揭密無文件勒索病毒攻擊,思考網(wǎng)絡(luò)安全新威脅 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2019-11-05 瀏覽次數(shù): |
信息來源:Free Buf 最近幾年基于無文件攻擊的網(wǎng)絡(luò)犯罪活動(dòng)越來越多,一些網(wǎng)絡(luò)犯罪團(tuán)伙開發(fā)了各種基于無文件攻擊的惡意軟件攻擊套件,這些惡意軟件攻擊套件可用于勒索病毒、挖礦病毒、RAT遠(yuǎn)控、僵尸網(wǎng)絡(luò)等惡意軟件,在過去的幾年時(shí)間里,無文件感染技術(shù)已經(jīng)成為了終端安全新威脅,同時(shí)無文件技術(shù)也被廣泛應(yīng)用于各類APT攻擊活動(dòng) 可以預(yù)見,在未來基于無文件攻擊的網(wǎng)絡(luò)犯罪活動(dòng)依然會(huì)持續(xù)增加,并將成為主流的網(wǎng)絡(luò)攻擊方式之一,網(wǎng)絡(luò)攻擊犯罪團(tuán)隊(duì)可以通過這種方式,在受害者主機(jī)上留下最少的犯罪痕跡,受害者主機(jī)上無落地的PE惡意軟件,惡意軟件作者通過采用這種無文件攻擊的方式逃避或推遲一些安全廠商安全產(chǎn)品的檢測(cè),因?yàn)椴还苁莻鹘y(tǒng)的PE殺毒檢測(cè)引擎,還是現(xiàn)在流行的AI人工智能PE檢測(cè)引擎針對(duì)這類無文件的攻擊樣本的檢測(cè),基本上是沒有什么效果的,筆者給大家介紹一些基于無文件攻擊的網(wǎng)絡(luò)犯罪活動(dòng)中傳播勒索病毒的案例,這類型的勒索病毒都是使用無文件類型的攻擊方式勒索加密受害者主機(jī)上的文件,這些無文件類型的勒索病毒不管是傳統(tǒng)的PE文件檢測(cè)或基于AI的PE文件檢測(cè),都是沒辦法第一時(shí)間檢測(cè)出來的,目前也有一些安全廠商開發(fā)了一些基于非PE文件檢測(cè)的引擎,可以檢測(cè)一些Office(漏洞)、PDF漏洞、Flash漏洞、JS、VBS、BAT腳本等,不過大多數(shù)這類檢測(cè)引擎效果不太好,非PE類的文件變種實(shí)在太多了,新的漏洞利用技術(shù),新的腳本混淆技術(shù)層出不窮,無法做到第一時(shí)間有效的檢測(cè),而且還需要專業(yè)的安全分析人員提取相應(yīng)的特征。 GandCrab勒索病毒 GandCrab勒索病毒大家已經(jīng)非常熟悉了,此勒索病毒是全球危害最大擴(kuò)散最廣的勒索病毒,該勒索病毒此前利用無文件的形式發(fā)起網(wǎng)絡(luò)攻擊活動(dòng),主要的攻擊流程,如下: GandCrab勒索病毒惡意JS腳本代碼,如下所示: JS腳本運(yùn)行之后解密調(diào)用PowerShell腳本,如下所示: PowerShell調(diào)用執(zhí)行另外一個(gè)加密的PowerShell腳本,加密的PowerShell腳本最后加載GandCrab的核心Payload代碼到內(nèi)存中執(zhí)行,勒索加密主機(jī) GandCrab勒索病毒PowerShell腳本內(nèi)容,如下所示: Sobinokibi勒索病毒 Sodinokibi勒索病毒在國內(nèi)首次被發(fā)現(xiàn)于2019年4月份,2019年5月24日首次在意大利被發(fā)現(xiàn),在意大利被發(fā)現(xiàn)使用RDP攻擊的方式進(jìn)行傳播感染,這款病毒被稱為GandCrab勒索病毒的接班人,在GandCrab勒索病毒運(yùn)營團(tuán)隊(duì)停止更新之后,就馬上接管了之前GandCrab的傳播渠道,經(jīng)過近半年的發(fā)展,這款勒索病毒使用了多種傳播渠道進(jìn)行傳播擴(kuò)散,包含利用各種WEB漏洞、Flash漏洞、釣魚郵件、水坑攻擊,漏洞利用工具包下載執(zhí)行腳本等方式,此勒索病毒利用釣魚郵件發(fā)起無文件網(wǎng)絡(luò)攻擊活動(dòng),主要的攻擊流程,如下: