梦幻的彼岸 发表于 2020-11-1 14:05:34

无文件攻击

何为无文件攻击
攻击者在利用这种技术实施攻击时,不会在目标主机的磁盘上写入任何的恶意文件,因此而得名“无文件攻击”

常用思路解析:
当攻击者通过消除将PE(可移植可执行文件)复制到磁盘驱动器的传统步骤来逃避检测时,就会发生无文件或无恶意软件的攻击。
常见技术


[*]漏洞利用和漏洞利用工具包
通常通过利用操作系统(OS)或已安装应用程序中存在的漏洞,直接在内存中执行攻击。
[*]无文件恶意软件的综合图表

[*]无文件攻击的工作原理

[*]2018过于无文件恶意软件攻击正在上升的报告
[*]使用盗用的凭证
其是发起无文件攻击的另一种普遍方法。Verizon在其2017年的DBIR(数据泄露调查报告)中发现,81%的数据泄露涉及弱口令、默认口令或被盗口令,比上一年增加了18%。这使得攻击者能够像普通用户一样访问系统。
[*]依赖操作系统本身提供的工具
一旦实现初步突破,对手就可以依赖操作系统本身提供的工具,如Windows管理工具和Windows PowerShell,以执行进一步的操作,而不必将文件保存到磁盘。例如,它们可以通过在注册表、内核中隐藏代码,或者通过创建允许它们随意访问系统的用户帐户来建立持久化,而无需向磁盘写入任何内容。

在安全行业,对上述这些技术的使用,通常被称为“living off the land”(离地生存?生存手段?)。
主要类型
三种主要类型的无文件威胁,根据它们分析在受感染的计算机上留下多少痕迹。

[*]类型 I:未执行任何文件活动
完全无文件的恶意软件可以被视为从来不需要在磁盘上写入文件的恶意软件。此类恶意软件首先会如何感染计算机?例如,目标计算机接收利用永恒蓝漏洞的恶意网络数据包。该漏洞允许安装 DoublePulsar 后门,该后门最终仅驻留在内核内存中。在这种情况下,没有文件或任何数据写入文件。
受损设备也可能隐藏在设备固件(如 BIOS)、USB 外围设备(如 BadUSB 攻击)或网卡固件中的恶意代码。所有这些示例都不需要在磁盘上运行文件,理论上只能生活在内存中。恶意代码将在重新启动、磁盘重格式化和操作系统重新安装后生存。
这种类型的感染可能特别难以检测,因为大多数防病毒产品没有检查固件的能力。如果产品确实能够检查和检测恶意固件,则在此级别的威胁补救方面仍然存在重大挑战。这种类型的无文件恶意软件需要高度的复杂程度,并且通常取决于特定的硬件或软件配置。它不是一个攻击媒介,可以轻松可靠地利用。虽然这种威胁很危险,但在大多数攻击中并不常见,也并不实际。
[*]类型 II:间接文件活动
恶意软件还可以通过其他方法在计算机上实现无文件状态,而无需大量工程工作。这种类型的无文件恶意软件不会直接在文件系统上写入文件,但它们最终可能会间接使用文件。例如,使用Poshspy 后门攻击者在WMI 存储库中安装了恶意 PowerShell 命令,并配置了 WMI 筛选器以定期运行该命令。
可以通过命令行进行此类安装,而无需在文件上已有后门。恶意软件可以安装和理论上运行,而无需接触文件系统。但是,WMI 存储库存储在 CIM 对象管理器管理的中央存储区域的物理文件中,并且通常包含合法数据。即使感染链在技术上确实使用物理文件,它被视为无文件攻击,因为 WMI 存储库是一个无法检测和删除的多用途数据容器。
[*]III 类型:操作所需的文件
某些恶意软件可以具有某种无文件持久性,但不是不使用文件来操作。此方案的示例是 Kovter,它为随机文件扩展名在注册表中创建 shell open 谓词处理程序。使用此类扩展名打开文件将导致通过合法工具 mshta.exe 执行脚本。

