信息來(lái)源:FreeBuf
前言
2018年上半年,勒索軟件的傳播態(tài)勢(shì)依然十分嚴(yán)峻�����,同時(shí)無(wú)文件和PowerShell的攻擊數(shù)量激增���,已成為今年要重點(diǎn)關(guān)注的領(lǐng)域���。
近日,終端安全公司SentinelOne發(fā)布了“2018年上半年企業(yè)風(fēng)險(xiǎn)指數(shù)報(bào)告”�����,報(bào)告顯示:2018年1月至6月期間��,無(wú)文件攻擊次數(shù)增加了94%�;PowerShell攻擊從2018年5月的每1000個(gè)終端遭受2.5次攻擊飆升到6月的每1000個(gè)終端遭受5.2次攻擊����;勒索軟件傳播態(tài)勢(shì)依然十分嚴(yán)峻且上升速率很快,每1000個(gè)終端遭受攻擊的數(shù)量從1月的5.6極速上升至6月的14.4����。
無(wú)文件惡意軟件初探
SentinelOne的產(chǎn)品管理總監(jiān)和該報(bào)告的負(fù)責(zé)人Aviram Shmueli表示,無(wú)文件和PowerShell攻擊的激增在意料之中�����,這兩種攻擊方式對(duì)于想隱藏于系統(tǒng)之中�,進(jìn)行長(zhǎng)期惡意活動(dòng)和竊取數(shù)據(jù)的攻擊者而言特別有吸引力。
顧名思義,無(wú)文件惡意軟件會(huì)在感染目標(biāo)計(jì)算機(jī)時(shí)�����,不會(huì)在本地硬盤驅(qū)動(dòng)器上留下任何工件�����,從而輕松規(guī)避傳統(tǒng)的基于簽名和文件檢測(cè)的安全軟件�����。最為典型的無(wú)文件攻擊方式利用瀏覽器和相關(guān)程序(Java��、Flash或PDF閱讀器)中的漏洞��,或通過(guò)誘用戶點(diǎn)擊附件而實(shí)現(xiàn)網(wǎng)絡(luò)釣魚(yú)攻擊����。
在無(wú)文件惡意軟件攻擊情形中,惡意代碼在計(jì)算機(jī)的內(nèi)存中運(yùn)行�����,并調(diào)用Windows系統(tǒng)上已有的程序�����,如PowerShell和Windows Management Instrumentation(WMI),不會(huì)再目標(biāo)系統(tǒng)上增加或刪除任何文件���。
攻擊者使用Windows工具(如PowerShell)來(lái)保持對(duì)目標(biāo)系統(tǒng)的長(zhǎng)期控制����,因?yàn)闊o(wú)文件惡意軟件需要在目標(biāo)系統(tǒng)的內(nèi)存中運(yùn)行代碼�。每次重新啟動(dòng)終端時(shí),攻擊過(guò)程都會(huì)中斷�����。為了解決這個(gè)限制���,攻擊者會(huì)先遍歷一遍系統(tǒng)上的應(yīng)用程序,使用PowerShell在后臺(tái)打開(kāi)一個(gè)應(yīng)用程序����,如記事本或計(jì)算器,通過(guò)其占用的內(nèi)存運(yùn)行�。另一種確保長(zhǎng)期控制的方法是加載PowerShell腳本,該腳本指示目標(biāo)計(jì)算機(jī)在每次啟動(dòng)PC時(shí)重新加載惡意代碼并運(yùn)行����。
舉一些比較典型的例子:
卡巴斯基實(shí)驗(yàn)室在7月的博客文章中詳細(xì)介紹了PowerGhost無(wú)文件挖礦軟件��。PowerGhost是一個(gè)經(jīng)過(guò)混淆的PowerShell腳本���。首先,它通過(guò)各種方式被植入目標(biāo)系統(tǒng)的內(nèi)存匯總�����,并使用WMI工具和Mimikatz數(shù)據(jù)提取工具來(lái)提升權(quán)限并設(shè)置挖礦操作��。
最近�����,研究人員又發(fā)現(xiàn)了CactusTorch無(wú)文件惡意軟件�,它通過(guò)內(nèi)存直接運(yùn)行和加載惡意.NET文件。
類似的惡意活動(dòng)極速增加
SentinelOne的這份報(bào)告并不是唯一指出無(wú)文件/PowerShell惡意活動(dòng)大幅上升的聲音���。今年早些時(shí)候����,邁克菲發(fā)布的研究查詢查詢結(jié)果顯示����,僅在2017年第四季度與一年前同期相比��,無(wú)文件惡意軟件借助PowerShell進(jìn)行傳播和運(yùn)行的情況出現(xiàn)了267%的飆升���。
Aviram表示:“由于PowerShell中已經(jīng)安裝在Windows操作系統(tǒng)上,無(wú)需安裝任何其他東西即可進(jìn)行惡意活動(dòng)�。在可預(yù)見(jiàn)的未來(lái),黑客肯定會(huì)更加頻繁地使用這種方式��。同時(shí)攻擊的方式將越來(lái)越復(fù)雜��,并轉(zhuǎn)向更高級(jí)形式的網(wǎng)絡(luò)犯罪��。此外��,安全軟件對(duì)這種攻擊方式的防御很不完善����,需要大家重點(diǎn)關(guān)注���?!?
