WF曲速未來揭露:無文件惡意軟件與SandBlast代理無匹配區(qū)塊鏈
無文件惡意軟件攻擊正在上升。因此,在這種復(fù)雜的攻擊形式上已經(jīng)寫了很多文章,因?yàn)樗鼈儾恍枰惭b任何惡意軟件來感染受害者的機(jī)器,所以能夠避開傳統(tǒng)的反病毒解決方案。相反,它們利用每臺(tái)計(jì)算機(jī)中存在的漏洞,并使用常用的系統(tǒng)工具(如WindowsManagementTable(WMI)或PowerShell)將惡意代碼注入到通常安全和可信的進(jìn)程中。
無文件惡意軟件攻擊正在上升。因此,在這種復(fù)雜的攻擊形式上已經(jīng)寫了很多文章,因?yàn)樗鼈儾恍枰惭b任何惡意軟件來感染受害者的機(jī)器,所以能夠避開傳統(tǒng)的反病毒解決方案。相反,它們利用每臺(tái)計(jì)算機(jī)中存在的漏洞,并使用常用的系統(tǒng)工具(如Windows Management Table(WMI)或PowerShell)將惡意代碼注入到通常安全和可信的進(jìn)程中。
最近在SandBlast Agent上發(fā)布的Behavioral Guard功能已被證明非常有效地增加了對(duì)無回避文件的惡意軟件的檢測。簡而言之,SandBlast Agent的行為保護(hù)是一種行為檢測引擎,可檢測并修復(fù)所有形式的惡意行為,利用取證來有效且唯一地識(shí)別未知的惡意軟件行為,并準(zhǔn)確地將惡意軟件歸類到其惡意軟件系列。這種強(qiáng)大的保護(hù)功能可以適應(yīng)惡意軟件隨時(shí)間的演變,可用于檢測和防止無限類型的攻擊,包括那些惡意使用合法腳本工具的攻擊。
自從引入Behavioral Guard以來,然后發(fā)現(xiàn)了許多高度回避的無文件攻擊。最近的一個(gè)案例,在客戶的PC上瘋狂地捕獲,是一個(gè)隱藏的無文件有效負(fù)載,隱藏在WMI的文件系統(tǒng)內(nèi)部,只有在特定事件時(shí)被Windows系統(tǒng)巧妙地調(diào)用并在后臺(tái)運(yùn)行,檢測到系統(tǒng)啟動(dòng)等。
這是通過創(chuàng)建一個(gè)永久的WMI事件消費(fèi)者對(duì)象來完成的,該對(duì)象將運(yùn)行PowerShell,這是一個(gè)由Microsoft提供的受信任和簽名的進(jìn)程,已在所有Windows操作系統(tǒng)上可用,并使用內(nèi)聯(lián)腳本檢測并將Windows憑據(jù)上載到公共云計(jì)算上的服務(wù)器服務(wù)。與傳統(tǒng)的基于簽名的惡意軟件不同,此攻擊深入到系統(tǒng)中,沒有將文件寫入磁盤,并且沒有在操作系統(tǒng)上運(yùn)行任何惡意或非法進(jìn)程。然而,盡管腳本具有混淆性,但我們的行為分析系統(tǒng)有效地檢測到了它,有助于檢測它。
實(shí)際上,攻擊者越來越多地使用腳本語言,因?yàn)樗鼈儽然谖募娜鎼阂廛浖欤菀咨伞4送猓_本為安全供應(yīng)商提供了更多困難。
腳本的詳細(xì)介紹
WINDOWS SCRIPTING概述
PowerShell是命令行的演變 - DOS shell和腳本環(huán)境的組合。它主要服務(wù)于系統(tǒng)和網(wǎng)絡(luò)管理員,便于本地和遠(yuǎn)程管理任務(wù)。管理員將其用于同時(shí)處理多個(gè)文件的進(jìn)程,自動(dòng)執(zhí)行和調(diào)度任務(wù),以及配置Windows組件和服務(wù)。它支持復(fù)雜的決策制定,并允許訪問各種數(shù)據(jù)源。它甚至可以構(gòu)建圖形用戶界面。
PowerShell現(xiàn)在是IT和服務(wù)器管理員的基本技能,通常在整個(gè)組織中部署maintenance腳本時(shí)使用。
那么黑客可以用PowerShell做些什么呢?
