隐秘的攻击形式：无文件攻击类型分析-云巴巴

立即咨询

立即试用

商务合作

2022-11-21

   “我还有机会吗？”在初夏火爆的电视剧《秘密角落》中，这样一句看似普通的句子却隐藏在背后。剧中的一切似乎对人和动物都无害，但实际上却毁灭了天地。这种现象也存在于网络世界，如文件没有发作，近年来没有文件的攻击几乎成为攻击者，攻击者更聪明，更有耐心，更狡猾的标准，他们静静地渗透到主机内存中，然后留有几天甚至数月，适用于传统安全产品测试期间没有心跳信息，他们会突然给予致命一击瞬间攻击目标。
   “无文件攻击”不代表企业没有一个文件，而是指恶意程序设计文件不直接落地到目标管理系统的磁盘空间上的一种攻击手法，无文件攻击已经成为一种趋势，它们之间可以选择逃避传统的安全检测工作机制。“功成/隐形/无文件”已经成为热门关键词。
   随着网络攻防对抗的发展，虽然我国企业进行部署了大量的安全管理防护产品，基于内存的攻击方式方法研究越来越多，比如UTM、ADS、EDR、AV、IPS等等，攻击者依然没有能够更加轻易的突破层层防线，复杂的攻击我们每天都在不断上演。目前，许多企业从战略规划上面临安全问题，应用的安全性需要重新考虑，基础设施的安全性需要重新整合。
   1，攻击隐蔽的方法：没有文件三种类型的攻击
   无文件进行攻击到底是如何侵入信息系统的呢？攻击没有攻击文件入口点，没有任何一种攻击可以分为文件：文件的攻击完全，间接使用的文件，文件操作只需要三种类型。
   类型一：完全无文件攻击
   完全无文件的攻击我们可以被视为企业不需要在磁盘上写入法律文件的恶意应用软件。那么这种恶意软件是如何感染计算机的呢？
   第一种情况是不是完全没有的外部设备文件攻击的援助。例如，导致DoublePulsar后门的安装，目标进行计算机信息接收数据利用EternalBlue漏洞的恶意通过网络分析数据包，该后门以及最终仅驻留在内核系统内存中。在这种情况下，没有数据被写入到一个文件，或任何文件。
   另一种发展情况是利用网络设备来感染管理系统，所有这些示例都不需要磁盘上的文件运行，其中一个恶意程序代码我们可能隐藏在设备进行固件（例如BIOS），USB外设（例如BadUSB攻击）甚至网卡固件中。理论上只能驻留在内存中，即使重新启动、重新格式化磁盘和重新安装OS也能存活。
   类型二：利用间接文件
   还有其他的方法恶意软件可以在机器不存在文件，并且不需要大量的工程工作，对实现。这种不同类型的无文件进行恶意软件不会直接在文件管理系统上写入文件，但最终我们可能会间接使用相关文件。Poshspy后门的情况。
   攻击者在WMI存储发展空间中放置了恶意的PowerShell命令，该物理教学文件是CIM对象管理器进行管理的中央存储不同区域，WMI存储库存储在物理设计文件上，通常可以包含一个合法用户数据。因此，尽管感染链从技术上确实使用了物理文件，但出于实际目的，考虑到WMI存储库无法简单地检测和删除的多用途数据容器，另外并配置了WMI筛选器以定期运行该命令。这种非技术文件的后门，攻击者可以构造一个非常独立的后门，后门和他们之前与普通的配合使用，也能保证走后门一般失败后实现持久的目标渗透。
   类型三：仅操作需要的文件
   一些恶意软件系统可以发展具有某种无文件的持久性，但并非不使用文件信息进行管理操作。这方面的一个例子是Kovter，感染的最常见的方法之一Kovter是基于宏观的垃圾邮件恶意附件。一旦通过单击了恶意附件（通常是企业受损的Microsoft Office文件），批处理系统文件和带有一个随机数据文件扩展名的随机选择文件。恶意应用软件就会在我们通常可以位于％Application Data％或％AppDataLocal％的随机进行命名的文件夹中安装方便快捷生活方式以及文件。基于一个随机数据文件进行扩展名的注册表项也安装在“HKEY_CLASSES_ROOT”中，以指导教师随机选择文件的执行以读取用户注册表项。所述壳体组件，用于执行恶意软件生成技术。这是攻击的第一阶段。
   在第二阶段，它会创建注册表项包含恶意脚本执行KOVTER过程中的随机文件。这意味着当受感染的计算机进行重新开始启动或触发快捷生活方式以及文件或批处理系统文件时，注册表项中的恶意脚本语言就会加载到内存中。Shell脚本包含恶意代码和恶意软件注入PowerShell进程。随后，外壳程序代码将解密位于同一注册表项中的二进制注册表项被注入到一个创建的进程中（通常为regsvr32.exe），生成的regsvr32.exe将尝试连接各种URL，这是其点击欺诈活动的一部分。
   2、防护无文件进行攻击：你还有一个机会吗？
   无文件攻击的实现得益于某些应用程序和操作系统所特有的性质，它利用了反恶意软件工具在检测和防御方面的缺陷，攻击者常利用漏洞来入侵目标服务器，攻击者利用这种技术实施攻击时，也经常会利用一些合法程序来绕过系统中的安全防护措施，比如浏览器、office软件、powershell.exe file, CSCRIPT.exe等，滥用Microsoft Windows中内置的众多实用程序，恶意文件可以携带执行恶意代码的漏洞，不会在目标主机的磁盘上写入任何的恶意文件。在内存中一个成功的偷袭后无文件和稳定下来，就可以为所欲为，或采矿，加密文件勒索，C＆C的攻击，似乎一切都合法无害。
   当前有效的解决问题方案设计就是依赖于内核级的监控，捕获每个目标进行程序的动态管理行为。安芯由非实时文件保护解决方案，使用的内存的攻击，内存保护技术的安全产品提供网盾，内存保护技术是完全独立的操作系统可以有效防止篡改涉及到存储器中的已知和未知的漏洞技术。使用裸机调节器，内存内省技术可以为虚拟基础设施提供额外的安全层，由于其与操作管理系统可以完全隔离，也就没有完全不受客户机内部环境威胁的侵扰。以防止黑客利用零天漏洞或未修复漏洞。