Sobinokibi勒索病毒惡意JS腳本代碼,如下: JS腳本運(yùn)行之后調(diào)用PowerShell腳本,如下: PowerShell調(diào)用執(zhí)行另外一個(gè)加密的PowerShell腳本,加密的PowerShell腳本最后加載一個(gè)惡意加載程序到內(nèi)存,內(nèi)存中的惡意加載程序解密出Sobinokibi的核心Payload代碼,勒索加密受害者主機(jī) FTCode勒索病毒 FTCode勒索病毒是一款基于PowerShell腳本的勒索病毒,主要通過垃圾郵件進(jìn)行傳播,此勒索病毒攻擊流程,如下: FTCode勒索病毒PowerShell代碼,如下所示: 從以上幾個(gè)無文件勒索病毒攻擊案例中,我們可以發(fā)現(xiàn)這種類型的網(wǎng)絡(luò)攻擊行業(yè)都是沒有落地的PE文件的,大多數(shù)利用漏洞或惡意非PE腳本加載惡意軟件,事實(shí)上不僅僅是勒索病毒,筆者發(fā)現(xiàn)近期一大批不同類型的惡意軟件都會(huì)采用這種無文件的攻擊形式,這些惡意樣本攻擊活動(dòng)都是通過連接相關(guān)的服務(wù)器網(wǎng)站,讀取網(wǎng)站上的內(nèi)容,然后在內(nèi)存中解密出代碼進(jìn)行執(zhí)行,核心的惡意代碼功能全部都是直接在內(nèi)存中運(yùn)行的,沒有落地文件的存在,例如下面兩個(gè)比較流行的惡意遠(yuǎn)控樣本 NanoCoreRAT遠(yuǎn)控軟件,相應(yīng)的PowerShell樣本加密字符串,如下所示: 在內(nèi)存中解密出PE文件,加載執(zhí)行,如下所示: njRAT遠(yuǎn)控軟件,相應(yīng)的PowerShell樣本加密字符串,如下所示: 上面的字符串解密出來也是一個(gè)PE文件,如下所示: 上面兩個(gè)案例都是通過非PE混淆腳本直接讀取遠(yuǎn)程服務(wù)器數(shù)據(jù)內(nèi)存加載執(zhí)行,現(xiàn)在越來越多的惡意軟件犯罪團(tuán)伙,使用這種無文件的攻擊方式加載勒索、遠(yuǎn)控,挖礦、僵尸網(wǎng)絡(luò)等惡意軟件,不像以前釋放一個(gè)惡意PE文件到受害者機(jī)器上執(zhí)行惡意行為,一些殺毒檢測(cè)引擎或AI檢測(cè)引擎如果只是基于PE文件進(jìn)行掃描的,利用這種無文件的攻擊方式,這些殺毒引擎基本是沒有效用的,因?yàn)橹鳈C(jī)上沒有可執(zhí)行的PE文件,自然就掃描不到了,同時(shí)筆者發(fā)現(xiàn)很多流行的惡意軟件或最新的惡意軟件都在慢慢轉(zhuǎn)變?yōu)槭褂眠@種無文件的攻擊方式進(jìn)行網(wǎng)絡(luò)犯罪攻擊活動(dòng)。 從上面的這些案例,我們可以看到現(xiàn)在整個(gè)安全環(huán)境已經(jīng)跟十年前的終端安全環(huán)境大不一樣,十年以前,我們做殺毒軟件,主要清除主機(jī)上基于PE文件類型的病毒、木馬等,十年后的今天,終端安全新威脅不在是單一的PE惡意軟件,我們需要更加關(guān)注的是安全分析與威脅情報(bào)收集能力,這才是未來終端安全的關(guān)鍵,終端安全產(chǎn)品需要有強(qiáng)大的威脅情報(bào)能力,不僅僅是單一的殺毒類安全軟件或者安全管控類軟件。 