無文件攻擊有多陰險 竟利用“永恒之藍(lán)”傳播挖礦機

發布日期:2017-09-29首頁 > 安全資(zī)訊

網絡罪犯不需要在你的系統裏放(fàng)上惡意軟件就能侵入。無文件/零足迹攻擊能夠利用合法應用,甚至利用操作系統本身,亦或逃過白(bái)名單的檢測機制,利用位于批準列表之上且已經安裝到機器上的應用,進行攻擊。
 

8677-1F92Q40020W5.jpg
 

  不過,“無文件”、“零足迹”和“非惡意軟件”這幾個術語,從技術上講都屬于用詞不準确的範疇,因爲它們往往依賴用戶下(xià)載惡意附件文件的行爲,且确實在計算機上留下(xià)了蹤迹——隻要你知(zhī)道該找尋什麽。

  實際上,完全零足迹的惡意軟件并不存在,因爲有很多方法都可以檢測出惡意軟件——即便惡意軟件不把自身安裝到硬盤上。而且,它們并不能完全繞過反病毒工(gōng)具。因爲即使不安裝可執行程序,反病毒工(gōng)具還是可以發現惡意附件或惡意鏈接。隻是利用無文件攻擊的話(huà),侵入系統的幾率會高,這才是真正的威脅所在。

  無文件惡意軟件是越來越大(dà)的威脅

  高級威脅防護廠商(shāng)Carbon Black的首席技術官邁克·維斯庫索稱,無文件惡意軟件攻擊的比例,從2016年初的3%,上升到了去(qù)年11月的13%,且還在不斷攀升,幾乎每3起感染中(zhōng)就有1起帶有無文件組件。

  鑒于不是所有的客戶都選擇阻止攻擊,而是選擇隻報警,無文件攻擊的實際影響可能還要更大(dà)些。Carbon Black最近對上千名客戶250多萬台終端做了分(fēn)析,結果顯示:2016年,幾乎每一(yī)家公司都遭到過無文件攻擊。邁克表示,成功的攻擊中(zhōng),超過半數都是無文件的。

  蜜罐不失爲一(yī)種防範無文件攻擊的好方法,便于觀察攻擊,然後追蹤攻擊者的目标和擴散方式。

  從攻擊者方面看,在受害者計算機上安裝新軟件,是件很容易引起注意的事。

  如果我(wǒ)放(fàng)份文件在受害者電(diàn)腦上,你會經曆多少審查?這正是爲什麽攻擊者選擇無文件攻擊或内存攻擊更讓人崩潰的原因。他們經曆的審查會少很多,攻擊成功率也就高得多。

  而且,功能性上并沒有損失。載荷還是同樣的。舉個例子,如果攻擊者想發起勒索軟件攻擊,他們可以安裝二進制文件,或者直接用PowerShell。PowerShell功能強大(dà),新應用能做的所有事它都能幹。内存攻擊或用PowerShell進行的攻擊,沒有任何限制。

  邁克菲也報告了無文件攻擊的上升。占據了無文件惡意軟件半壁江山的宏惡意軟件,從2015年底的40萬種,上升至今年第2季度的1100多萬種。增長原因之一(yī),是包含此類漏洞利用的易用工(gōng)具包的出現。

  因此,之前主要限于民族國家及其他高級對手使用的無文件攻擊,就被民主化了,即使在商(shāng)業攻擊中(zhōng)也很常見。網絡罪犯已經利用這個來傳播勒索軟件了。

  爲對抗此類攻擊,邁克菲和其他主流反病毒廠商(shāng),在傳統基于特征碼的防禦措施上添加基于行爲的分(fēn)析。比如說,如果Word執行時出現了PowerShell連接,那就高度可疑了,可以隔離(lí)該進程,或者判定殺之。

  無文件攻擊的運作機制

  無文件惡意軟件利用已經安裝在用戶電(diàn)腦上的應用,也就是已知(zhī)安全的應用。比如說,漏洞利用工(gōng)具包可以利用浏覽器漏洞來讓浏覽器執行惡意代碼,或者利用微軟Word宏,再不然還可以利用微軟的PowerShell功能。

