文:大白haha多数人第一次看到“无文件恶意软件”时都会心生疑问,没有文件威胁行为者又如何实施攻击呢?“无文件恶意软件”这个词首次出现在2012年到2014年之间,当时并未引发大众关注,随着恶意软件开发者开始在攻击中频繁的使用这一技术,到2017年随着网络安全的概念深入人心,这个词也被大众所熟知。 无文件并不是真的不依靠文件
从字面来看,“无文件”恶意软件很容易让人误以为攻击者在使用该技术进行攻击时不需要使用任何文件,显然,这种理解是错误的!有一点需要明确,无文件恶意软件有时候也会使用文件。其实无文件恶意软件并不是真的没有文件,只是在大部分时间,它们通过保持隐身状态来躲避检查。通常无文件恶意软件会使用计算机系统的内置工具来执行网络攻击,又或者说,无文件恶意软件可以利用设备已安装的软件中存在的漏洞来执行攻击,这种类型的恶意软件不需要攻击者将恶意代码注入潜在受害者系统的硬盘驱动器即可成功。因此,无文件恶意软件极难检测,也极其危险。实际上无文件恶意软件是一种不存在磁盘上的威胁,通常当磁盘中存在恶意软件时,它很容易就能被安全软件检测到。很显然,攻击者不希望他们的恶意软件被检测和分析,因此,想要达到无文件恶意软件有效且保证用户不对其进行分析的最佳方法是让它不在磁盘上。虽然它不在磁盘上,但是在大部分时间里,它们会潜藏在内存中,通过进驻内存来保持隐身状态,这是一种隐蔽性极高的攻击手法,多年来,老练的攻击者使用各种技术将他们最邪恶的恶意软件注入内存。在各类无文件恶意软件攻击案例中,Frodo和The Dark Avenger极具代表性。Frodo 创建于 1989 年,最初开发它的起因只是想制造一次“无害的恶作剧”,最终,它被威胁行为者利用了。同年,Dark Avenger也被开发,这种攻击可以保证每次在受感染的计算机上运行可执行文件时都会感染它们,甚至复制的文件也会被感染。而今无文件恶意软件在历经多次的升级后已经变得十分先进,以至于它们注入内存的代码可以执行并下载内存中的新代码。无文件恶意软件不需要文件即可启动,但它确实需要修改它试图攻击的本地环境和工具,这也是使用无文件恶意软件的一种更高级的方法。威胁行为者使用这种技术来发动攻击,安全软件就很难弄清楚无文件恶意软件正在执行什么,因为内存中发生了太多事情——正在运行的正常操作太多——以至于检查和处理起来很复杂且难以处理。安全解决方案根本无法获得是否发生恶意事件的基线,这就是无文件恶意软件非常有效的原因。 难以检测为何相对少见
不得不说对比其他恶意软件攻击,无文件恶意软件要狡猾的多,但执行它要比传统恶意软件攻击更为复杂,因为它对攻击者的水平要求很高。这就是为什么一旦看到无文件恶意软件攻击时,它们通常与国家支持的威胁或最复杂的网络犯罪分子有关。为了获得与传统恶意软件相同的功能和特性,无文件恶意软件需要具有强大能力的创建者。他们面临的挑战除了设备内存中的有限空间,以及有限的磁盘空间可供其使用。即便在入侵阶段,无文件恶意软件执行起来也有一定困难,因为攻击者必须在内存中为它找到一个位置。这要求入侵者动作必须快,因为当系统重新启动时,无文件恶意软件会从内存中清除。为了有效,无文件恶意软件攻击者还需要正确的环境。 无文件恶意软件攻击的阶段
与传统的恶意软件攻击一样,无文件恶意软件攻击的典型阶段是:第 1 阶段:攻击者获得对受害者系统的远程访问权限。第 3 阶段:攻击者为环境创建一个后门,不需要重复初始阶段就可以返回。第 4 阶段:攻击者准备通过将信息复制到一个位置,然后使用像Compact这样的现成的系统工具压缩来进行数据泄露。
最常见的无文件恶意软件技术
在发起无文件恶意软件攻击前,威胁行为者需要访问系统才能修改本机工具并发起攻击,目前,被盗凭据仍然是攻击者用来获取访问权限的最常用技术。所以当发生凭据被盗或用户名被黑客入侵或信用卡信息被盗等事件时,就很有可能会接着发生无文件恶意软件攻击。一旦无文件恶意软件获得了对系统的访问权限,它就可以开始启动传统的恶意软件。下面列出的技术在与无文件恶意软件结合使用时往往会更成功: 如何检测无文件恶意软件
检测和击败无文件恶意软件攻击的最佳方法是采用一种具有多层防御态势的整体方法。一个企业检测无文件恶意软件威胁的最佳实践应该包括使用攻击指标(IOAs)和妥协指标(IOCs),并利用其安全解决方案的威胁搜索能力。由于无文件恶意软件使用系统的内置工具来发动攻击并掩盖其踪迹,因此网络安全团队必须了解、保持警惕并了解攻击者在执行这些无文件恶意软件攻击时采用的不同方法。这一切都是为了让试图隐藏在系统内存中的网络攻击无处潜藏。而防范无文件恶意软件攻击,最重要的就是对各种网络安全威胁的及时更新,只有保持设备的安全防范状态是最新的情况下才能更好的抵御无文件恶意软件。
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651183630&idx=1&sn=b5a0d030463cd6d82d8c4b79787f4894&chksm=bd1e48858a69c19341c66d78de53982fdc99e98878e2d842aa35a4eba1ee39271ed9eada34fc#rd
如有侵权请联系:admin#unsafe.sh