信息來源:FreeBuf
前言
2018年上半年�,勒索軟件的傳播態(tài)勢依然十分嚴峻�,同時無文件和PowerShell的攻擊數(shù)量激增,已成為今年要重點關(guān)注的領(lǐng)域����。
近日,終端安全公司SentinelOne發(fā)布了“2018年上半年企業(yè)風險指數(shù)報告”�����,報告顯示:2018年1月至6月期間,無文件攻擊次數(shù)增加了94%�����;PowerShell攻擊從2018年5月的每1000個終端遭受2.5次攻擊飆升到6月的每1000個終端遭受5.2次攻擊����;勒索軟件傳播態(tài)勢依然十分嚴峻且上升速率很快��,每1000個終端遭受攻擊的數(shù)量從1月的5.6極速上升至6月的14.4�。
無文件惡意軟件初探
SentinelOne的產(chǎn)品管理總監(jiān)和該報告的負責人Aviram Shmueli表示,無文件和PowerShell攻擊的激增在意料之中���,這兩種攻擊方式對于想隱藏于系統(tǒng)之中�����,進行長期惡意活動和竊取數(shù)據(jù)的攻擊者而言特別有吸引力�����。
顧名思義�����,無文件惡意軟件會在感染目標計算機時���,不會在本地硬盤驅(qū)動器上留下任何工件�����,從而輕松規(guī)避傳統(tǒng)的基于簽名和文件檢測的安全軟件���。最為典型的無文件攻擊方式利用瀏覽器和相關(guān)程序(Java、Flash或PDF閱讀器)中的漏洞����,或通過誘用戶點擊附件而實現(xiàn)網(wǎng)絡(luò)釣魚攻擊。
在無文件惡意軟件攻擊情形中�����,惡意代碼在計算機的內(nèi)存中運行�����,并調(diào)用Windows系統(tǒng)上已有的程序�����,如PowerShell和Windows Management Instrumentation(WMI),不會再目標系統(tǒng)上增加或刪除任何文件�。
攻擊者使用Windows工具(如PowerShell)來保持對目標系統(tǒng)的長期控制,因為無文件惡意軟件需要在目標系統(tǒng)的內(nèi)存中運行代碼��。每次重新啟動終端時��,攻擊過程都會中斷�。為了解決這個限制��,攻擊者會先遍歷一遍系統(tǒng)上的應(yīng)用程序�����,使用PowerShell在后臺打開一個應(yīng)用程序�����,如記事本或計算器��,通過其占用的內(nèi)存運行�����。另一種確保長期控制的方法是加載PowerShell腳本���,該腳本指示目標計算機在每次啟動PC時重新加載惡意代碼并運行���。
舉一些比較典型的例子:
卡巴斯基實驗室在7月的博客文章中詳細介紹了PowerGhost無文件挖礦軟件��。PowerGhost是一個經(jīng)過混淆的PowerShell腳本�����。首先���,它通過各種方式被植入目標系統(tǒng)的內(nèi)存匯總,并使用WMI工具和Mimikatz數(shù)據(jù)提取工具來提升權(quán)限并設(shè)置挖礦操作�����。
最近�����,研究人員又發(fā)現(xiàn)了CactusTorch無文件惡意軟件���,它通過內(nèi)存直接運行和加載惡意.NET文件�。
類似的惡意活動極速增加
SentinelOne的這份報告并不是唯一指出無文件/PowerShell惡意活動大幅上升的聲音���。今年早些時候�����,邁克菲發(fā)布的研究查詢查詢結(jié)果顯示��,僅在2017年第四季度與一年前同期相比�����,無文件惡意軟件借助PowerShell進行傳播和運行的情況出現(xiàn)了267%的飆升���。
Aviram表示:“由于PowerShell中已經(jīng)安裝在Windows操作系統(tǒng)上,無需安裝任何其他東西即可進行惡意活動���。在可預(yù)見的未來���,黑客肯定會更加頻繁地使用這種方式。同時攻擊的方式將越來越復(fù)雜��,并轉(zhuǎn)向更高級形式的網(wǎng)絡(luò)犯罪�����。此外,安全軟件對這種攻擊方式的防御很不完善��,需要大家重點關(guān)注��?����!?
