曲速未来:无文件恶意软件与SandBlast代理无匹配

内容来源:牛博财经

曲速未来:无文件恶意软件与SandBlast代理无匹配

区块链安全实验室WF曲速未来提醒:无文件恶意软件攻击正在上升。因此,在这种复杂的攻击形式上已经写了很多文章,因为它们不需要安装任何恶意软件来感染受害者的机器,所以能够避开传统的反病毒解决方案。相反,它们利用每台计算机中存在的漏洞,并使用常用的系统工具(如Windows Management Table(WMI)或PowerShell)将恶意代码注入到通常安全和可信的进程中。

最近在SandBlast Agent上发布的Behavioral Guard功能已被证明非常有效地增加了对无回避文件的恶意软件的检测。简而言之,SandBlast Agent的行为保护是一种行为检测引擎,可检测并修复所有形式的恶意行为,利用取证来有效且唯一地识别未知的恶意软件行为,并准确地将恶意软件归类到其恶意软件系列。这种强大的保护功能可以适应恶意软件随时间的演变,可用于检测和防止无限类型的攻击,包括那些恶意使用合法脚本工具的攻击。

自从引入Behavioral Guard以来,然后发现了许多高度回避的无文件攻击。最近的一个案例,在客户的PC上疯狂地捕获,是一个隐藏的无文件有效负载,隐藏在WMI的文件系统内部,只有在特定事件时被Windows系统巧妙地调用并在后台运行,检测到系统启动等。

这是通过创建一个永久的WMI事件消费者对象来完成的,该对象将运行PowerShell,这是一个由Microsoft提供的受信任和签名的进程,已在所有Windows操作系统上可用,并使用内联脚本检测并将Windows凭据上载到公共云计算上的服务器服务。与传统的基于签名的恶意软件不同,此攻击深入到系统中,没有将文件写入磁盘,并且没有在操作系统上运行任何恶意或非法进程。然而,尽管脚本具有混淆性,但我们的行为分析系统有效地检测到了它,有助于检测它。

实际上,攻击者越来越多地使用脚本语言,因为它们比基于文件的全面恶意软件更快,更容易生成。此外,脚本为安全供应商提供了更多困难。

脚本的详细介绍

WINDOWS SCRIPTING概述

PowerShell是命令行的演变 -  DOS shell和脚本环境的组合。它主要服务于系统和网络管理员,便于本地和远程管理任务。管理员将其用于同时处理多个文件的进程,自动执行和调度任务,以及配置Windows组件和服务。它支持复杂的决策制定,并允许访问各种数据源。它甚至可以构建图形用户界面。

PowerShell现在是IT和服务器管理员的基本技能,通常在整个组织中部署maintenance脚本时使用。

那么黑客可以用PowerShell做些什么呢?

攻击者可以像管理员一样使用它:他们可以更改安全策略和代理设置,创建备份,分发软件和工具,创建执行任务,控制远程计算机,访问和控制数据中心等等。

但PowerShell给予他们的远不止于此 - 它充分利用了它。网络环境可用。对于脚本编写者。他可以实现与经验丰富的C#甚至C ++开发人员相同的功能。它可以实现Win32操作,例如文件操作,网络操作,运行可执行文件的内存注入,加密操作等。这些是其他语言本身不提供的出色的远程管理工具。

PowerShell还允许base 64混淆。攻击者可以将混淆的代码直接写入内存,它将由PowerShell自动解码并从内存中执行,无需单个文件操作。

在过去几年中,Windows PowerShell很少用于攻击。这已发生巨大变化。

恶意软件越来越多地使用Windows PowerShell和WMI。

无档案的恶意软件

在为链中越来越多的节点使用脚本之后,恶意软件开始完全依赖脚本语言。

入口点或渗透仍然在Web级别处理,主要由Java Script处理。这一变化始于侦察阶段,该阶段展示了大量采用WMI和PowerShell等脚本语言。后来,他们还提供持久性,特权升级,横向移动,与C&C服务器的通信以及数据泄露。

