无文件攻击的坑,该如何填平?
2021-04-22 12:40:06 Author: www.aqniu.com(查看原文) 阅读量:180 收藏

无文件攻击的坑,该如何填平?

星期四, 四月 22, 2021

无文件攻击并不是什么新鲜事物,但是他们却变得越来越普遍。波尼蒙研究所发现,2018年所有网络攻击中有35%是无文件的。Trend micro数据显示,从2018年到2019年上半年的无文件威胁检测跟踪显示明显增加,上涨396%。可见,无文件攻击越来越多的被攻击者利用,进行威胁破坏活动。

一、为什么攻击者选择无文件恶意软件?

无文件恶意软件攻击是一种黑客可以利用已经安装在计算机上的应用程序的恶意攻击,它通常利用合法或正当活动的应用程序在常驻内存中执行恶意代码。

由于,无文件恶意软件攻击是在计算机的随机存取存储器(RAM)内存中而不是在硬盘驱动器上进行的,这为黑客提供了一种更隐蔽的方式来入侵网络和应用程序。由于没有(或很少)恶意软件或外来代码放置在受害者的系统内,因此此类攻击称为零占用空间,宏攻击。

目前,攻击者越来越多地使用无文件恶意软件,是因为:

  • 由于传统的防病毒软件无法有效地检测无文件攻击,其可以长时间潜伏、观察并伺机发起攻击;
  • 利用一个漏洞,该漏洞将使他们具有管理员访问权限和对系统的完全控制;
  • 从目标收集数据以用于以后的攻击。

由于无文件攻击具备较强的隐蔽性和复杂性,因此检测和阻止它们可能很棘手,这也是攻击者越来越多的利用无文件攻击的重要原因。

二、无文件恶意软件攻击方式

无文件恶意软件一般通过如下几种方式展开攻击:

  1. 通过内存漏洞发起攻击

对于驻留在内存中的恶意软件,攻击者可以向正在运行的应用中注入恶意载荷。该技术可用于绕过某些应用程序白名单和防病毒解决方案的管控,因为攻击者的代码是在组织机构允许的应用中执行的。内存无文件攻击的初始阶段与传统的恶意攻击没有太大的区别,通常利用鱼叉式网络钓鱼和隐秘下载来攻击受害者并取得立足之地。这些恶意软件中,有很多是彻彻底底的恶意软件,它们将恶意载荷嵌入到另一种文件类型(例如DLL)中,然后从目标系统上提取出来再执行。

  • 通过脚本安装恶意软件

众所周知,许多基于脚本的攻击都使用解释性脚本,因为它们直接在命令行上运行(通过PowerShell,JavaScript,VBScript,WScript,mshta等),并可能导致任意代码执行。例如,PowerShell可以在系统中执行隐藏命令,该命令可以根据计划的攻击时间长度来设置。此后,通过在内存中执行代码以无文件方式传递了许多恶意软件类型,从而绕过了传统的端点防护工具的防御。

还有一些dropper可能是脚本,会请求下载其它恶意软件或脚本。还有一些会下载一连串的shellcode并在内存中全部或部分执行。

  • 通过windows注册表或文档发起攻击

通常,无文件恶意软件仅存在于计算机的随机存取存储器(RAM)中,这意味着没有任何内容直接写入硬盘存储器。但是,其不会永远保存在硬盘储存器中,一旦用户重启系统后,由无文件攻击引起的破坏就可以停止。然而,恶意攻击者使用技术来确保无文件感染不依赖端点来维持攻击。黑客可以通过设置脚本来对系统注册表进行细微更改,即使重启系统也可以运行。此外,还可以通过使用自动运行功能在注册表中存储恶意代码来破坏Windows注册表,从而即使在计算机重新启动后,攻击也会在后台继续运行。

此外,无文件攻击还可以嵌入文档,利用Office文档(例如Microsoft Word和Excel)和PDF等已批准的应用程序中的恶意宏代码(例如JavaScript或VBScript)。宏可以运行脚本并滥用合法工具(如PowerShell)来启动、下载或执行代码,脚本和有效负载。无文件攻击还可以通过垃圾邮件或网络钓鱼邮件进入系统,诱使接收者单击恶意链接,然后启动感染过程。

三、通过内存保护防御无文件攻击

针对无文件攻击的问题,安芯网盾基于P2DR模型研发设计了智能内存保护系统,专注于应用程序进程、内存级别的安全防护,帮助企业阻止新兴手段的攻击,稳定运行。

第一,智能内存保护系统能够检测应用执行中基于内存攻击的异常行为,并能即时阻止。由于可以检测到应用内部行为异常,智能内存保护系统可以阻止未知攻击、无文件攻击,而不再关注系统是否打补丁。

第二,智能内存保护系统采用虚拟化技术,提供了一种全新检测方法,侧重于保障执行完整性,不依赖于过去的恶意事件、恶意病毒的模式匹配,而是在内存级别监控应用程序进程,并确保它们保持在合法的执行/控制流上。由于可信执行侧重于保障应用程序已知的行为,因此它可以检测并阻止未知攻击。

第三,智能内存保护系统还提供精确的上下文细粒度行为分析,可深入应用程序进程内部,感知识别进程的危险性,通过这种方式确保应用程序的执行完整性,从而能够有效防护无文件攻击、内存攻击等。

随着新兴技术的发展,诸如无文件攻击之类的威胁和复杂威胁逐渐兴起并被利用,应对瞬息万变的环境并防范是众多企业面临的挑战。针对性的选择解决方案,可以很好的解决此类威胁问题。

国内首家基于硬件虚拟化等前沿技术保护企业主机安全的技术服务提供商,致力于研发面向未来的安全解决方案。


文章来源: https://www.aqniu.com/vendor/73888.html
如有侵权请联系:admin#unsafe.sh