调用 open 谓词时,将启动注册表中的关联命令,这将导致执行一个小脚本。此脚本从另一个注册表项读取数据并执行它,进而导致加载最终有效负载。但是,要首先触发打开的谓词,Kovter 必须删除一个具有动词所针对的相同扩展名的文件(在上面的示例中,扩展名为 .bbf5590fd)。它还必须设置一个自动运行密钥,该密钥配置为在计算机启动时打开此类文件。
Kovter 被认为是无文件威胁,因为文件系统没有实际用途。具有随机扩展的文件包含垃圾数据,这些数据在验证是否存在威胁时无法使用。存储注册表的文件是容器,如果存在恶意内容,则无法检测到并删除这些容器。



攻击方法
技术一:恶意文档
其实一开始,很多安全研究专家所称之为的“无文件攻击”实际上是会涉及到文档文件的。在这种场景下,攻击者需要使用到恶意文档(例如电子邮件附件),目的有以下几种:

[*文档作为携带其他文件的容器,灵活性更好。比如说,攻击者可以在Microsoft Office文档中嵌入恶意JavaScript文件,喜欢社工技术的攻击者还可以诱导目标用户双击文件后执行嵌入的脚本等等。其他类型的文档还可以携带PDF和RTF等类型的文件,这种功能属于应用程序的一种特性,所以反病毒技术一般不会干扰其使用。
[*]文档还可以携带漏洞利用代码或Payload。如今,文档的复杂程度越来越高,因此提供的攻击面也就越来越广。在这种场景下,漏洞利用代码可以直接在目标设备的内存中运行绑定的Shellcode,并给攻击者提供文件系统的完整读写权限。
[*]文档还可以执行恶意攻击流程并实现初始感染。现代文档提供了强大的脚本功能支持,比如说Microsoft Office能够执行VBA宏文件,这种功能将允许攻击者在不需要编译恶意可执行程序的情况下在目标主机上实现恶意逻辑,而这种技术利用的就是反病毒工具无法区分脚本代码恶意性的缺陷。除此之外,脚本还可以启动程序或下载恶意代码。

技术二:恶意脚本
为了不将恶意代码编译成传统的可执行文件,攻击者会在攻击过程中使用具有“无文件”性质的“脚本文件”。除了文档支持脚本之外,像上面提到的Microsoft Office产品同样支持脚本功能,这就给攻击者提供了以下几个优势:

[*]他们可以在不受某些应用程序限制的情况下与操作系统进行交互。
[*]和恶意可执行程序相比,脚本可以增强反恶意软件产品检测和控制的难度。
[*]脚本可以更加方便攻击者将攻击逻辑分散到多个攻击步骤中实现,以躲避某些基于行为分析的安全检测机制。
[*]可以通过代码混淆来增加安全分析的难度,并绕过反病毒技术

技术三:无需任何依赖组件

[*]每次谈到无文件攻击,或多或少都会涉及到滥用Microsoft Windows实用工具的情况。这些工具允许攻击者在不需要编译恶意可执行文件的情况下实现攻击步骤的推进。
[*]只要攻击者的恶意代码能够与目标主机的本地程序交互,他们就可以利用操作系统的内置工具来下载额外的恶意组件,启动脚本、窃取数据、实现横向渗透以及实现持续感染。这些工具包括但不仅限于regsvr32.exe、rundll32.exe、certutil.exe和schtask.exe等等。
[*]值得注意的是,在操作系统的内置工具中,WMI则是重灾区,WMI内置于操作系统中,并允许攻击者通过wmic.exe并配合PowerShell脚本直接跟终端进行交互。

技术四:内存中的恶意代码

[*]毫无疑问,扫描磁盘文件肯定是反病毒产品必备的“技能”了,但是检测内存中的恶意代码可就不一定了。内存是动态变化的,这也给恶意软件提供了可乘之机。
[*]内存渗透技术允许攻击者绕过大多数反病毒控制策略,包括应用程序白名单。虽然反病毒工具会尝试捕捉内存注入行为,但是攻击者的持续感染能力仍然会限制反病毒工具的效果。

按感染主机对无文件威胁进行分类
深入挖掘细节,并提供感染主机的细目。此全面分类涵盖了通常称为无文件恶意软件的全景图。它推动我们努力研究和开发新的保护功能,以中和攻击类别,并确保恶意软件不会在军备竞赛中占上风。