攻擊者可以像管理員一樣使用它:他們可以更改安全策略和代理設(shè)置,創(chuàng)建備份,分發(fā)軟件和工具,創(chuàng)建執(zhí)行任務(wù),控制遠(yuǎn)程計(jì)算機(jī),訪問和控制數(shù)據(jù)中心等等。
但PowerShell給予他們的遠(yuǎn)不止于此 - 它充分利用了它。網(wǎng)絡(luò)環(huán)境可用。對(duì)于腳本編寫者。他可以實(shí)現(xiàn)與經(jīng)驗(yàn)豐富的C#甚至C 開發(fā)人員相同的功能。它可以實(shí)現(xiàn)Win32操作,例如文件操作,網(wǎng)絡(luò)操作,運(yùn)行可執(zhí)行文件的內(nèi)存注入,加密操作等。這些是其他語言本身不提供的出色的遠(yuǎn)程管理工具。
PowerShell還允許base 64混淆。攻擊者可以將混淆的代碼直接寫入內(nèi)存,它將由PowerShell自動(dòng)解碼并從內(nèi)存中執(zhí)行,無需單個(gè)文件操作。
在過去幾年中,Windows PowerShell很少用于攻擊。這已發(fā)生巨大變化。
惡意軟件越來越多地使用Windows PowerShell和WMI。
無檔案的惡意軟件
在為鏈中越來越多的節(jié)點(diǎn)使用腳本之后,惡意軟件開始完全依賴腳本語言。
入口點(diǎn)或滲透仍然在Web級(jí)別處理,主要由Java Script處理。這一變化始于偵察階段,該階段展示了大量采用WMI和PowerShell等腳本語言。后來,他們還提供持久性,特權(quán)升級(jí),橫向移動(dòng),與C&C服務(wù)器的通信以及數(shù)據(jù)泄露。
到2015年第三季度,我們的客戶受到完全無文件,基于注冊表腳本的攻擊,如Poweliks,Powesploit,Empire,PowerWarm(Crigent)以及完全無文件的勒索軟件CoinVault的攻擊。這種現(xiàn)象始于2014年底,但僅在2015年底出現(xiàn)了大規(guī)模的比例。
無文件惡意軟件測試用例1
在圖1中,我們看到了PowerWarm(也稱為Crigent)的示例,作為新腳本無文件趨勢的示例。
圖1.PowerWarm(Crigent)
惡意軟件由文檔啟動(dòng),執(zhí)行a.vbs腳本,攻擊中使用的唯一文件。在大多數(shù)情況下,此腳本文件不會(huì)從光盤執(zhí)行,它在完全嵌入在文檔中的VBA上運(yùn)行并由MS Office執(zhí)行。這使得惡意軟件與用于滲透的第一個(gè)文檔完全無文件分開,通常是在網(wǎng)絡(luò)釣魚郵件中。
至于PowerShell,我們看到一個(gè)帶參數(shù)的模糊腳本。
這解釋為:
這里采取的行動(dòng)包括:
1. 持久性;
2. 隱藏DNS記錄中的通信。
3. 從兩個(gè)著名的在線匿名項(xiàng)目下載兩個(gè)額外的組件:Tor網(wǎng)絡(luò)和Polipo,一個(gè)個(gè)人網(wǎng)絡(luò)緩存/代理。它們是從合法存儲(chǔ)域下載的(例如DropBox)
4. 更改功能名稱并下載新代碼
5. 向攻擊者發(fā)送有關(guān)系統(tǒng)的信息。此信息包括:IP地址,國家/地區(qū),城市,郵政編碼,操作系統(tǒng)詳細(xì)信息,語言,域和已安裝的Office應(yīng)用程序。
無文件惡意軟件測試用例2
另一個(gè)例子是Kovter的演變。這個(gè)惡意軟件始于2013年,作為假警察通知勒索軟件。它使用可執(zhí)行文件來運(yùn)行和請(qǐng)求勒索。圖4說明了Kovter使用的簡單規(guī)避技術(shù)。惡意軟件會(huì)創(chuàng)建自己的實(shí)例鏈,最終是last.instance實(shí)際執(zhí)行惡意活動(dòng)的實(shí)例。
圖4.Kovter 2013
圖5.Kovter 2015年第1季度
2015年中期,使用類似于腳本惡意軟件Poweliks使用的技術(shù),出現(xiàn)了新版本的Kovter。
在這個(gè)版本中,Kovter啟動(dòng)了一個(gè)幾乎無文件的注冊表駐留版本。
圖6.File-Less Kovter2015年第3季度
我們可以看到它只使用注入的Windows二進(jìn)制文件來執(zhí)行,這與舊式惡意軟件不同,后者具有自己的內(nèi)置可執(zhí)行文件。這僅在最后階段,在引導(dǎo)之后以及來自C&C服務(wù)器的命令的結(jié)果中發(fā)生。
腳本功能
1.PowerShell和WMI工具及其強(qiáng)大的遠(yuǎn)程執(zhí)行選項(xiàng)為對(duì)手提供了“內(nèi)置橫向移動(dòng)”功能。它們?nèi)〈薖Sexec等遠(yuǎn)程執(zhí)行工具,PSexec在過去幾年中被廣泛用于此目的,并且可以通過簽名輕松檢測到。
2.腳本語言中的多態(tài)性非常容易實(shí)現(xiàn)。這使惡意軟件能夠逃避靜態(tài)簽名。
建議:
創(chuàng)建真實(shí)且可操作的自動(dòng)智能,一方面足夠詳細(xì),另一方面足夠概括,以克服多態(tài)性是唯一能夠快速反應(yīng)以阻止大型活動(dòng)的方法。廣告系列攔截需要足夠快,以觸發(fā)其開發(fā)的成本評(píng)估。
因此,當(dāng)在野外發(fā)現(xiàn)越來越多的無文件攻擊時(shí),重要的是組織要了解這些類型的攻擊的性質(zhì),以及通過傳統(tǒng)的反病毒保護(hù)檢測它們的難度。區(qū)塊鏈安全公司W(wǎng)F曲速未來表示:事實(shí)上,傳統(tǒng)的端點(diǎn)保護(hù)對(duì)于對(duì)這些產(chǎn)品完全抵抗的復(fù)雜方法毫無用處,甚至所謂的“下一代防病毒(NGAV)”解決方案也無法識(shí)別這些高度規(guī)避的攻擊。 SandBlast Agent中的行為守衛(wèi)在上述情況下證明了其目的,并將繼續(xù)這樣做,所有已知和未知的攻擊尚待發(fā)現(xiàn)。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
