PSLoramyra是一款被归类为无文件(fileless)加载器的恶意软件,可以通过利用PowerShell、VBS和BAT脚本,直接在系统内存中注入并执行的恶意负载,从而绕过传统的检测方法。PSLoramyra恶意软件的设计目的在于在受感染的系统中引入额外的有效载荷,其“无文件”的感染过程意味着辅助恶意程序在内存中执行,不会在磁盘上留下直接痕迹。
PSLoramyra恶意软件的攻击过程是一个复杂且隐蔽的攻击链,它主要通过利用PowerShell、VBScript(VBS)和批处理文件(BAT)脚本来实现其无文件的网络攻击操作。这种无文件的攻击方式使得PSLoramyra能够在不留下硬盘痕迹的情况下,完全在计算机内存中运行,从而躲避传统安全工具的检测。
PSLoramyra恶意软件攻击感染过程开始于一个精心构造的PowerShell脚本,该脚本包含了主要的恶意代码和执行攻击所需的指令。PSLoramyra恶意软件还会利用Windows任务计划程序来确保其持久性,通过设置一个任务每两分钟运行一次特定的VBS脚本,继续攻击感染过程并确保其在系统中的持续存在。该恶意脚本的主要目的是将其恶意代码注入到合法的系统进程中。例如,在一次攻击中,PSLoramyra针对的是名为RegSvcs.exe的正版Windows组件,它是.NET Framework的一部分。通过使用.NET程序集,PSLoramyra能够将有害代码直接注入到这个受信任的进程中,使其在不被察觉的情况下运行。
PSLoramyra的执行链涉及多个脚本的协同工作。初始的PowerShell脚本负责生成roox.ps1、roox.bat和roox.vbs三个关键文件,这些文件共同构成了感染链的核心。roox.vbs作为起始点,负责启动roox.bat,而roox.bat则执行roox.ps1 PowerShell脚本。这个PowerShell脚本再进一步利用Reflection.Assembly.Load将主要恶意负载直接加载到内存中,并利用RegSvcs.exe来执行这个负载。该脚本还使用了简单的混淆技术,例如使用#字符,使检测更具挑战性。在整个攻击过程中,PSLoramyra展示了其高度的隐蔽性和复杂性。它不仅能够绕过基于磁盘文件的安全检测机制,还能够通过注入合法进程来避免被其它安全软件发现。
图 1 PSLoramyra攻击的执行链
PSLoramyra恶意软件的兴起象征着网络威胁领域一个令人关注的趋势:无文件攻击的普及化。这种攻击手法通过在系统内存中执行恶意代码,巧妙地避开了基于磁盘的传统安全检测手段,从而极大地提升了其隐蔽性和防御难度。PSLoramyra展示了其高级的逃避技术,通过复杂的脚本执行链和系统进程注入,使得它能够在不留下明显痕迹的情况下活跃于受感染系统,进行数据窃取、间谍活动或其他恶意行为。在面对PSLoramyra及其同类恶意软件的攻击威胁,传统的网络安全防护措施已不再足够奏效。为了有效防御,必须采取更为全面和多层次的安全防御策略,特别是需要增强对系统内存的检测机制,以识别和阻止这类无文件攻击行为。PSLoramyra的复杂性和攻击能力提醒我们,网络安全防御必须要不断适应和进化,以应对这些不断演变的攻击威胁。