search
尋找貓咪~QQ 地點 桃園市桃園區 Taoyuan , Taoyuan

『無文件惡意軟體』到底是什麼鬼 真沒有文件?

【PConline 雜談】相信大多數人第一次看到『無文件惡意軟體』時都會心生疑問,真的沒有文件?沒有文件又如何實施攻擊?其實,有時候無文件惡意軟體還是會使用文件的,但絕大多數時間裡,它們會通過進駐內存來保持隱身,也正是這種隱蔽性非常高的攻擊手法,使得無文件惡意軟體逐漸流行起來。有了它,黑客可以悄無聲息的攻擊ATM取款機等各種終端以及操作系統。

『無文件惡意軟體』到底是什麼鬼 真沒有文件?

經過觀察分析我們發現,無文件惡意軟體通過進駐內存來保持自己隱身,以減少被檢測到的機會,保持不被發現的時間越長,就越有可能實現自己的目標。在無文件惡意軟體攻擊中,系統變得相對乾淨因而沒有很多惡意文件可被檢測出來去通知安全管理員。正因如此,無文件惡意軟體變得很難防禦更不易被分析。

什麼是無文件惡意軟體?

究竟什麼是無文件惡意軟體,有一點需要明確,就是無文件惡意軟體有時候也會使用文件。最初,無文件惡意軟體的確指的是那些不使用本地持久化技術、完全駐留在內存中的惡意代碼,但後期這個概念的範圍逐漸擴大,現在,將那些依賴文件系統的某些功能以實現惡意代碼激活和駐留的惡意軟體也包括進來,傳統的防毒產品無法識別這種感染。

攻擊者為什麼使用無文件惡意軟體?

首先我們要明白黑客攻擊的目標是什麼:首先是隱形,儘可能避免被安全產品檢測到的能力;再者,就是利用漏洞進行特權升級,使自己能夠以管理員的身份訪問系統,做任何他們想要的;還有就是信息收集,儘可能收集有關受害者和受害者計算機的數據,用於後續其他攻擊;最後,就是持久性,即在系統中保持惡意軟體的能力,延長被發現的時間。

要知道,不是每種終端解決方案都直接檢查內存,寫磁碟的操作會觸動防禦布網,而讓惡意軟體僅進入內存則可避免該風險,因此內存是一個理想的藏身之所。此外,PowerShell等工具已經存在於系統中,這為攻擊者留下了多個好處,能依靠區域網為生,減少因在受害者主機上部署惡意軟體而產生的動靜。

無文件惡意軟體是如何工作的?

那麼,無文件惡意軟體如何實現隱身的?早前,McAfee還還歸屬Intel時曾發表過一份威脅報告,介紹了無文件惡意軟體如何刪除它在受感染系統磁碟中保存的所有文件,在註冊表中保存加密數據,注入代碼到正在運行的進程,並使用PowerShell、Windows Management Instrumentation和其他技術使其難以被檢測以及分析。

註冊表中保存數據的方式讓惡意軟體可在啟動時運行而不被用戶查看或訪問,此時攻擊者便有更多的時間利用其惡意軟體繼續執行攻擊。實際上,惡意軟體也可能會被檢測到,但在分析前大多數反惡意軟體產品都很難發現和移除無文件惡意軟體。

例如Kovter惡意軟體,其通過電子郵件或惡意軟體網站進行分發,在本地計算機執行最初的惡意軟體攻擊后,Kovter會編寫JavaScript到註冊表,調用同樣存儲在該註冊表中加密的PowerShell腳本,由於它並不會保存文件,且利用Powershell進行隱藏很難被檢測到。

無文件惡意軟體的威力

近期,俄羅斯至少八台ATM取款機,在一夜之間被竊取了80萬美元,黑客只是走向ATM,甚至都沒有觸碰機器就取走了現金,且在ATM機上找不到任何入侵的痕迹,唯一的『線索』(甚至稱不上線索)是ATM機硬碟上發現的兩個包含惡意軟體日誌的文件,kl.txt和logfile.txt,可以理解為「取款」和「取款成功」。

為此,安全員創建YARA識別規則捕獲樣本(YARA是一款模式識別工具,幫助研究人員識別惡意軟體),攻擊銀行所用的正是一種隱藏在內存中的無文件病毒,而非傳統惡意程序駐足在硬碟中。

實際上,無文件病毒正是利用了ATM機上的合法工具,ATM將這些惡意代碼識別為正規軟體,之後遠程操控發送指令,與此同時黑客等在ATM前將錢取走,當所有現金被取出后,黑客就會「註銷」,留下非常少的線索。

再有,就是email附件作惡。不論是對公還是對私,電子郵件都發揮著不可替代的作用。因此,針對電子郵件的網路攻擊仍不在少數。Coremail論客與360的聯合監控平台,每天能截獲6000多封帶毒郵件,高峰時期可達單日數萬封。當中,PE文件(可執行文件)佔3.8%,非PE文件佔比為96.2%。

而在今年早些時候,微軟惡意軟體保護中心就曾發出警告,稱當前有進行ZIP壓縮文件內惡意『.LNK』文件的垃圾郵件湧現,附加了惡意PowerShell腳本,PowerShell是一種用於自動執行Windows系統管理任務的腳本語言,已多次被用於下載惡意軟體,甚至有惡意軟體程序完全寫在PowerShel內。

如何防禦無文件惡意軟體攻擊?

其實,不論面對何種網路安全威脅,及時更新是最基礎的。因此,在抵禦無文件惡意軟體時,首先要做的就是保證端點及時更新,確保用戶只有標準用戶賬戶沒有特權賬戶,並使用端點反惡意軟體工具來保護設備,掃描網路連接和電子郵件中是否存在惡意軟體,降低惡意軟體到達端點並執行的幾率。

再者,阻止託管漏洞套件頁面。當感染網站託管漏洞套件時感染就會開始。但如果你使用了主動安全產品,則可以在遇到問題后立即阻止該頁面,漏洞利用套件無法訪問計算機上的應用程序。網站是生成或連接到網路犯罪的基礎設施,攻擊者在基礎設施上投入大量的時間和金錢,因此很少改變它,所以這種檢測技術對用戶的在線安全性是無價的。



熱門推薦

本文由 yidianzixun 提供 原文連結

寵物協尋 相信 終究能找到回家的路
寫了7763篇文章,獲得2次喜歡
留言回覆
回覆
精彩推薦