黑基网 首页 资讯 安全圈 查看内容

无文件攻击有多阴险 竟利用“永恒之蓝”传播挖矿机

2017-9-28 01:02| 投稿: xiaotiger |来自: 互联网

摘要: 网络罪犯不需要在你的系统里放上恶意软件就能侵入。无文件/零足迹攻击能够利用合法应用,甚至利用操作系统本身,亦或逃过白名单的检测机制,利用位于批准列表之上且已经安装到机器上的应用,进行攻击。不过,“无文 ...

网络罪犯不需要在你的系统里放上恶意软件就能侵入。无文件/零足迹攻击能够利用合法应用,甚至利用操作系统本身,亦或逃过白名单的检测机制,利用位于批准列表之上且已经安装到机器上的应用,进行攻击。

不过,“无文件”、“零足迹”和“非恶意软件”这几个术语,从技术上讲都属于用词不准确的范畴,因为它们往往依赖用户下载恶意附件文件的行为,且确实在计算机上留下了踪迹——只要你知道该找寻什么。

实际上,完全零足迹的恶意软件并不存在,因为有很多方法都可以检测出恶意软件——即便恶意软件不把自身安装到硬盘上。而且,它们并不能完全绕过反病毒工具。因为即使不安装可执行程序,反病毒工具还是可以发现恶意附件或恶意链接。只是利用无文件攻击的话,侵入系统的几率会高,这才是真正的威胁所在。

无文件恶意软件是越来越大的威胁

高级威胁防护厂商Carbon Black的首席技术官迈克·维斯库索称,无文件恶意软件攻击的比例,从2016年初的3%,上升到了去年11月的13%,且还在不断攀升,几乎每3起感染中就有1起带有无文件组件。

鉴于不是所有的客户都选择阻止攻击,而是选择只报警,无文件攻击的实际影响可能还要更大些。Carbon Black最近对上千名客户250多万台终端做了分析,结果显示:2016年,几乎每一家公司都遭到过无文件攻击。迈克表示,成功的攻击中,超过半数都是无文件的。

蜜罐不失为一种防范无文件攻击的好方法,便于观察攻击,然后追踪攻击者的目标和扩散方式。

从攻击者方面看,在受害者计算机上安装新软件,是件很容易引起注意的事。

如果我放份文件在受害者电脑上,你会经历多少审查?这正是为什么攻击者选择无文件攻击或内存攻击更让人崩溃的原因。他们经历的审查会少很多,攻击成功率也就高得多。

而且,功能性上并没有损失。载荷还是同样的。举个例子,如果攻击者想发起勒索软件攻击,他们可以安装二进制文件,或者直接用PowerShell。PowerShell功能强大,新应用能做的所有事它都能干。内存攻击或用PowerShell进行的攻击,没有任何限制。

迈克菲也报告了无文件攻击的上升。占据了无文件恶意软件半壁江山的宏恶意软件,从2015年底的40万种,上升至今年第2季度的1100多万种。增长原因之一,是包含此类漏洞利用的易用工具包的出现。

因此,之前主要限于民族国家及其他高级对手使用的无文件攻击,就被民主化了,即使在商业攻击中也很常见。网络罪犯已经利用这个来传播勒索软件了。

为对抗此类攻击,迈克菲和其他主流反病毒厂商,在传统基于特征码的防御措施上添加基于行为的分析。比如说,如果Word执行时出现了PowerShell连接,那就高度可疑了,可以隔离该进程,或者判定杀之。

无文件攻击的运作机制

无文件恶意软件利用已经安装在用户电脑上的应用,也就是已知安全的应用。比如说,漏洞利用工具包可以利用浏览器漏洞来让浏览器执行恶意代码,或者利用微软Word宏,再不然还可以利用微软的PowerShell功能。

NTT Security 威胁情报沟通团队经理乔·海默尔称:“已安装软件中的漏洞,是执行无文件攻击的必要条件。于是,预防措施中最重要的一步,就是不仅仅更新操作系统,软件应用的补丁也要打上。浏览器插件,是补丁管理过程中最容易忽略掉的应用,也是无文件感染最经常的目标。”

使用微软Office宏的攻击可以通过关闭宏功能加以挫败。实际上,宏功能默认就是关闭的。用户需要特意同意启用这些宏,才可以打开被感染的文件。Rapid7研究主管陶德·比尔兹利称:“一定比例的人依然会打开,尤其是攻击者冒充受害者熟人的时候。”

Adobe PDF 阅读器和JavaScript里的漏洞也是攻击者的目标。Barracuda Networks 先进技术工程高级副总裁弗雷明·史称:“有些偏执的人会关掉自己浏览器的JavaScript执行功能,想防止被感染,但往往是网站端被突破了。”

Virsec System 创始人兼CTO萨特雅·古普塔认为,该攻击利用了 Apache Struts 中的指令注入漏洞。

不检查应用执行路径以判断应用是否真实的反恶意软件解决方案,都会被该机制骗过。打补丁本可以防止该数据泄露的发生,因为3月份补丁就已经发布了。

今年早些时候,某无文件攻击感染了140多家企业,包括40个国家的银行、电信公司和政府机构。卡巴斯基实验室在这些企业网络的注册表里,发现了恶意PowerShell脚本。卡巴斯基称,该攻击只能在RAM、网络和注册表中被检测到。

Carbon Black表示,另一起备受关注的无文件攻击,就是美国民主党全国委员会(DNC)黑客事件了。对于那些想要尽可能长时间不被发现的攻击者,无文件攻击可帮助他们免受检测。

火眼称:“我们观察到很多网络间谍利用该技术试图规避检测。最近的攻击包括了中国和朝鲜黑客团队进行的那些。”

无文件攻击的一种新型商业应用,是用被感染机器来挖掘比特币金矿。eSentire创始人兼首席安全策略师埃尔顿·斯普里克霍夫称:“加密货币挖掘者试图运行直接加载到内存的挖矿机,利用‘永恒之蓝’在公司里传播成千上万的挖矿机。”

比特币挖掘的难度随时间流逝而增加,挖掘难度增速比该虚拟货币的升值速度快得多。比特币挖掘者不得不购置专门的硬件并支付高昂电费,让挖矿盈利变得非常之难。而通过劫持企业PC和服务器,他们可以省去这两笔巨大的开支。

如果你能充分利用大型多路CPU,那就比用某人的笔记本电脑要好得多。公司企业可以将不正常的CPU使用率当成比特币挖掘正在进行的指标。

但即便行为分析系统,也检测不出全部的无文件攻击。总要等注意到异常事件开始发生,比如某用户账户被黑并开始连接大量之前根本没通信过的主机,才会开始响应。

很难在攻击触发警报前捕获它们,要不然就是它们的动作是行为分析算法不关注的。如果对手在低调和慢速上下足功夫,就更加难以检测到攻击。从所观测到的现象看,这可能是因为选择偏差——因为笨拙的类型最容易被看到,所以我们也就只看到那些粗糙的攻击了。只要超级隐秘,谁都觉察不到。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/i6470303177915761165/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

发表评论

最新评论

引用 游客 2017-11-30 14:36
zUK3VZ  <a href="http://xbtpfudsxvzz.com/">xbtpfudsxvzz</a>, [url=http://qywcuppdygdy.com/]qywcuppdygdy[/url], [link=http://hzwjwzqsewnu.com/]hzwjwzqsewnu[/link], http://txxhtnzfemzb.com/
引用 游客 2017-11-30 03:05
fJFE2i http://www.LnAJ7K8QSpfMO2wQ8gO.com

查看全部评论(2)


新出炉

返回顶部