TMT观察网_独特视角观察TMT行业

無文件惡意軟件攻擊正在上升。因此，在這種復雜的攻擊形式上已經寫了很多文章，因為它們不需要安裝任何惡意軟件來感染受害者的機器，所以能夠避開傳統的反病毒解決方案。相反，它們利用每臺計算機中存在的漏洞，并使用常用的系統工具(如Windows Management Table(WMI)或PowerShell)將惡意代碼注入到通常安全和可信的進程中。

最近在SandBlast Agent上發布的Behavioral Guard功能已被證明非常有效地增加了對無回避文件的惡意軟件的檢測。簡而言之，SandBlast Agent的行為保護是一種行為檢測引擎，可檢測并修復所有形式的惡意行為，利用取證來有效且唯一地識別未知的惡意軟件行為，并準確地將惡意軟件歸類到其惡意軟件系列。這種強大的保護功能可以適應惡意軟件隨時間的演變，可用于檢測和防止無限類型的攻擊，包括那些惡意使用合法腳本工具的攻擊。

自從引入Behavioral Guard以來，然后發現了許多高度回避的無文件攻擊。最近的一個案例，在客戶的PC上瘋狂地捕獲，是一個隱藏的無文件有效負載，隱藏在WMI的文件系統內部，只有在特定事件時被Windows系統巧妙地調用并在后臺運行，檢測到系統啟動等。

這是通過創建一個永久的WMI事件消費者對象來完成的，該對象將運行PowerShell，這是一個由Microsoft提供的受信任和簽名的進程，已在所有Windows操作系統上可用，并使用內聯腳本檢測并將Windows憑據上載到公共云計算上的服務器服務。與傳統的基于簽名的惡意軟件不同，此攻擊深入到系統中，沒有將文件寫入磁盤，并且沒有在操作系統上運行任何惡意或非法進程。然而，盡管腳本具有混淆性，但我們的行為分析系統有效地檢測到了它，有助于檢測它。

實際上，攻擊者越來越多地使用腳本語言，因為它們比基于文件的全面惡意軟件更快，更容易生成。此外，腳本為安全供應商提供了更多困難。

腳本的詳細介紹

WINDOWS SCRIPTING概述

PowerShell是命令行的演變 -  DOS shell和腳本環境的組合。它主要服務于系統和網絡管理員，便于本地和遠程管理任務。管理員將其用于同時處理多個文件的進程，自動執行和調度任務，以及配置Windows組件和服務。它支持復雜的決策制定，并允許訪問各種數據源。它甚至可以構建圖形用戶界面。

PowerShell現在是IT和服務器管理員的基本技能，通常在整個組織中部署maintenance腳本時使用。

那么黑客可以用PowerShell做些什么呢？

攻擊者可以像管理員一樣使用它：他們可以更改安全策略和代理設置，創建備份，分發軟件和工具，創建執行任務，控制遠程計算機，訪問和控制數據中心等等。

但PowerShell給予他們的遠不止于此 - 它充分利用了它。網絡環境可用。對于腳本編寫者。他可以實現與經驗豐富的C＃甚至C 開發人員相同的功能。它可以實現Win32操作，例如文件操作，網絡操作，運行可執行文件的內存注入，加密操作等。這些是其他語言本身不提供的出色的遠程管理工具。

PowerShell還允許base 64混淆。攻擊者可以將混淆的代碼直接寫入內存，它將由PowerShell自動解碼并從內存中執行，無需單個文件操作。

在過去幾年中，Windows PowerShell很少用于攻擊。這已發生巨大變化。

惡意軟件越來越多地使用Windows PowerShell和WMI。

無檔案的惡意軟件

在為鏈中越來越多的節點使用腳本之后，惡意軟件開始完全依賴腳本語言。

入口點或滲透仍然在Web級別處理，主要由Java Script處理。這一變化始于偵察階段，該階段展示了大量采用WMI和PowerShell等腳本語言。后來，他們還提供持久性，特權升級，橫向移動，與C＆C服務器的通信以及數據泄露。

到2015年第三季度，我們的客戶受到完全無文件，基于注冊表腳本的攻擊，如Poweliks，Powesploit，Empire，PowerWarm（Crigent）以及完全無文件的勒索軟件CoinVault的攻擊。這種現象始于2014年底，但僅在2015年底出現了大規模的比例。

無文件惡意軟件測試用例1

在圖1中，我們看到了PowerWarm（也稱為Crigent）的示例，作為新腳本無文件趨勢的示例。

圖1.PowerWarm（Crigent）

惡意軟件由文檔啟動，執行a.vbs腳本，攻擊中使用的唯一文件。在大多數情況下，此腳本文件不會從光盤執行，它在完全嵌入在文檔中的VBA上運行并由MS Office執行。這使得惡意軟件與用于滲透的第一個文檔完全無文件分開，通常是在網絡釣魚郵件中。

至于PowerShell，我們看到一個帶參數的模糊腳本。

這解釋為：

這里采取的行動包括：

1. 持久性；

2. 隱藏DNS記錄中的通信。

3. 從兩個著名的在線匿名項目下載兩個額外的組件：Tor網絡和Polipo，一個個人網絡緩存/代理。它們是從合法存儲域下載的（例如DropBox）

4. 更改功能名稱并下載新代碼

5. 向攻擊者發送有關系統的信息。此信息包括：IP地址，國家/地區，城市，郵政編碼，操作系統詳細信息，語言，域和已安裝的Office應用程序。

無文件惡意軟件測試用例2

另一個例子是Kovter的演變。這個惡意軟件始于2013年，作為假警察通知勒索軟件。它使用可執行文件來運行和請求勒索。圖4說明了Kovter使用的簡單規避技術。惡意軟件會創建自己的實例鏈，最終是last.instance實際執行惡意活動的實例。

圖4.Kovter 2013

圖5.Kovter 2015年第1季度

2015年中期，使用類似于腳本惡意軟件Poweliks使用的技術，出現了新版本的Kovter。

在這個版本中，Kovter啟動了一個幾乎無文件的注冊表駐留版本。

圖6.File-Less Kovter2015年第3季度

我們可以看到它只使用注入的Windows二進制文件來執行，這與舊式惡意軟件不同，后者具有自己的內置可執行文件。這僅在最后階段，在引導之后以及來自C＆C服務器的命令的結果中發生。

腳本功能

1.PowerShell和WMI工具及其強大的遠程執行選項為對手提供了“內置橫向移動”功能。它們取代了PSexec等遠程執行工具，PSexec在過去幾年中被廣泛用于此目的，并且可以通過簽名輕松檢測到。

2.腳本語言中的多態性非常容易實現。這使惡意軟件能夠逃避靜態簽名。

建議：

創建真實且可操作的自動智能，一方面足夠詳細，另一方面足夠概括，以克服多態性是唯一能夠快速反應以阻止大型活動的方法。廣告系列攔截需要足夠快，以觸發其開發的成本評估。

因此，當在野外發現越來越多的無文件攻擊時，重要的是組織要了解這些類型的攻擊的性質，以及通過傳統的反病毒保護檢測它們的難度。區塊鏈安全公司WF曲速未來表示：事實上，傳統的端點保護對于對這些產品完全抵抗的復雜方法毫無用處，甚至所謂的“下一代防病毒（NGAV）”解決方案也無法識別這些高度規避的攻擊。 SandBlast Agent中的行為守衛在上述情況下證明了其目的，并將繼續這樣做，所有已知和未知的攻擊尚待發現。