利用

[*]基于文件(类型 III:可执行文件、闪存、Java、文档):
初始文件可以利用操作系统、浏览器、Java 引擎、Flash 引擎等来执行 shellcode 并在内存中提供有效负载。当有效负载是无文件的时,初始条目向量是一个文件。
[*]基于网络(类型 I):
利用目标计算机中的漏洞的网络通信可以在应用程序或内核的上下文中实现代码执行。一个例子是 WannaCry,它利用 SMB 协议中以前修复的漏洞在内核内存中提供后门。
硬件
[*]基于设备的(类型 I:网卡、硬盘):
硬盘和网卡等设备需要芯片组和专用软件才能正常工作。驻留在设备芯片组中并运行的软件称为固件。虽然是一个复杂的任务,固件可以感染恶意软件,因为方程间谍组已被捕获做。
[*]基于 CPU(类型 I):
现代 CPU 很复杂,可能包括出于管理目的运行固件的子系统。此类固件可能容易受到劫持,并允许执行从 CPU 内部操作的恶意代码。2017 年 12 月,两位研究人员报告了一个漏洞,攻击者可以允许攻击者在英特尔的任何现代 CPU 中的管理引擎 (ME)内执行代码。同时,观察到攻击者组 PLATINUM 能够使用英特尔的主动管理技术(AMT)执行不可见的网络通信,绕过已安装的操作系统。ME 和 AMT 本质上是位于 CPU 内的自主微型计算机,其运行水平非常低。由于这些技术的目的是提供远程可管理性,因此它们可以直接访问硬件,独立于操作系统,并且即使计算机已关闭,也可以运行。

除了在固件级别易受攻击之外,CPU 还可以通过直接插入硬件电路中的后门进行制造。这次袭击在过去已经得到研究,并证明有可能。据报道,某些型号的 x86 处理器包含一个二级嵌入式 RISC 型 CPU内核,可以有效地提供后门,通过该后门,常规应用程序可以获得特权执行。
[*]基于 USB(类型 I):
各种 USB 设备都可以重新编程,使用恶意固件,能够以邪恶的方式与操作系统交互。例如,BadUSB 技术允许重新编程的 USB 记忆棒充当键盘,通过击键向计算机发送命令,或者充当可以按代方向重定向流量的网卡。
[*]基于 BIOS(类型 I):
BIOS 是芯片组内运行的固件。当计算机通电时,它会执行,初始化硬件,然后将控制权转移到引导扇区。BIOS 是一个重要组件,在低级别运行并在引导扇区之前执行。有可能用恶意代码重新编程BIOS固件,就像过去在Mebromi rootkit 中发生过的一样。
[*]基于虚拟机管理程序(类型 I):
现代 CPU 提供硬件虚拟机管理程序支持,允许操作系统创建健壮的虚拟机。虚拟机在封闭的模拟环境中运行,理论上不知道仿真。恶意软件接管计算机可能会实现一个小虚拟机管理程序,以隐藏在正在运行的操作系统领域之外。这种恶意软件在过去已被理论化,最终观察到真正的虚拟机管理程序根工具包,尽管迄今已知的恶意软件很少。
执行和注射
[*]基于文件(类型 III:可执行文件、DLL、LNK 文件、计划任务):
这是标准执行向量。简单的可执行文件可以作为第一阶段恶意软件启动,以在内存中运行额外的有效负载,或注入其他合法运行的进程。
[*]基于宏(类型 III:办公室文档):
VBA 语言是一种灵活而强大的工具,旨在自动编辑任务和向文档添加动态功能。因此,攻击者可能会滥用它执行恶意操作,如解码、运行或注入可执行有效负载,甚至实现整个勒索软件,例如 qkG。宏在 Office 流程(例如 Winword.exe)的上下文中执行,并以脚本语言实现。防病毒软件无法检查二进制可执行文件。虽然 Office 应用需要用户明确同意才能执行文档中的宏,但攻击者使用社交工程技术诱使用户允许宏执行。
[*]基于脚本(类型 II:文件、服务、注册表、WMI 存储库、shell):
默认情况下,JavaScript、VBScript 和 PowerShell 脚本语言在 Windows 平台上可用。脚本具有与宏相同的优势,它们是文本文件(不是二进制可执行文件),在解释器的上下文中运行(如 wscript.exe,powershell.exe),这是一个干净且合法的组件。脚本用途广泛,可以从文件(通过双击它们)运行,或直接在解释器的命令行上执行。在命令行上运行允许恶意软件将恶意脚本编码为自动运行注册表项中的自动启动服务,作为 WMI存储库中的 WMI 事件订阅。此外,已访问受感染计算机的攻击者可以在命令提示符上输入脚本。
[*]基于磁盘(类型 II:启动记录):
启动记录是磁盘或卷的第一个扇区,包含启动操作系统启动过程所需的可执行代码。像Petya这样的威胁可以通过用恶意代码覆盖它来感染引导记录。启动计算机后,恶意软件立即获得控制。引导记录驻留在文件系统外部,但操作系统可以访问它。现代防病毒产品能够扫描和还原它。

