當紅隊已獲得靶標,為何你的殺軟依舊靜悄悄
這才攻防演練第三天,某家單位就接到指揮部通知,靶標丟失。
這家單位的安全負責人老李已經懵了,明明已經盡力做了安全防護,連終端殺軟都安裝了三個不同供應商產品,為什么結局還是來得這么快?關鍵是,三個殺軟和約好了一樣,靜悄悄地,連一條告警信息都沒有!
經外部專家歷時兩周的溯源,最終報告出來了。老李看著各種專業術語:域前置、遠控馬、反射加載、Payload、橫向移動……依舊不明白為什么殺軟不告警?
老李橫豎看了半夜,終于從字縫里看出來歪歪扭扭的幾個字——無文件攻擊。
無文件攻擊:來自黑客對殺軟的降維打擊
“無文件”攻擊的精髓在于“惡意程序文件不寫盤”,所以能從根本上繞過基于文件檢測技術的安全產品(比如殺軟)。一般而言,無文件攻擊分為“無文件投遞”和“無文件持久化”兩個階段。
"無文件投遞"指的是惡意程序被投遞到目標主機上這個過程中所使用的技術,主要針對殺軟的“實時防護”功能,惡意程序投遞階段如果按傳統的“先寫盤再運行”的方式,則大概率能被掃描到;但如果這個過程中沒有惡意程序文件寫盤,則能從根本上繞過“實時防護”。無文件投遞通常有利用腳本(如Powershell、JS等)遠程加載惡意程序、利用Loader反射加載PE文件與漏洞利用等三種主要方法。
“無文件持久化”指的是惡意程序已經植入到目標主機上,但需要保證每次主機重啟,惡意程序都能被重新運行起來,這個過程叫做“持久化”。按傳統的方式,持久化也需要“從磁盤啟動可執行文件”;但如果在這個階段沒有惡意程序從磁盤啟動,也能繞過“實時防護”。
殺軟為什么不告警?
上文提到的“實時防護”是主流殺軟的三大功能之一,其他兩個是文件掃描與主動防御。實時防護與文件掃描都是基于特征的文件檢測技術,主要針對寫入硬盤的文件進行檢測。但如果落盤文件沒有惡意代碼或惡意特征,殺軟難以檢出,也就沒有告警。
主動防御則是一種基于規則的行為檢測與攔截技術,通常作為實時防護的補充,在實時防護無法檢測某些威脅的時候能夠給予一定的兜底能力。但從實踐經驗來看,主動防御所發揮的作用有限,因為傳統殺軟的主動防御功能通常偏向于單個進程的單點行為檢測,在實戰中限制較為明顯。
針對殺軟這三大功能特點,在實戰對抗中,已經有比較成熟的方法去繞過,比如利用代碼混淆或移除殺軟檢測特征等來實現免殺。而無文件攻擊使用幾乎沒有惡意代碼/特征的文件,殺軟自然也就更無法檢出。
需要注意的是,無文件這個看似高階的攻擊技術已經越來越“平民化”,出現了諸多可輕松實現無文件攻擊的平臺,其中最知名的可能就是CobaltStrike平臺。此外,還有開源PoshC2平臺與新興的Sliver開源平臺,以及專注于Powershell無文件攻擊的Empire軟件等。
并且,無文件攻擊步驟之簡單,超乎你想象!來看一起真實的黑客攻擊案例。
案例
一份Word簡歷 HR點開就被“黑”
小燕(化名)是某企業HR,她根本沒想到,只是打開了一份名為“張xx-大客戶經理-7年經驗”的Word文檔,然后電腦就被“黑”了。
這是一起典型的無文件攻擊事件,黑客利用Word程序的宏功能發起攻擊,整個攻擊過程僅持續8秒,6步即完成:
- HR打開Word文檔,允許運行宏后,會運行文件中攜帶的VBA程序
- VBA宏通過加密協議反連C2,下載Shellcode代碼
- VBA宏啟動 Rundll32.exe 程序,這是操作系統可信程序
- 通過writeProcessMemory與CreateRemoteThread命令注入Shellcode
- 運行惡意代碼
- 寫入計劃任務,Powershell命令下載Shellcode,實現無文件持久化
這一攻擊過程可分為兩個階段:
步驟1~步驟5:屬于無文件投遞階段,黑客向目標投遞了一個看似正常的Word文件,Word中的宏僅僅是一個加載Shellcode的loader,實際的Shellcode是在loader運行時才反連C2下載,這是非常典型的利用反射加載手法實現的無文件投遞。整個過程中沒有新的惡意文件寫盤,且Shellcode也只會駐留在內存中,不會寫盤,所以,到目前為止殺軟都檢測不到,更不會告警。
利用Loader通過反射加載實現無文件攻擊的一般流程
步驟6:屬于無文件持久化階段,Word文檔利用宏寫入“計劃任務”,在開機后會自動執行一段命令,這段命令中嵌入了編碼后的Powershell腳本,會連接C2下載Shellcode并加載執行,典型的利用腳本遠程加載惡意代碼的技術手法,同樣沒有文件寫盤,完美繞過殺軟。
如果無文件攻擊不能被有效阻斷,那么后續攻擊行為將接踵而至:盜取密碼、獲取憑證、內網橫移、進入生產網、數據竊取……將給公司帶來不可預估的后果。包括APT、挖礦、勒索攻擊等網絡攻擊事件都有可能源自這一份小小的Word文檔。
那么遭遇無文件攻擊真的就只能束手就范嗎?下篇文章將從無文件攻擊原理出發,揭秘如何快速、有效地檢測并反制無文件攻擊,敬請關注!
