标签:doc dos apt 了解 run vbscrip 事务 exchange code
我们如何将关于无文件攻击的模糊概念的讨论转变为建设性的特定对话?
安全性话语中的“无文件攻击”这个短语的存在表明了这类威胁的重要性。该术语源于讨论避免通过在磁盘上放置恶意文件来逃避检测的策略的需要。但是,为了应对无文件攻击的挑战,我们需要消除此术语的歧义,以了解其涵盖的各种技术,以便我们可以认识到它如何影响特定的环境和防御。
无文件攻击采用了多种策略,尽管存在反恶意软件控件(例如防病毒和应用程序白名单),攻击者仍可以通过这些策略来攻击端点。以下概述了此类攻击所涉及的方法,旨在为讨论无文件威胁带来清晰性和特异性。让我们研究一下构成无文件攻击的特定技术,以及为什么现有防御通常无法检测到它们。
许多专业人士将其归类为无文件攻击,通常涉及文档文件。在这种情况下,对手出于以下目的之一提供恶意文档(通常作为电子邮件附件):
尽管文档位于端点的文件系统上,但它们为对手提供了避免将传统的恶意可执行文件放置在磁盘上的机会。在许多情况下,作为无文件感染的一部分,文档直接导致在端点的内存中执行恶意代码。有关攻击者如何使用文档发起攻击的示例,请参阅Omri Moyal关于滥用Microsoft Office支持DDE的文章。对于另一种情况,请查看有关攻击者将自己插入对话以传播恶意软件的帖子。
与避免将恶意代码编译成传统可执行文件的目标一致,恶意软件作者在具有无文件属性的攻击期间依赖脚本。如上所述,除了文档本身支持的脚本之外,直接在Microsoft Windows上运行的脚本还为对手提供了以下优势:
Microsoft Windows包括用于PowerShell,VBScript,批处理文件和JavaScript的脚本解释器。攻击者为运行这些脚本而调用的工具包括powershell.exe,cscript.exe,cmd.exe和mshta.exe。通过增加适用于Linux的Windows子系统,Microsoft在端点上提供了更多脚本技术。有关企业限制滥用这些工具所面临挑战的示例,请参阅Gal Bitensky的帖子,其中讨论了Invoke-NoShell实用程序。
攻击者可以使用混淆脚本的框架,而无需自己实施这种逃避策略。这些措施包括Daniel Bohannon针对PowerShell的Invoke-Obfuscation和Invoke-DOSfuscation框架。要查看实际行动中的此类策略,请查看密涅瓦对Emotet的脚本混淆的分析。
关于无文件攻击的讨论通常包括滥用Microsoft Windows内置的众多实用程序。这些工具使攻击者可以从攻击的一个阶段跳到另一个阶段,而无需依赖已编译的恶意可执行文件。这种操作方式有时称为“搬离土地”。
一旦攻击者的恶意代码可以与本地程序进行交互(可能通过使用文档开始感染),攻击者就可以滥用操作系统内置的实用程序来下载其他恶意工件,启动程序和脚本,窃取数据,横向移动,保持持久性,和更多。攻击者为此目的而调用的许多工具包括regsvr32.exe,rundll32.exe,certutil.exe和schtasks.exe。有关攻击者以这种方式滥用的内置二进制文件,库和脚本的完整列表和说明,请参阅Oddvar Moe的LOLBAS项目。
操作系统内置的Windows Management Instrumentation(WMI)为攻击者提供了额外的生存机会。WMI允许对手借助wmic.exe可执行文件(和一些其他功能)以及使用脚本(例如PowerShell)与端点的大多数方面进行交互。由于这些操作仅涉及受信任的内置Windows功能,因此反恶意软件技术很难检测和限制它们。有关WMI如何协助无文件攻击的全面说明,请参见Matt Graeber的论文“滥用WMI构建持久,异步和无文件后门”。
攻击者依靠这种良性和受信任的实用程序,大大增加了逃避包括反病毒和应用程序白名单措施在内的反恶意软件工具的机会。有关此类技术的其他示例,请参阅Matthew Dunwoody对APT29使用WMI和PowerShell植入无文件后门程序的概述。
尽管检查磁盘上的文件是许多反恶意软件产品的强项,但它们常常与仅驻留在内存中的恶意代码作斗争。内存是易变的和动态的,使恶意软件有机会改变其形状或以其他方式在防病毒和类似技术的盲点运行。
一旦攻击者开始在端点上执行恶意代码(可能使用上述方法),攻击者就可以将恶意软件解压缩到内存中,而无需将工件保存到文件系统中。这可能涉及将代码提取到进程自己的内存空间中。在其他情况下,恶意软件会将代码注入受信任的流程,否则会将其注入良性流程。
内存中攻击技术的示例包括:
内存中技术使攻击者可以绕过许多反恶意软件控制,包括应用程序白名单。尽管防病毒工具试图捕获内存注入,但对手感染端点的一致能力突出了它们的局限性。Asaf Aprozper的CoffeeShot工具通过在Java中实现注入方法演示了这种检测尝试的脆弱性。
https://blog.minerva-labs.com/deconstructing-fileless-attacks-into-4-underlying-techniques
标签:doc dos apt 了解 run vbscrip 事务 exchange code
原文地址:https://www.cnblogs.com/mednspod/p/14149355.html