案例刨析
通过展示CrowdStrike Services事件响应团队发现的一个真实的案例,了解无文件入侵是什么样子。
在本例中,首个目标是使用Microsoft ISS并运行SQL服务器数据库的web服务器。对于最初的入侵,攻击者使用了一个web shell,一个可以被上传到web服务器并在其上执行的简短脚本。脚本可以用web服务器支持的任何语言编写,比如Perl、Python、ASP或PHP。Web Shell在此类攻击中很流行,因为它们可以通过利用系统上存在的漏洞直接加载到内存中,而无需将任何内容写入磁盘。在这一特定的攻击中,对手使用SQL注入,将其web shell嵌入到服务器。
WEB Shell允许使用web浏览器来远程访问系统。它们可以用ASP或PHP或任何其他web脚本语言编写,代码可以非常小。如下所示:

由于web服务器没有正确检查转义字符,攻击者能够简单地将web shell回传到服务器上。所用的web shell,名为“China Chopper”(中国菜刀/直升机),包含了JavaScript命令,值得注意的是它只使用了72个字符。在内存中执行web shell,使攻击者能够使用Chopper用户界面,对web服务器执行任意命令。通过对web服务器的完全远程访问,攻击者通过执行编码的PowerShell命令,来窃取凭据。
第一步是从远程服务器下载脚本,将脚本直接加载到内存中,然后执行它。这个脚本反过来窃取了缓存在web服务器内存中的所有纯文本密码。在几秒钟内,攻击者获得了系统上所有帐户的多个用户名和密码。
PowerShell是一个合法的Windows工具,它允许攻击者在受损系统上执行任何操作,而不必在磁盘上写入恶意软件。为了进一步做混淆,攻击者可以对其PowerShell脚本进行编码,如下所示:

下一步是让攻击者在服务器上实现持久化。为了在不需要任何恶意软件的情况下执行此操作,攻击者使用了一种称为“粘滞键”(Sticky Keys)的技术。通过修改Windows注册表中的一行,攻击者可以使用PowerShell或WMI命令,轻松完成此操作,从而将Windows屏幕键盘进程,设置为调试模式。
粘滞键(Sticky Keys)是使攻击者无需登录凭据即可访问命令shell的注册表项。如下所示:

当设置为调试模式时,屏幕键盘允许具有远程访问权限的任何人,以系统权限打开命令行,而无需登录。一旦设置了该注册表项,攻击者可以通过打开到web服务器的远程桌面连接,随时返回。此外,访问系统而不在Windows事件历史记录中生成登录事件,会使攻击者的行为几乎无法追踪。
现在小结一下,本案例中,在不同的攻击阶段所使用的文件技术包括:
初始入侵:
针对Web服务器的SQL注入攻击;
命令与控制(C2):
“中国菜刀/直升机”的Web Shell;
提升权限:
使用PowerShell脚本转储凭据;
建立持久化:
修改注册表粘滞键技术。
无文件攻击工具展示
从上面的案例中,我们已经了解了端到端的无文件攻击是如何发生的。在攻击过程中,对手还可以结合其他技术,使用无文件工具和方法。
无文件恶意软件经常使用的工具和技术包括:

[*]漏洞利用工具包
[*]利用合法工具,如WMI和PowerShell
[*]使用被盗凭证
[*]注册表驻留恶意软件
[*]内存型(Memory-only)恶意软件


