信息來源:FreeBuf
前言
2018年上半年����,勒索軟件的傳播態(tài)勢依然十分嚴峻��,同時無文件和PowerShell的攻擊數量激增���,已成為今年要重點關注的領域���。
近日,終端安全公司SentinelOne發(fā)布了“2018年上半年企業(yè)風險指數報告”��,報告顯示:2018年1月至6月期間�,無文件攻擊次數增加了94%;PowerShell攻擊從2018年5月的每1000個終端遭受2.5次攻擊飆升到6月的每1000個終端遭受5.2次攻擊��;勒索軟件傳播態(tài)勢依然十分嚴峻且上升速率很快�����,每1000個終端遭受攻擊的數量從1月的5.6極速上升至6月的14.4����。
無文件惡意軟件初探
SentinelOne的產品管理總監(jiān)和該報告的負責人Aviram Shmueli表示,無文件和PowerShell攻擊的激增在意料之中�����,這兩種攻擊方式對于想隱藏于系統(tǒng)之中�����,進行長期惡意活動和竊取數據的攻擊者而言特別有吸引力����。
顧名思義�����,無文件惡意軟件會在感染目標計算機時�,不會在本地硬盤驅動器上留下任何工件��,從而輕松規(guī)避傳統(tǒng)的基于簽名和文件檢測的安全軟件����。最為典型的無文件攻擊方式利用瀏覽器和相關程序(Java、Flash或PDF閱讀器)中的漏洞�����,或通過誘用戶點擊附件而實現網絡釣魚攻擊��。
在無文件惡意軟件攻擊情形中���,惡意代碼在計算機的內存中運行��,并調用Windows系統(tǒng)上已有的程序�����,如PowerShell和Windows Management Instrumentation(WMI)���,不會再目標系統(tǒng)上增加或刪除任何文件�。
攻擊者使用Windows工具(如PowerShell)來保持對目標系統(tǒng)的長期控制�����,因為無文件惡意軟件需要在目標系統(tǒng)的內存中運行代碼�����。每次重新啟動終端時��,攻擊過程都會中斷����。為了解決這個限制����,攻擊者會先遍歷一遍系統(tǒng)上的應用程序,使用PowerShell在后臺打開一個應用程序��,如記事本或計算器�,通過其占用的內存運行。另一種確保長期控制的方法是加載PowerShell腳本��,該腳本指示目標計算機在每次啟動PC時重新加載惡意代碼并運行。
舉一些比較典型的例子:
卡巴斯基實驗室在7月的博客文章中詳細介紹了PowerGhost無文件挖礦軟件��。PowerGhost是一個經過混淆的PowerShell腳本�。首先,它通過各種方式被植入目標系統(tǒng)的內存匯總�����,并使用WMI工具和Mimikatz數據提取工具來提升權限并設置挖礦操作���。
最近����,研究人員又發(fā)現了CactusTorch無文件惡意軟件���,它通過內存直接運行和加載惡意.NET文件���。
類似的惡意活動極速增加
SentinelOne的這份報告并不是唯一指出無文件/PowerShell惡意活動大幅上升的聲音。今年早些時候���,邁克菲發(fā)布的研究查詢查詢結果顯示��,僅在2017年第四季度與一年前同期相比�����,無文件惡意軟件借助PowerShell進行傳播和運行的情況出現了267%的飆升���。
Aviram表示:“由于PowerShell中已經安裝在Windows操作系統(tǒng)上�,無需安裝任何其他東西即可進行惡意活動�����。在可預見的未來�,黑客肯定會更加頻繁地使用這種方式�。同時攻擊的方式將越來越復雜,并轉向更高級形式的網絡犯罪���。此外�����,安全軟件對這種攻擊方式的防御很不完善�����,需要大家重點關注�。”
