如今,非惡意軟件攻擊的數量呈上升趨勢。根據調研機構波洛蒙研究所的一項調查,2017年,29%的組織遭遇無文件攻擊。而在2018年,這一數字可能會增加到35%。那麼,什麼是非惡意軟件攻擊?它們與傳統威脅有何不同?它們為什麼如此危險?以及如何防止它們發生?以下將會給出每個問題的答案。
非惡意軟件攻擊:它們是什麼?
非惡意軟件或無文件攻擊是一種網絡攻擊,其中在文件系統並不存在惡意代碼。而與在傳統惡意軟件的幫助下進行的惡意攻擊相反,非惡意軟件攻擊不需要在受害者的機器上安裝任何軟件。基本上,黑客已經找到了一種方法來改變Windows對自身的攻擊,並使用內置的Windows工具進行無文件攻擊。
非惡意軟件攻擊背後的想法非常簡單:黑客並不使用可能被標記為惡意軟件的自定義工具,而是使用已存在於設備上的合法工具,接管合法的系統進程,並在其內存空間運行惡意代碼。這種方法也被稱為“離地(living off the land)”攻擊。
非惡意軟件攻擊通常發生的方式
用戶打開受感染的電子郵件或訪問受感染的網站。攻擊工具包掃描計算機中的漏洞,並使用它們將惡意代碼插入Windows系統管理工具之一。無文件惡意軟件可以從受感染的網站或電子郵件下載,作為受感染應用程序的惡意代碼引入,甚至甚至分佈在零日漏洞中。
為什麼非惡意軟件攻擊如此危險?
無文件惡意軟件帶來的主要挑戰之一是它不使用傳統的惡意軟件,因此沒有任何反惡意軟件可以用來檢測它的簽名。因此,檢測無文件攻擊極具挑戰性。
為了更好地理解它們為什麼構成這麼大的危險,以下來看看最近的一些無文件攻擊的例子。
無文件惡意軟件的第一個例子是終止駐留(TSR)病毒。TSR病毒有一個從它們開始的機構,但是一旦惡意代碼加載到內存中,可執行文件就可能被刪除。
使用JavaScript或PowerShell等腳本中的漏洞的惡意軟件也被認為是無文件的。即使是臭名昭著的勒索軟件攻擊WannaCry和Petya也將無文件技術用作其殺戮鏈的一部分。
另一個非惡意軟件攻擊的例子是UIWIX威脅。就像WannaCry和Petya一樣,UIWIX使用EternalBlue漏洞。它不會刪除磁盤上的任何文件,而是允許安裝位於內核內存中的DoublePulsar後門程序。
非惡意軟件攻擊是如何工作的?
由於非惡意軟件攻擊使用默認的Windows工具,因此他們設法將其惡意活動隱藏在合法的Windows進程之後。因此,對於大多數反惡意軟件產品來說,它們幾乎無法檢測到。
主要的非惡意軟件攻擊目標
黑客需要獲得儘可能多的資源,同時保持其惡意活動未被發現。這就是為什麼大多數無文件攻擊都集中在兩個目標中的一個的原因:
根據目標的類型,無文件攻擊可以運行在內存中,也可以利用軟件腳本中的漏洞。
攻擊者出於幾個原因選擇了WMI和PowerShell:首先,這兩種工具都嵌入到每個現代版本的Windows操作系統中,這使得黑客更容易傳播他們的惡意代碼。其次,關閉這些工具並不是一個好主意,因為它會極大地限制網絡管理員的工作。但是,有些專家建議禁用WMI和PowerShell作為防止無文件攻擊的預防措施。
非惡意軟件攻擊的4種常見類型
無文件惡意軟件有很多種類和變體。以下列出了四個最常見的類型:
無文件持久性方法 - 惡意代碼即使在系統重新啟動後也會繼續運行。例如,惡意腳本可能存儲在Windows註冊表中,並在重新啟動後重新感染。僅限內存的威脅 - 攻擊通過利用Windows服務中的漏洞在內存中執行其有效內容。重新啟動後,感染消失。雙用途工具 - 現有的Windows系統工具用於惡意目的。不可移植的可執行文件(PE)文件攻擊——一種使用合法Windows工具和應用程序的雙用途工具攻擊,以及PuthSeBar、cScript或WScript等腳本。非惡意軟件攻擊技術
為了執行非惡意軟件攻擊,黑客使用不同的技術。以下是最常用的四個技術:
WMI持久性 - WMI存儲庫用於存儲可通過WMI綁定定期調用的惡意腳本。5種防止非惡意軟件攻擊的方法
專家們提供了不同的方式來防止和阻止無文件惡意軟件:從禁用最易受攻擊的Windows工具到使用下一代反惡意軟件解決方案。以下五個建議可能有助於保護企業的網絡免受非惡意軟件攻擊。
禁用不必要的管理框架。大多數非惡意軟件威脅都基於PowerShell或WMI等管理框架中的漏洞。攻擊者利用這些框架在受害者的機器上秘密執行命令,而感染則存留在其內存中。因此,最好在任何可能的地方禁用這些工具。禁用宏。完全禁用宏可防止系統上運行不安全和不受信任的代碼。如果使用宏是企業最終用戶的需求,則可以對受信任的宏進行數字簽名,並限制任何其他類型的宏的使用。監視未授權的流量。通過不斷監控來自不同設備的安全設備日誌,可以檢測企業網絡中的未授權流量。記錄一組基線以更好地理解網絡操作流程,並能夠檢測任何異常,例如與未經授權的遠程設備通信或傳輸大量數據的設備。無文件攻擊的增加主要是因為它們很難通過標準的反惡意軟件解決方案進行檢測。雖然有效檢測非惡意軟件威脅對人們來說仍然是一個挑戰,但這些提示可能有助於防止可能發生的攻擊。