无文件攻击的4种基本技术介绍
|
副问题[/!--empirenews.page--]
无文件进攻变乱这几年泛起了高速成长状态,成为了收集进攻中的一个重要力气。不外,许多人对“无文件进攻”的观念,还不是很相识。固然此前关于“无文件进攻”的进攻变乱和案例,我们也先容过不少,但有些对象照旧没有讲透,本日我们就来讲讲无文件进攻的4种根基技能。 “无文件进攻”这一术语每每会让人发生歧义,好比无文件进攻就代表真的没有进攻文件吗?没有文件又怎样实验进攻?怎样检测?怎样防止……,着实“无文件进攻”只是一种进攻计策,其起点就是停止将恶意文件放在磁盘上,以躲避安详检测。有一点必要明晰,就是无文件恶意软件也要行使文件。 最初,“无文件进攻”是指没有耐久驻留在内存中的恶意代码的进攻,不外跟着进攻技能的迭代,该术语的指代面越来越广了,此刻安详行业已将那些依靠文件体系,以实现恶意代码激活和驻留的恶意软件也成为“无文件恶意软件”。因为在无文件恶意软件进攻中,体系变得相对干净,传统的杀毒软件很难或基础无法辨认这种传染并实时关照技强职员举办防止,以是这种进攻越来越广泛。 着实,“无文件”这一术语也在差异的时刻点是有差异寄义的,早在2012年,有文章最初就行使了“无文件恶意软件”这一词汇。可是,为了应对无文件进攻的挑衅,就必要消除这一术语的歧义,以相识它涵盖的各类技能。因此辨认它怎样影响特定的情形和防止计策就变得很是重要。 据GoogleTrends的监测功效表现,“无文件恶意软件”此前有过许多差异的称号,好比: “无形恶意软件”、“零足迹进攻”或“无/宏恶意软件进攻”。这些词早在2012年到2014年之间就零散的呈现过。不外跟着这一技能的行使频率增进,收集安详职员对这一术语的齐集接头却产生在2015年,直至2017年跟着收集安详的观念深入民气,无文件恶意软件”这个词也被定了下来并被公共所熟知。
尽量存在杀毒软件和应用措施白名单等反恶意软件的节制法子,但无文件进攻也包括各类应对计策,应承进攻者举办有针对性的进攻。下面概述了无文件进攻所涉及的要领,旨在为无文件进攻的防止提供明晰的观念和理论指导。此刻,就让我们来看看无文件进攻所包括的详细技能,以及它们为什么经常能操作这些技能躲避现有的检测。 技能1:恶意文件所施展的浸染 很多专业安详说明职员通过恒久的跟踪说明,确认无文件的进攻着实是包括各类文件的。在这种环境下,进攻者提供恶意文件凡是会作为电子邮件附件,用于以下个中一种目标:
固然文件驻留在进攻端的文件体系上,但进攻者可以不将这些传统恶意可执行文件安排在磁盘上。在很多环境下,这些文件会直接在进攻方针的内存中执行恶意代码,这也是无文件进攻的重要构成环节。有关进攻者怎样行使这些文件提倡进攻的具体案例,请参阅Omri Moyal关于滥用Microsoft Office支持DDE的文章。尚有一篇文章是关于“进攻者怎样将本身插入对话以撒播恶意软件”,请点此查察。 技能2:恶意剧本所施展的浸染 为了停止将恶意代码编译成传统可执行文件的方针,无文件进攻的开拓者必要在操作无文件属性举办进攻时依靠恶意剧本。除了文件原本就支持的剧本之外,如上所述,进攻者可以直接在Microsoft Windows上运行的剧本提供了以下进攻上风:
进攻者可以行使现成的夹杂剧本的框架,而不必本身来实现这种伟大的躲避计策。这些法子包罗Daniel Bohannon开拓的合用于PowerShell和Invoke-DOSfuscation框架的Invoke-Obfuscation。详细案例,请参考Minerva对Emotet的剧本夹杂的说明。 技能3:与当地措施交互 关于无文件进攻的接头凡是包罗滥用Microsoft Windows中内置的浩瀚适用措施,这些器材应承敌手从进攻的一个阶段转移到另一个阶段,而无需依靠编译的恶意可执行文件。这种策划方法偶然被称戏称为“靠土地为生(living off the land)”。 一旦进攻者的恶意代码可以与当地措施交互,那么文件传染措施就开始启动,此时进攻者就可以开始滥用操纵体系内置的适用措施来下载其他恶意控件,启动措施和剧本,进而窃取数据,大举传染,保持耐久性进攻等。进攻者为了与当地措施交互,挪用了很多器材,个中包罗regsvr32.exe,rundll32.exe,certutil.exe和schtasks.exe。关于进攻者怎样故这种方法滥用内置二进制文件、库和剧本描写,请参阅Oddvar Moe的LOLBAS项目。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
