病毒会伪装成税务单位、司法机构,使用钓鱼欺诈邮件来传播。
本篇文章,我们介绍了非恶意软件如何工作?在攻击中使用非文件恶意软件的原因,以及PowerShell,什么是POWERSHELL合法使用?为什么要使用POWERSHELL进行无文件攻击?下篇文章,我们将继续介绍indows管理工具(WMI),以及为什么要使用WMI进行无文件攻击?另外还对.NET框架以及为什么要使用.NET进行无文件攻击都做了介绍。