信息來源:FreeBuf
前言
2018年上半年,勒索軟件的傳播態(tài)勢(shì)依然十分嚴(yán)峻,同時(shí)無文件和PowerShell的攻擊數(shù)量激增,已成為今年要重點(diǎn)關(guān)注的領(lǐng)域。
近日,終端安全公司SentinelOne發(fā)布了“2018年上半年企業(yè)風(fēng)險(xiǎn)指數(shù)報(bào)告”,報(bào)告顯示:2018年1月至6月期間,無文件攻擊次數(shù)增加了94%;PowerShell攻擊從2018年5月的每1000個(gè)終端遭受2.5次攻擊飆升到6月的每1000個(gè)終端遭受5.2次攻擊;勒索軟件傳播態(tài)勢(shì)依然十分嚴(yán)峻且上升速率很快,每1000個(gè)終端遭受攻擊的數(shù)量從1月的5.6極速上升至6月的14.4。
無文件惡意軟件初探
SentinelOne的產(chǎn)品管理總監(jiān)和該報(bào)告的負(fù)責(zé)人Aviram Shmueli表示,無文件和PowerShell攻擊的激增在意料之中,這兩種攻擊方式對(duì)于想隱藏于系統(tǒng)之中,進(jìn)行長(zhǎng)期惡意活動(dòng)和竊取數(shù)據(jù)的攻擊者而言特別有吸引力。
顧名思義,無文件惡意軟件會(huì)在感染目標(biāo)計(jì)算機(jī)時(shí),不會(huì)在本地硬盤驅(qū)動(dòng)器上留下任何工件,從而輕松規(guī)避傳統(tǒng)的基于簽名和文件檢測(cè)的安全軟件。最為典型的無文件攻擊方式利用瀏覽器和相關(guān)程序(Java、Flash或PDF閱讀器)中的漏洞,或通過誘用戶點(diǎn)擊附件而實(shí)現(xiàn)網(wǎng)絡(luò)釣魚攻擊。
在無文件惡意軟件攻擊情形中,惡意代碼在計(jì)算機(jī)的內(nèi)存中運(yùn)行,并調(diào)用Windows系統(tǒng)上已有的程序,如PowerShell和Windows Management Instrumentation(WMI),不會(huì)再目標(biāo)系統(tǒng)上增加或刪除任何文件。
攻擊者使用Windows工具(如PowerShell)來保持對(duì)目標(biāo)系統(tǒng)的長(zhǎng)期控制,因?yàn)闊o文件惡意軟件需要在目標(biāo)系統(tǒng)的內(nèi)存中運(yùn)行代碼。每次重新啟動(dòng)終端時(shí),攻擊過程都會(huì)中斷。為了解決這個(gè)限制,攻擊者會(huì)先遍歷一遍系統(tǒng)上的應(yīng)用程序,使用PowerShell在后臺(tái)打開一個(gè)應(yīng)用程序,如記事本或計(jì)算器,通過其占用的內(nèi)存運(yùn)行。另一種確保長(zhǎng)期控制的方法是加載PowerShell腳本,該腳本指示目標(biāo)計(jì)算機(jī)在每次啟動(dòng)PC時(shí)重新加載惡意代碼并運(yùn)行。
舉一些比較典型的例子:
卡巴斯基實(shí)驗(yàn)室在7月的博客文章中詳細(xì)介紹了PowerGhost無文件挖礦軟件。PowerGhost是一個(gè)經(jīng)過混淆的PowerShell腳本。首先,它通過各種方式被植入目標(biāo)系統(tǒng)的內(nèi)存匯總,并使用WMI工具和Mimikatz數(shù)據(jù)提取工具來提升權(quán)限并設(shè)置挖礦操作。
最近,研究人員又發(fā)現(xiàn)了CactusTorch無文件惡意軟件,它通過內(nèi)存直接運(yùn)行和加載惡意.NET文件。
類似的惡意活動(dòng)極速增加
SentinelOne的這份報(bào)告并不是唯一指出無文件/PowerShell惡意活動(dòng)大幅上升的聲音。今年早些時(shí)候,邁克菲發(fā)布的研究查詢查詢結(jié)果顯示,僅在2017年第四季度與一年前同期相比,無文件惡意軟件借助PowerShell進(jìn)行傳播和運(yùn)行的情況出現(xiàn)了267%的飆升。
Aviram表示:“由于PowerShell中已經(jīng)安裝在Windows操作系統(tǒng)上,無需安裝任何其他東西即可進(jìn)行惡意活動(dòng)。在可預(yù)見的未來,黑客肯定會(huì)更加頻繁地使用這種方式。同時(shí)攻擊的方式將越來越復(fù)雜,并轉(zhuǎn)向更高級(jí)形式的網(wǎng)絡(luò)犯罪。此外,安全軟件對(duì)這種攻擊方式的防御很不完善,需要大家重點(diǎn)關(guān)注。”