如今,非惡意軟件攻擊的數量呈上升趨勢。根據調研機構波洛蒙研究所的一項調查,2017年,29%的組織遭遇無文件攻擊。而在2018年,這一數字可能會增加到35%。那麼,什麼是非惡意軟件攻擊?它們與傳統威脅有何不同?它們為什麼如此危險?以及如何防止它們發生?以下將會給出每個問題的答案。
非惡意軟件攻擊:它們是什麼?
非惡意軟件或無文件攻擊是一種網絡攻擊,其中在文件系統並不存在惡意代碼。而與在傳統惡意軟件的幫助下進行的惡意攻擊相反,非惡意軟件攻擊不需要在受害者的機器上安裝任何軟件。基本上,黑客已經找到了一種方法來改變Windows對自身的攻擊,並使用內置的Windows工具進行無文件攻擊。
非惡意軟件攻擊背後的想法非常簡單:黑客並不使用可能被標記為惡意軟件的自定義工具,而是使用已存在於設備上的合法工具,接管合法的系統進程,並在其內存空間運行惡意代碼。這種方法也被稱為“離地(living off the land)”攻擊。
非惡意軟件攻擊通常發生的方式
- 用戶打開受感染的電子郵件或訪問受感染的網站。
- 攻擊工具包掃描計算機中的漏洞,並使用它們將惡意代碼插入Windows系統管理工具之一。
- 無文件惡意軟件在可用的DLL中運行其有效負載,並在內存中啟動攻擊,隱藏在合法的Windows進程中。
無文件惡意軟件可以從受感染的網站或電子郵件下載,作為受感染應用程序的惡意代碼引入,甚至甚至分佈在零日漏洞中。
為什麼非惡意軟件攻擊如此危險?
無文件惡意軟件帶來的主要挑戰之一是它不使用傳統的惡意軟件,因此沒有任何反惡意軟件可以用來檢測它的簽名。因此,檢測無文件攻擊極具挑戰性。
為了更好地理解它們為什麼構成這麼大的危險,以下來看看最近的一些無文件攻擊的例子。
無文件惡意軟件的第一個例子是終止駐留(TSR)病毒。TSR病毒有一個從它們開始的機構,但是一旦惡意代碼加載到內存中,可執行文件就可能被刪除。
使用JavaScript或PowerShell等腳本中的漏洞的惡意軟件也被認為是無文件的。即使是臭名昭著的勒索軟件攻擊WannaCry和Petya也將無文件技術用作其殺戮鏈的一部分。
另一個非惡意軟件攻擊的例子是UIWIX威脅。就像WannaCry和Petya一樣,UIWIX使用EternalBlue漏洞。它不會刪除磁盤上的任何文件,而是允許安裝位於內核內存中的DoublePulsar後門程序。
非惡意軟件攻擊是如何工作的?
由於非惡意軟件攻擊使用默認的Windows工具,因此他們設法將其惡意活動隱藏在合法的Windows進程之後。因此,對於大多數反惡意軟件產品來說,它們幾乎無法檢測到。
主要的非惡意軟件攻擊目標
黑客需要獲得儘可能多的資源,同時保持其惡意活動未被發現。這就是為什麼大多數無文件攻擊都集中在兩個目標中的一個的原因:
根據目標的類型,無文件攻擊可以運行在內存中,也可以利用軟件腳本中的漏洞。
攻擊者出於幾個原因選擇了WMI和PowerShell:首先,這兩種工具都嵌入到每個現代版本的Windows操作系統中,這使得黑客更容易傳播他們的惡意代碼。其次,關閉這些工具並不是一個好主意,因為它會極大地限制網絡管理員的工作。但是,有些專家建議禁用WMI和PowerShell作為防止無文件攻擊的預防措施。
非惡意軟件攻擊的4種常見類型
無文件惡意軟件有很多種類和變體。以下列出了四個最常見的類型:
- 無文件持久性方法 - 惡意代碼即使在系統重新啟動後也會繼續運行。例如,惡意腳本可能存儲在Windows註冊表中,並在重新啟動後重新感染。
- 僅限內存的威脅 - 攻擊通過利用Windows服務中的漏洞在內存中執行其有效內容。重新啟動後,感染消失。
- 雙用途工具 - 現有的Windows系統工具用於惡意目的。
- 不可移植的可執行文件(PE)文件攻擊——一種使用合法Windows工具和應用程序的雙用途工具攻擊,以及PuthSeBar、cScript或WScript等腳本。
非惡意軟件攻擊技術
為了執行非惡意軟件攻擊,黑客使用不同的技術。以下是最常用的四個技術:
- WMI持久性 - WMI存儲庫用於存儲可通過WMI綁定定期調用的惡意腳本。
- 基於腳本的技術 - 黑客可以使用腳本文件來嵌入編碼的shellcode或二進制文件,而無需在磁盤上創建任何文件。這些腳本可以即時解密,並通過.NET對象執行。
- 內存漏洞利用 - 無文件惡意軟件可能使用受害者機器上的內存漏洞遠程運行。
- 反射式DLL注入 -將惡意DLL加載到進程的內存中,而無需將這些DLL保存在磁盤上。惡意DLL可以嵌入到受感染的宏文件或腳本中,也可以託管在遠程計算機上,並通過分階段的網絡通道傳播。
5種防止非惡意軟件攻擊的方法
專家們提供了不同的方式來防止和阻止無文件惡意軟件:從禁用最易受攻擊的Windows工具到使用下一代反惡意軟件解決方案。以下五個建議可能有助於保護企業的網絡免受非惡意軟件攻擊。
- 禁用不必要的管理框架。大多數非惡意軟件威脅都基於PowerShell或WMI等管理框架中的漏洞。攻擊者利用這些框架在受害者的機器上秘密執行命令,而感染則存留在其內存中。因此,最好在任何可能的地方禁用這些工具。
- 禁用宏。完全禁用宏可防止系統上運行不安全和不受信任的代碼。如果使用宏是企業最終用戶的需求,則可以對受信任的宏進行數字簽名,並限制任何其他類型的宏的使用。
- 監視未授權的流量。通過不斷監控來自不同設備的安全設備日誌,可以檢測企業網絡中的未授權流量。記錄一組基線以更好地理解網絡操作流程,並能夠檢測任何異常,例如與未經授權的遠程設備通信或傳輸大量數據的設備。
- 使用下一代端點安全解決方案。與傳統的反惡意軟件相比,一些端點解決方案具有能夠執行基本的系統行為分析的啟發式組件。由於某些類型的惡意軟件具有一組特定的通用行為特徵,基於啟發式的方法可以阻止某些看似基於行為的威脅的活動,從而阻止可能的攻擊來傳遞其全部有效負載。如果出現誤報,最終用戶可能會通過人工授權繼續該過程。
- 保持所有設備更新。補丁程序管理在保護企業系統和防止可能的違規行為方面發揮著重要作用。通過及時提供最新的修補程序,可以有效提高系統防範非惡意軟件攻擊的級別。
無文件攻擊的增加主要是因為它們很難通過標準的反惡意軟件解決方案進行檢測。雖然有效檢測非惡意軟件威脅對人們來說仍然是一個挑戰,但這些提示可能有助於防止可能發生的攻擊。
閱讀更多 網絡安全焦點 的文章