  NTT Security 威脅情報溝通團隊經理喬·海默爾稱:“已安裝軟件中(zhōng)的漏洞,是執行無文件攻擊的必要條件。于是,預防措施中(zhōng)最重要的一(yī)步,就是不僅僅更新操作系統,軟件應用的補丁也要打上。浏覽器插件,是補丁管理過程中(zhōng)最容易忽略掉的應用,也是無文件感染最經常的目标。”

  使用微軟Office宏的攻擊可以通過關閉宏功能加以挫敗。實際上,宏功能默認就是關閉的。用戶需要特意同意啓用這些宏,才可以打開(kāi)被感染的文件。Rapid7研究主管陶德·比爾茲利稱:“一(yī)定比例的人依然會打開(kāi),尤其是攻擊者冒充受害者熟人的時候。”

  Adobe PDF 閱讀器和JavaScript裏的漏洞也是攻擊者的目标。Barracuda Networks 先進技術工(gōng)程高級副總裁弗雷明·史稱:“有些偏執的人會關掉自己浏覽器的JavaScript執行功能,想防止被感染,但往往是網站端被突破了。”

  Virsec System 創始人兼CTO薩特雅·古普塔認爲,最近的Equifax數據洩露事件,也是無文件攻擊的一(yī)個案例。該攻擊利用了 Apache Struts 中(zhōng)的指令注入漏洞。

  此類攻擊中(zhōng),脆弱應用沒有充分(fēn)驗證用戶的輸入,而輸入中(zhōng)可能含有操作系統指令。因此,這些指令就會在受害機器上以該脆弱應用的權限執行。

  不檢查應用執行路徑以判斷應用是否真實的反惡意軟件解決方案,都會被該機制騙過。打補丁本可以防止該數據洩露的發生(shēng),因爲3月份補丁就已經發布了。

  今年早些時候,某無文件攻擊感染了140多家企業,包括40個國家的銀行、電(diàn)信公司和政府機構。卡巴斯基實驗室在這些企業網絡的注冊表裏,發現了惡意PowerShell腳本。卡巴斯基稱,該攻擊隻能在RAM、網絡和注冊表中(zhōng)被檢測到。

  Carbon Black表示,另一(yī)起備受關注的無文件攻擊,就是美國民主黨全國委員(yuán)會(DNC)黑客事件了。對于那些想要盡可能長時間不被發現的攻擊者,無文件攻擊可幫助他們免受檢測。

  火(huǒ)眼稱:“我(wǒ)們觀察到很多網絡間諜利用該技術試圖規避檢測。最近的攻擊包括了中(zhōng)國和朝鮮黑客團隊進行的那些。”

  無文件攻擊的一(yī)種新型商(shāng)業應用,是用被感染機器來挖掘比特币金礦。eSentire創始人兼首席安全策略師埃爾頓·斯普裏克霍夫稱:“加密貨币挖掘者試圖運行直接加載到内存的挖礦機,利用‘永恒之藍(lán)’在公司裏傳播成千上萬的挖礦機。”
 

8677-1F92Q40051Z8.jpg
 

  比特币挖掘的難度随時間流逝而增加,挖掘難度增速比該虛拟貨币的升值速度快得多。比特币挖掘者不得不購置專門的硬件并支付高昂電(diàn)費(fèi),讓挖礦盈利變得非常之難。而通過劫持企業PC和服務器,他們可以省去(qù)這兩筆巨大(dà)的開(kāi)支。

  如果你能充分(fēn)利用大(dà)型多路CPU,那就比用某人的筆記本電(diàn)腦要好得多。公司企業可以将不正常的CPU使用率當成比特币挖掘正在進行的指标。

  但即便行爲分(fēn)析系統,也檢測不出全部的無文件攻擊。總要等注意到異常事件開(kāi)始發生(shēng),比如某用戶賬戶被黑并開(kāi)始連接大(dà)量之前根本沒通信過的主機,才會開(kāi)始響應。

  很難在攻擊觸發警報前捕獲它們,要不然就是它們的動作是行爲分(fēn)析算法不關注的。如果對手在低調和慢(màn)速上下(xià)足功夫,就更加難以檢測到攻擊。從所觀測到的現象看,這可能是因爲選擇偏差——因爲笨拙的類型最容易被看到,所以我(wǒ)們也就隻看到那些粗糙的攻擊了。隻要超級隐秘,誰都覺察不到。