到2015年第三季度,我们的客户受到完全无文件,基于注册表脚本的攻击,如Poweliks,Powesploit,Empire,PowerWarm(Crigent)以及完全无文件的勒索软件CoinVault的攻击。这种现象始于2014年底,但仅在2015年底出现了大规模的比例。

无文件恶意软件测试用例1

在图1中,我们看到了PowerWarm(也称为Crigent)的示例,作为新脚本无文件趋势的示例。

图1.PowerWarm(Crigent)

图1.PowerWarm(Crigent)

恶意软件由文档启动,执行a.vbs脚本,攻击中使用的唯一文件。在大多数情况下,此脚本文件不会从光盘执行,它在完全嵌入在文档中的VBA上运行并由MS Office执行。这使得恶意软件与用于渗透的第一个文档完全无文件分开,通常是在网络钓鱼邮件中。

至于PowerShell,我们看到一个带参数的模糊脚本。

曲速未来:无文件恶意软件与SandBlast代理无匹配

这解释为:

曲速未来:无文件恶意软件与SandBlast代理无匹配

这里采取的行动包括:

1. 持久性;

2. 隐藏DNS记录中的通信。

3. 从两个着名的在线匿名项目下载两个额外的组件:Tor网络和Polipo,一个个人网络缓存/代理。它们是从合法存储域下载的(例如DropBox)

4. 更改功能名称并下载新代码

5. 向攻击者发送有关系统的信息。此信息包括:IP地址,国家/地区,城市,邮政编码,操作系统详细信息,语言,域和已安装的Office应用程序。

无文件恶意软件测试用例2

另一个例子是Kovter的演变。这个恶意软件始于2013年,作为假警察通知勒索软件。它使用可执行文件来运行和请求勒索。图4说明了Kovter使用的简单规避技术。恶意软件会创建自己的实例链,最终是last.instance实际执行恶意活动的实例。

曲速未来:无文件恶意软件与SandBlast代理无匹配

图4.Kovter 2013

曲速未来:无文件恶意软件与SandBlast代理无匹配

图5.Kovter 2015年第1季度

2015年中期,使用类似于脚本恶意软件Poweliks使用的技术,出现了新版本的Kovter。

在这个版本中,Kovter启动了一个几乎无文件的注册表驻留版本。

曲速未来:无文件恶意软件与SandBlast代理无匹配

图6.File-Less Kovter2015年第3季度

我们可以看到它只使用注入的Windows二进制文件来执行,这与旧式恶意软件不同,后者具有自己的内置可执行文件。这仅在最后阶段,在引导之后以及来自C&C服务器的命令的结果中发生。

脚本功能

1.PowerShell和WMI工具及其强大的远程执行选项为对手提供了“内置横向移动”功能。它们取代了PSexec等远程执行工具,PSexec在过去几年中被广泛用于此目的,并且可以通过签名轻松检测到。

2.脚本语言中的多态性非常容易实现。这使恶意软件能够逃避静态签名。

建议:

WF曲速区提醒:创建真实且可操作的自动智能,一方面足够详细,另一方面足够概括,以克服多态性是唯一能够快速反应以阻止大型活动的方法。广告系列拦截需要足够快,以触发其开发的成本评估。

因此,当在野外发现越来越多的无文件攻击时,重要的是组织要了解这些类型的攻击的性质,以及通过传统的反病毒保护检测它们的难度。区块链安全公司WF曲速未来表示:事实上,传统的端点保护对于对这些产品完全抵抗的复杂方法毫无用处,甚至所谓的“下一代防病毒(NGAV)”解决方案也无法识别这些高度规避的攻击。 SandBlast Agent中的行为守卫在上述情况下证明了其目的,并将继续这样做,所有已知和未知的攻击尚待发现。


原创声明:网站、APP等互联网平台用于长期商业目的内容转载须同牛博财经签订《内容合作协议》,牛博财经保留对各平台内容侵权之一切法律追诉权,“牛博财经”所刊载原创内容之知识产权均为“牛博财经”所有,欢迎各方转载转发!