揭秘無文件惡意軟件的入侵軌跡
多數人第一次看到“無文件惡意軟件”時都會心生疑問,沒有文件威脅行為者又如何實施攻擊呢?“無文件惡意軟件”這個詞首次出現在2012年到2014年之間,當時并未引發大眾關注,隨著惡意軟件開發者開始在攻擊中頻繁的使用這一技術,到2017年隨著網絡安全的概念深入人心,這個詞也被大眾所熟知。
無文件并不是真的不依靠文件
從字面來看,“無文件”惡意軟件很容易讓人誤以為攻擊者在使用該技術進行攻擊時不需要使用任何文件,顯然,這種理解是錯誤的!有一點需要明確,無文件惡意軟件有時候也會使用文件。
其實無文件惡意軟件并不是真的沒有文件,只是在大部分時間,它們通過保持隱身狀態來躲避檢查。通常無文件惡意軟件會使用計算機系統的內置工具來執行網絡攻擊,又或者說,無文件惡意軟件可以利用設備已安裝的軟件中存在的漏洞來執行攻擊,這種類型的惡意軟件不需要攻擊者將惡意代碼注入潛在受害者系統的硬盤驅動器即可成功。因此,無文件惡意軟件極難檢測,也極其危險。
實際上無文件惡意軟件是一種不存在磁盤上的威脅,通常當磁盤中存在惡意軟件時,它很容易就能被安全軟件檢測到。很顯然,攻擊者不希望他們的惡意軟件被檢測和分析,因此,想要達到無文件惡意軟件有效且保證用戶不對其進行分析的最佳方法是讓它不在磁盤上。
雖然它不在磁盤上,但是在大部分時間里,它們會潛藏在內存中,通過進駐內存來保持隱身狀態,這是一種隱蔽性極高的攻擊手法,多年來,老練的攻擊者使用各種技術將他們最邪惡的惡意軟件注入內存。
在各類無文件惡意軟件攻擊案例中,Frodo和The Dark Avenger極具代表性。Frodo 創建于 1989 年,最初開發它的起因只是想制造一次“無害的惡作劇”,最終,它被威脅行為者利用了。同年,Dark Avenger也被開發,這種攻擊可以保證每次在受感染的計算機上運行可執行文件時都會感染它們,甚至復制的文件也會被感染。
而今無文件惡意軟件在歷經多次的升級后已經變得十分先進,以至于它們注入內存的代碼可以執行并下載內存中的新代碼。無文件惡意軟件不需要文件即可啟動,但它確實需要修改它試圖攻擊的本地環境和工具,這也是使用無文件惡意軟件的一種更高級的方法。
威脅行為者使用這種技術來發動攻擊,安全軟件就很難弄清楚無文件惡意軟件正在執行什么,因為內存中發生了太多事情——正在運行的正常操作太多——以至于檢查和處理起來很復雜且難以處理。安全解決方案根本無法獲得是否發生惡意事件的基線,這就是無文件惡意軟件非常有效的原因。
難以檢測為何相對少見
不得不說對比其他惡意軟件攻擊,無文件惡意軟件要狡猾的多,但執行它要比傳統惡意軟件攻擊更為復雜,因為它對攻擊者的水平要求很高。這就是為什么一旦看到無文件惡意軟件攻擊時,它們通常與國家支持的威脅或最復雜的網絡犯罪分子有關。
為了獲得與傳統惡意軟件相同的功能和特性,無文件惡意軟件需要具有強大能力的創建者。他們面臨的挑戰除了設備內存中的有限空間,以及有限的磁盤空間可供其使用。
即便在入侵階段,無文件惡意軟件執行起來也有一定困難,因為攻擊者必須在內存中為它找到一個位置。這要求入侵者動作必須快,因為當系統重新啟動時,無文件惡意軟件會從內存中清除。為了有效,無文件惡意軟件攻擊者還需要正確的環境。
無文件惡意軟件攻擊的階段
與傳統的惡意軟件攻擊一樣,無文件惡意軟件攻擊的典型階段是:
第 1 階段:攻擊者獲得對受害者系統的遠程訪問權限。
第 2 階段:攻擊者獲取受感染環境的憑據。
第 3 階段:攻擊者為環境創建一個后門,不需要重復初始階段就可以返回。
第 4 階段:攻擊者準備通過將信息復制到一個位置,然后使用像Compact這樣的現成的系統工具壓縮來進行數據泄露。
最常見的無文件惡意軟件技術
在發起無文件惡意軟件攻擊前,威脅行為者需要訪問系統才能修改本機工具并發起攻擊,目前,被盜憑據仍然是攻擊者用來獲取訪問權限的最常用技術。所以當發生憑據被盜或用戶名被黑客入侵或信用卡信息被盜等事件時,就很有可能會接著發生無文件惡意軟件攻擊。
一旦無文件惡意軟件獲得了對系統的訪問權限,它就可以開始啟動傳統的惡意軟件。下面列出的技術在與無文件惡意軟件結合使用時往往會更成功:漏洞利用工具包、劫持的原生工具、注冊表駐留惡意軟件、勒索軟件
如何檢測無文件惡意軟件
檢測和擊敗無文件惡意軟件攻擊的最佳方法是采用一種具有多層防御態勢的整體方法。一個企業檢測無文件惡意軟件威脅的最佳實踐應該包括使用攻擊指標(IOAs)和妥協指標(IOCs),并利用其安全解決方案的威脅搜索能力。
由于無文件惡意軟件使用系統的內置工具來發動攻擊并掩蓋其蹤跡,因此網絡安全團隊必須了解、保持警惕并了解攻擊者在執行這些無文件惡意軟件攻擊時采用的不同方法。這一切都是為了讓試圖隱藏在系統內存中的網絡攻擊無處潛藏。
而防范無文件惡意軟件攻擊,最重要的就是對各種網絡安全威脅的及時更新,只有保持設備的安全防范狀態是最新的情況下才能更好的抵御無文件惡意軟件。