現(xiàn)在一些公司還在大力投入PE文件的殺毒引擎,做AI檢測(cè)PE文件,追求檢出率,想去通過這種類型的檢測(cè)引擎識(shí)別惡意樣本或未知威脅,未來Windows系統(tǒng)上可能更多的新型惡意樣本都是非PE類型的樣本,通過混淆的JS、VBS腳本直接連接惡意服務(wù)器下載解密數(shù)據(jù)然后內(nèi)存加載執(zhí)行,沒有PE文件落地了,沒有落地的PE文件,這種純PE的殺毒引擎根本無法檢測(cè)的。 一些傳統(tǒng)引擎可以檢測(cè)一些非PE的文件,然而非PE的樣本變化太快,也沒辦法做到及時(shí)有效的檢測(cè),而且需要安全分析人員不斷提取相應(yīng)的規(guī)則和特征,像上面幾類無文件勒索病毒,如果僅僅依靠基于PE文件的殺毒引擎的方式去檢測(cè),基本上很難檢測(cè)到,隨著網(wǎng)絡(luò)攻擊的復(fù)雜,殺毒檢測(cè)引擎已經(jīng)無法滿足現(xiàn)在的安全市場(chǎng)需求了。 未來的安全一定是基于威脅情報(bào)的,誰掌握了更多的高級(jí)威脅情報(bào)信息,誰就能在第一時(shí)間阻止安全事件的爆發(fā),但是從哪里可以獲取到高級(jí)的威脅情報(bào)呢?這就需要專業(yè)的安全研究人員,時(shí)刻不斷的跟蹤國內(nèi)外最新的安全動(dòng)態(tài),黑產(chǎn)組織活動(dòng)信息,分析研究最新的樣本,提取最新的網(wǎng)絡(luò)安全攻擊技術(shù),將這些樣本轉(zhuǎn)化為高級(jí)威脅情報(bào),將這些高級(jí)威脅情報(bào)應(yīng)用到產(chǎn)品中,才能第一時(shí)間有效的阻止安全事件的發(fā)生。 如果一家專業(yè)的網(wǎng)絡(luò)安全公司的安全研究人員去不去跟蹤黑產(chǎn),深入研究黑產(chǎn),分析最新的安全技術(shù)、攻擊手法以及最新的樣本,從中獲取更多的威脅情報(bào)信息,那開發(fā)出來的產(chǎn)品,基本是防不住未來真正的黑產(chǎn)活動(dòng)的,現(xiàn)在網(wǎng)絡(luò)安全戰(zhàn)已經(jīng)開始了,未來高級(jí)安全威脅分析、高級(jí)威脅情報(bào)的收集將是安全的重點(diǎn)方向,網(wǎng)絡(luò)安全形勢(shì)越來越嚴(yán)重,現(xiàn)在一些安全產(chǎn)品的開發(fā)人員,對(duì)安全其實(shí)未不了解,也不會(huì)去跟蹤最新的安全動(dòng)態(tài)以及安全威脅,對(duì)真正的黑產(chǎn)組織活動(dòng)使用的技術(shù)也不清楚,導(dǎo)致開發(fā)出來的產(chǎn)品無法滿足最新的安全需求,黑產(chǎn)很容易就攻陷進(jìn)來了,這也就是為啥需要專業(yè)的安全研究人員去提高公司的安全產(chǎn)品的安全能力。 網(wǎng)絡(luò)安全是一場(chǎng)永不停止的戰(zhàn)爭(zhēng),十年前終端安全產(chǎn)品基本都是以殺毒軟件為主,那個(gè)時(shí)候安全對(duì)抗就是各種基于文件免殺技術(shù)的研究,做黑產(chǎn)的每天都是研究各種PE文件免殺技術(shù),免殺技術(shù)也從最原始的基本特征碼的免殺,發(fā)展到后面基于啟發(fā)式掃描,基本主動(dòng)防御的免殺,十年后的今天,安全環(huán)境已經(jīng)發(fā)生了很大的變化,傳統(tǒng)的殺毒引擎或現(xiàn)在一些新型的AI殺毒引擎都沒辦法滿足現(xiàn)在的安全需求了,現(xiàn)在的黑產(chǎn)團(tuán)伙在研究威脅情報(bào),真正的APT組織一定有一支高級(jí)的威脅情報(bào)收集團(tuán)隊(duì),他們時(shí)刻在關(guān)注在全球收集各種可用的威脅情報(bào)信息,通過收集到的這些威脅情報(bào)信息再去研究開發(fā)一些新的攻擊技術(shù),并且具有很強(qiáng)的攻擊性和目的性。 