網絡罪犯不需要在你的系統里放上惡意軟件就能侵入。無文件/零足跡攻擊能夠利用合法應用,甚至利用操作系統本身,亦或逃過白名單的檢測機制,利用位于批準列表之上且已經安裝到機器上的應用,進行攻擊。
不過,“無文件”、“零足跡”和“非惡意軟件”這幾個術語,從技術上講都屬于用詞不準確的范疇,因為它們往往依賴用戶下載惡意附件文件的行為,且確實在計算機上留下了蹤跡——只要你知道該找尋什么。
實際上,完全零足跡的惡意軟件并不存在,因為有很多方法都可以檢測出惡意軟件——即便惡意軟件不把自身安裝到硬盤上。而且,它們并不能完全繞過反病毒工具。因為即使不安裝可執行程序,反病毒工具還是可以發現惡意附件或惡意鏈接。只是利用無文件攻擊的話,侵入系統的幾率會高,這才是真正的威脅所在。
無文件惡意軟件是越來越大的威脅
高級威脅防護廠商Carbon Black的首席技術官邁克·維斯庫索稱,無文件惡意軟件攻擊的比例,從2016年初的3%,上升到了去年11月的13%,且還在不斷攀升,幾乎每3起感染中就有1起帶有無文件組件。
鑒于不是所有的客戶都選擇阻止攻擊,而是選擇只報警,無文件攻擊的實際影響可能還要更大些。Carbon Black最近對上千名客戶250多萬臺終端做了分析,結果顯示:2016年,幾乎每一家公司都遭到過無文件攻擊。邁克表示,成功的攻擊中,超過半數都是無文件的。
蜜罐不失為一種防范無文件攻擊的好方法,便于觀察攻擊,然后追蹤攻擊者的目標和擴散方式。
從攻擊者方面看,在受害者計算機上安裝新軟件,是件很容易引起注意的事。
如果我放份文件在受害者電腦上,你會經歷多少審查?這正是為什么攻擊者選擇無文件攻擊或內存攻擊更讓人崩潰的原因。他們經歷的審查會少很多,攻擊成功率也就高得多。
而且,功能性上并沒有損失。載荷還是同樣的。舉個例子,如果攻擊者想發起勒索軟件攻擊,他們可以安裝二進制文件,或者直接用PowerShell。PowerShell功能強大,新應用能做的所有事它都能干。內存攻擊或用PowerShell進行的攻擊,沒有任何限制。
邁克菲也報告了無文件攻擊的上升。占據了無文件惡意軟件半壁江山的宏惡意軟件,從2015年底的40萬種,上升至今年第2季度的1100多萬種。增長原因之一,是包含此類漏洞利用的易用工具包的出現。
因此,之前主要限于民族國家及其他高級對手使用的無文件攻擊,就被民主化了,即使在商業攻擊中也很常見。網絡罪犯已經利用這個來傳播勒索軟件了。
為對抗此類攻擊,邁克菲和其他主流反病毒廠商,在傳統基于特征碼的防御措施上添加基于行為的分析。比如說,如果Word執行時出現了PowerShell連接,那就高度可疑了,可以隔離該進程,或者判定殺之。
無文件攻擊的運作機制
無文件惡意軟件利用已經安裝在用戶電腦上的應用,也就是已知安全的應用。比如說,漏洞利用工具包可以利用瀏覽器漏洞來讓瀏覽器執行惡意代碼,或者利用微軟Word宏,再不然還可以利用微軟的PowerShell功能。
NTT Security 威脅情報溝通團隊經理喬·海默爾稱:“已安裝軟件中的漏洞,是執行無文件攻擊的必要條件。于是,預防措施中最重要的一步,就是不僅僅更新操作系統,軟件應用的補丁也要打上。瀏覽器插件,是補丁管理過程中最容易忽略掉的應用,也是無文件感染最經常的目標。”
使用微軟Office宏的攻擊可以通過關閉宏功能加以挫敗。實際上,宏功能默認就是關閉的。用戶需要特意同意啟用這些宏,才可以打開被感染的文件。Rapid7研究主管陶德·比爾茲利稱:“一定比例的人依然會打開,尤其是攻擊者冒充受害者熟人的時候。”
Adobe PDF 閱讀器和JavaScript里的漏洞也是攻擊者的目標。Barracuda Networks 先進技術工程高級副總裁弗雷明·史稱:“有些偏執的人會關掉自己瀏覽器的JavaScript執行功能,想防止被感染,但往往是網站端被突破了。”
Virsec System 創始人兼CTO薩特雅·古普塔認為,最近的Equifax數據泄露事件,也是無文件攻擊的一個案例。該攻擊利用了 Apache Struts 中的指令注入漏洞。
此類攻擊中,脆弱應用沒有充分驗證用戶的輸入,而輸入中可能含有操作系統指令。因此,這些指令就會在受害機器上以該脆弱應用的權限執行。
不檢查應用執行路徑以判斷應用是否真實的反惡意軟件解決方案,都會被該機制騙過。打補丁本可以防止該數據泄露的發生,因為3月份補丁就已經發布了。
今年早些時候,某無文件攻擊感染了140多家企業,包括40個國家的銀行、電信公司和政府機構。卡巴斯基實驗室在這些企業網絡的注冊表里,發現了惡意PowerShell腳本。卡巴斯基稱,該攻擊只能在RAM、網絡和注冊表中被檢測到。
Carbon Black表示,另一起備受關注的無文件攻擊,就是美國民主黨全國委員會(DNC)黑客事件了。對于那些想要盡可能長時間不被發現的攻擊者,無文件攻擊可幫助他們免受檢測。
火眼稱:“我們觀察到很多網絡間諜利用該技術試圖規避檢測。最近的攻擊包括了中國和朝鮮黑客團隊進行的那些。”
無文件攻擊的一種新型商業應用,是用被感染機器來挖掘比特幣金礦。eSentire創始人兼首席安全策略師埃爾頓·斯普里克霍夫稱:“加密貨幣挖掘者試圖運行直接加載到內存的挖礦機,利用‘永恒之藍’在公司里傳播成千上萬的挖礦機。”
比特幣挖掘的難度隨時間流逝而增加,挖掘難度增速比該虛擬貨幣的升值速度快得多。比特幣挖掘者不得不購置專門的硬件并支付高昂電費,讓挖礦盈利變得非常之難。而通過劫持企業PC和服務器,他們可以省去這兩筆巨大的開支。
如果你能充分利用大型多路CPU,那就比用某人的筆記本電腦要好得多。公司企業可以將不正常的CPU使用率當成比特幣挖掘正在進行的指標。
但即便行為分析系統,也檢測不出全部的無文件攻擊。總要等注意到異常事件開始發生,比如某用戶賬戶被黑并開始連接大量之前根本沒通信過的主機,才會開始響應。
很難在攻擊觸發警報前捕獲它們,要不然就是它們的動作是行為分析算法不關注的。如果對手在低調和慢速上下足功夫,就更加難以檢測到攻擊。從所觀測到的現象看,這可能是因為選擇偏差——因為笨拙的類型最容易被看到,所以我們也就只看到那些粗糙的攻擊了。只要超級隱秘,誰都覺察不到。
京公網安備 11010502049343號