1)漏洞利用工具包(Exploit kits)
漏洞利用是一种允许攻击者利用操作系统或应用程序漏洞来访问系统的技术。漏洞利用是一种高效的无文件技术,因为它们可以直接注入内存中,而无需将任何内容写入磁盘。
通过允许攻击者自动化和大规模执行初始突破,漏洞利用工具包使得攻击者的生活更轻松、工作更高效。所需要做的只是,诱使受害者进入漏洞利用工具包服务器,办法通常是网络钓鱼或社会工程。
这些工具包通常提供对许多漏洞的攻击,以及一个管理控制台,一旦成功利用漏洞,攻击者就可以控制失陷的系统。有些漏洞利用工具包甚至提供了扫描受害者系统中的漏洞的功能,因此可以快速构建并启动成功的漏洞攻击。
2)注册表驻留恶意软件
注册表驻留恶意软件是安装在Windows注册表中的恶意软件,以便在逃避检测的同时,保持持久性。第一种是Poweliks,此后就出现了许多变体。一些变体,如Kovter,使用了类似的注册表隐藏技术,来保持不被发现。Poweliks调用C2(命令和控制)服务器,攻击者可以从该服务器向受损系统发送进一步的指令。所有这些操作,都可以在没有任何文件写入磁盘的情况下进行。
3)内存型(Memory-only)恶意软件
有些恶意软件只存在于内存中,以逃避检测。新版本的Duqu蠕虫就是这种情况,它只驻留在内存中,不会被发现。Duqu 2.0有两个版本:第一个是后门,它允许攻击者在组织中站稳脚跟。如果攻击者认为目标值得攻击,他可以使用Duqu 2.0的高级版本,该版本提供了诸如侦察、横向移动、数据渗出等附加功能。Duqu2.0以成功攻破电信行业的公司以及至少一家知名的安全软件提供商而闻名。
4)无文件型勒索软件
甚至勒索软件攻击者,现在也在使用无文件技术,来实现他们的目标。在这类勒索软件中,恶意代码要么嵌入文档中以使用本机脚本语言(如宏),要么使用漏洞直接写入内存。然后,勒索软件使用合法的管理工具如PowerShell,来加密人质文件,而所有这些都不需要写入磁盘。
为何传统技术无法抵御无文件攻击
由于传统安全解决方案极难检测到无文件攻击,因此无文件攻击正在增加。让我们来看看,为什么当今市场上的一些端点保护技术,对这些无恶意软件入侵如此脆弱。

[*]传统防病毒(AV)
旨在寻找已知恶意软件的特征码。由于无文件攻击没有恶意软件,所以AV没有可检测的特征码。
[*]基于机器学习(ML)
的反恶意软件方法,在应对无文件攻击时,面临着与传统AV相同的挑战。ML动态分析未知文件,并将其区分为好的或坏的。但是我们已经注意到,在无文件攻击中,没有要分析的文件,因此ML无法提供帮助。
[*]白名单方法
包括列出一台机器上所有良好的进程,以防止未知进程执行。无文件攻击的问题在于,它们利用易受攻击的合法白名单应用程序,并利用内置的操作系统可执行文件。阻止用户和操作系统共同依赖的应用程序,并不是一个好的选项。
[*]使用失陷指标(IOC)工具
来防止无文件攻击也不是很有效。本质上,IOC类似于传统的AV签名,因为它们是攻击者留下的已知恶意制品。然而,由于它们利用合法的进程,并且在内存中操作,所以无文件攻击不会留下制品,因此IOC工具几乎找不到任何东西。
[*]另一种方法涉及沙箱
它可以采取多种形式,包括基于网络的爆破和微虚拟化。由于无文件攻击不使用PE文件,因此沙盒没有什么可爆破的。即便真有东西被发送到沙箱,因为无文件攻击通常会劫持合法进程,大多数沙箱也都会忽略它。

CrowdStrike的解决方案
如我们所看到的,如果您依赖基于签名的方法、沙盒、白名单甚至机器学习保护方法,那么想检测无文件技术是非常有挑战性的。
为了抵御秘密的、无文件的攻击,CrowdStrike独特地将多种方法结合到一个强大的集成式方法中,提供了无与伦比的端点保护。CrowdStrike Falcon平台通过单个的轻量级代理提供了云原生的下一代端点保护,并提供一系列互补的预防和检测方法:

[*]应用程序清单(Application inventory):
[*]可以发现在您的环境中运行的任何应用程序,帮助您找到漏洞,以便您可以修补或更新它们,使之不会成为漏洞利用工具包的目标。
[*]漏洞利用阻断(Exploit blocking):
[*]通过未修补漏洞的漏洞利用方法,来阻断无文件攻击的执行。
[*]攻击指标(IOA,Indicators of Attack):
[*]在攻击的早期阶段,识别并阻止恶意活动,以免其完全执行并造成损害。此能力还可以防止那些新的勒索软件类别,那些勒索软件不使用文件加密受害者系统。
[*]托管狩猎(Managed hunting):
[*]全天候地主动搜索由于无文件技术而产生的恶意活动。

IOA(攻击指标)为何引人注目
IOA之所以引人注目,是因为它们提供了针对无文件攻击的独特的主动预防能力。IOA寻找攻击可能正在进行的迹象,而不是关心攻击的步骤是如何执行的。这些迹象可以包括代码执行、试图隐身、横向移动等等。如何启动或执行这些步骤对IOAs来说并不重要。例如,对于IOA来说,一个活动是从驱动器上复制的文件启动的,还是从无文件技术启动的,都无关紧要。IOA关注的是所执行的行为、它们之间的关系、它们的顺序、它们的依赖性,将它们视为揭示一系列事件背后真实意图和目的的指标。IOA不关注攻击者使用的特定工具和恶意软件。
此外,在无文件攻击的情况下,恶意代码可以利用诸如PowerShell之类的合法脚本语言,而无需写入磁盘。正如我们所看到的,这对于基于签名的方法、白名单、沙箱甚至机器学习来说都是一个挑战。相比之下,IOA检测恶意软件或攻击完成其任务所必须执行的事件序列。这可以暴露最隐秘的无文件方法,因此它们可以被迅速处理。
最后,由于IOA会查看意图、上下文、活动序列,因此即使恶意活动是使用合法帐户实施的,也可以检测和阻止这些活动,攻击者使用窃取的凭据时通常会出现这种情况。
所有这些使得IOA成为防止无文件恶意软件攻击的突破口。IOA不再基于磁盘上可执行文件的存在与否,来开展无文件攻击这场徒劳的战斗,而是在造成任何损害之前监视、检测、阻止此类攻击的影响。
托管狩猎
托管狩猎(Managed Hunt)是针对文件攻击的另一种独特而有效的防御措施。Falcon OverWatch(猎鹰看守)是Falcon平台的威胁搜索组件,它提供了一个额外的保护层,来抵御无文件攻击。
利用Falcon平台的强大功能,OverWatch(看守)团队全天候主动狩猎威胁,监控客户的环境,并狩猎那些标准安全技术无法检测到但可能表明正在发生攻击的狡猾活动。Falcon OverWatch确保即使是最复杂和最隐蔽的攻击,也能在发生时被发现。它通过狩猎和识别难以检测的、复杂的、尖端的攻击,生成有意义的警报和精确的指导性补救建议,从而提高您对抗无文件技术的效率。
结论
由于漏洞利用工具包的存在,导致了攻击组合的高效性和易创建性,很可能会提高无文件黑客技术的普及率。不幸的是,鉴于传统杀毒软件无法阻止无文件攻击,犯罪黑客越来越可能将注意力集中在这些隐形技术上。因此,安全专家需要在他们的安全策略中,考虑无文件恶意软件和无文件攻击的存在。
正如本文所解释的那样,传统的安全措施在面对无文件攻击时可能不够有效,需要新的保护方法。CrowdStrike Falcon(猎鹰平台)提供了一种全面的解决方案,不仅可以防御无文件攻击,而且还可以很好地防御已知和未知的恶意软件威胁。

参考文章:

《Fileless threats》
《下一代终端安全攻防:无文件攻击白皮书》
《Who Needs Malware? How Adversaries Use Fileless Attacks To Evade Your Security》
《What is a fileless attack? How hackers invade systems without installing software》
《浅析无文件攻击》

lincosmos 发表于 2020-11-1 18:42:42

感谢普及知识。。。
页: [1]
查看完整版本: 无文件攻击