十年前,我們談殺毒軟件,研究殺毒引擎,十年后,我們需要去研究最新的黑產(chǎn)活動(dòng),最新的安全技術(shù),最新的威脅情報(bào),才能做好安全,而不僅僅是依靠一個(gè)殺毒引擎,可以說在未來殺毒引擎的作用會(huì)越來越小,我們需要更多的去研究黑產(chǎn),研究威脅情報(bào),從網(wǎng)絡(luò)安全攻擊的整體層面去掌握第一手威脅情報(bào)信息,才能更好的阻止安全事件的發(fā)生。 傳統(tǒng)的殺毒引擎,還有一些AI檢測(cè)引擎事實(shí)上已經(jīng)無法滿足現(xiàn)代化的網(wǎng)絡(luò)安全戰(zhàn)爭(zhēng),殺毒引擎發(fā)展到現(xiàn)在已經(jīng)發(fā)展了幾十年了,最近幾年又開始流行AI檢測(cè)引擎,通過一些AI算法去檢測(cè)PE文件,檢測(cè)未知樣本,其實(shí)不管是傳統(tǒng)的殺毒檢測(cè)引擎,還是現(xiàn)在的AI引擎都已經(jīng)都無法滿足現(xiàn)在網(wǎng)絡(luò)安全的需求了,也無法有效的阻止網(wǎng)絡(luò)安全攻擊行為。 威脅情報(bào)在最近幾年被應(yīng)用到安全中,國內(nèi)外都有很多威脅情報(bào)平臺(tái),如果全球爆發(fā)網(wǎng)絡(luò)戰(zhàn)爭(zhēng),威脅情報(bào)能力將占據(jù)重要的位置,通過跟蹤最近一些最新的樣本和黑客攻擊活動(dòng),就會(huì)發(fā)現(xiàn)全球網(wǎng)絡(luò)安全戰(zhàn)已經(jīng)開始了,全球網(wǎng)絡(luò)安全環(huán)境也不像十年前的那樣了,安全研究人員需要全面的思考研究網(wǎng)絡(luò)安全攻防技術(shù),要多去關(guān)注和研究最新的安全攻擊手法,分析最新的攻擊樣本,深入研究黑產(chǎn)組織活動(dòng)信息,掌握更多更有效的威脅情報(bào)信息,才能第一時(shí)間阻止網(wǎng)絡(luò)安全攻擊行為,網(wǎng)絡(luò)安全攻防是一場(chǎng)永遠(yuǎn)停止的戰(zhàn)爭(zhēng),未來的黑客攻擊行為將來越來越有目的性和隱藏性,真正的網(wǎng)絡(luò)安全攻擊行為才剛剛開始,安全研究人員一定要去多研究這些最新的黑客攻擊行為,最新的惡意樣本利用方式,安全研究人員一定要提高自己的安全研究能力,不斷去跟蹤分析最新的安全技術(shù)以及黑產(chǎn)動(dòng)態(tài),因?yàn)槲磥硪鎸?duì)的可能是一些技術(shù)成熟,經(jīng)驗(yàn)豐富的有組織有目標(biāo)的黑產(chǎn)組織團(tuán)伙,這些黑產(chǎn)團(tuán)伙擁有很強(qiáng)的安全技術(shù)能力,以及威脅情報(bào)獲取能力,而且這些人是在暗,安全研究人員在明,現(xiàn)在是網(wǎng)絡(luò)安全發(fā)展的大好機(jī)會(huì),不管是國家、還是政府、企事業(yè)單位,不同的組織機(jī)構(gòu)都比以往更加重視網(wǎng)絡(luò)安全,同時(shí)網(wǎng)絡(luò)安全事件的不斷爆發(fā),專業(yè)的安全研究人員一定要做好長期的準(zhǔn)備,網(wǎng)絡(luò)安全攻防需要新的突破,以對(duì)應(yīng)新的安全威脅,現(xiàn)有的安全攻防已經(jīng)無法滿足新的安全威脅,高端成熟的黑客組織可以很輕而易舉的攻破,全球主流的APT組織都在不斷研究最新的安全攻擊技術(shù)和方案,獲取收集最新的威脅情報(bào)信息,以應(yīng)對(duì)網(wǎng)絡(luò)安全戰(zhàn)爭(zhēng)。 |