無檔案攻擊的4種基本技術介紹
無檔案攻擊事件這幾年呈現了高速發展狀態,成為了網路攻擊中的一個重要力量。不過,很多人對“無檔案攻擊”的概念,還不是很瞭解。雖然此前關於“無檔案攻擊”的攻擊事件和案例,我們也介紹過不少,但有些東西還是沒有講透,今天我們就來講講無檔案攻擊的4種基本技術。
“無檔案攻擊”這一術語往往會讓人產生歧義,比如無檔案攻擊就代表真的沒有攻擊檔案嗎?沒有檔案又如何實施攻擊?如何檢測?如何防禦……,其實“無檔案攻擊”只是一種攻擊策略,其出發點就是避免將惡意檔案放在磁碟上,以逃避安全檢測。有一點需要明確,就是無檔案惡意軟體也要使用檔案。
最初,“無檔案攻擊”是指沒有持久駐留在記憶體中的惡意程式碼的攻擊,不過隨著攻擊技術的迭代,該術語的指代面越來越廣了,現在安全行業已將那些依賴檔案系統,以實現惡意程式碼啟用和駐留的惡意軟體也成為“無檔案惡意軟體”。由於在無檔案惡意軟體攻擊中,系統變得相對乾淨,傳統的防毒軟體很難或根本無法識別這種感染並及時通知技術人員進行防禦,所以這種攻擊越來越普遍。
其實,“無檔案”這一術語也在不同的時間點是有不同含義的,早在2012年,有文章最初就使用了“無檔案惡意軟體”這一詞彙。但是,為了應對無檔案攻擊的挑戰,就需要消除這一術語的歧義,以瞭解它涵蓋的各種技術。因此識別它如何影響特定的環境和防禦策略就變得非常重要。
據GoogleTrends的監測結果顯示,“無檔案惡意軟體”此前有過很多不同的稱呼,比如: “無形惡意軟體”、“零足跡攻擊”或“無/巨集惡意軟體攻擊”。這些詞早在2012年到2014年之間就零星的出現過。不過隨著這一技術的使用頻率增加,網路安全人員對這一術語的集中討論卻發生在2015年,直至2017年隨著網路安全的概念深入人心,無檔案惡意軟體”這個詞也被定了下來並被大眾所熟知。
儘管存在防毒軟體和應用程式白名單等反惡意軟體的控制措施,但無檔案攻擊也包含各種應對策略,允許攻擊者進行有針對性的攻擊。下面概述了無檔案攻擊所涉及的方法,旨在為無檔案攻擊的防禦提供明確的概念和理論指導。現在,就讓我們來看看無檔案攻擊所包含的具體技術,以及它們為什麼常常能利用這些技術逃避現有的檢測。
技術1:惡意檔案所發揮的作用
許多專業安全分析人員通過長期的跟蹤分析,確認無檔案的攻擊其實是包含各種檔案的。在這種情況下,攻擊者提供惡意檔案通常會作為電子郵件附件,用於以下其中一種目的:
1.惡意檔案可以充當其他檔案的靈活容器:例如,攻擊者可以在Microsoft Office檔案中嵌入JavaScript檔案,並對收件人進行社交工程攻擊,當受害者開啟嵌入的檔案時,惡意檔案就開始執行所帶的指令碼了。另外,可以攜帶惡意檔案的其他檔案型別包括PDF和RTF。由於此功能是特定應用程式才包含的一項功能,因此防毒軟體的技術通常不會干擾這些檔案的使用。
2.惡意檔案可以攜帶執行惡意程式碼的漏洞:如今的檔案功能越來越複雜,不過功能多的同時所包含的攻擊面也就增大,比如攻擊者可以利用諸如解析漏洞之類的漏洞。在這種情況下,攻擊者就可以在受損應用程式的記憶體中觸發捆綁的shellcode,執行攻擊,即使不將程式碼儲存到檔案系統,攻擊者也可以在發起攻擊。
3.檔案可以執行傳播過程中的惡意邏輯,如今的檔案都支援強大的指令碼功能,例如Microsoft Office執行VBA巨集的功能。這些功能允許攻擊者在沒有編譯可執行檔案的情況下實現惡意邏輯,這就是利用了許多防毒工具在區分惡意指令碼和良性指令碼方面的弱點。檔案指令碼功能包括啟動程式和下載惡意程式碼。
雖然檔案駐留在攻擊端的檔案系統上,但攻擊者可以不將這些傳統惡意可執行檔案放置在磁碟上。在許多情況下,這些檔案會直接在攻擊目標的記憶體中執行惡意程式碼,這也是無檔案攻擊的重要組成環節。有關攻擊者如何使用這些檔案發起攻擊的詳細案例,請參閱Omri Moyal關於濫用Microsoft Office支援 ofollow,noindex">DDE 的文章。還有一篇文章是關於“攻擊者如何將自己插入對話以傳播惡意軟體”,請 點此 檢視。
技術2:惡意指令碼所發揮的作用
為了避免將惡意程式碼編譯成傳統可執行檔案的目標,無檔案攻擊的開發者需要在利用無檔案屬性進行攻擊時依賴惡意指令碼。除了檔案原來就支援的指令碼之外,如上所述,攻擊者可以直接在Microsoft Windows上執行的指令碼提供了以下攻擊優勢:
1.這些惡意指令碼可以與作業系統進行互動,而不受某些應用程式(如Web瀏覽器)可能對指令碼施加的限制。
2.與經過編譯的惡意可執行檔案相比,防毒軟體更難檢測和控制這些惡意指令碼。
3.這些腳步提供了許多靈活的攻擊機會,可以將惡意邏輯分散到多個程序中,以逃避檢測。
4.這些腳步在被混淆處理後,減緩安全分析師的分析速度,為進一步逃避檢測提供時間。Microsoft Windows包括Shell/">PowerShell,VBScript,批處理檔案和JavaScript的指令碼直譯器,攻擊者呼叫並執行這些指令碼的工具包括powershell.exe,cscript.exe,cmd.exe和mshta.exe。通過新增適用於Linux的Windows子系統,Microsoft可以在攻擊端上提供更多指令碼技術。有關企業在限制這些工具的濫用方面所面臨的挑戰的一個案例,請參閱Gal Bitensky在討論 Invoke-NoShell 實用程式的文章。
攻擊者可以使用現成的混淆指令碼的框架,而不必自己來實現這種複雜的逃避策略。這些措施包括Daniel Bohannon開發的適用於PowerShell和Invoke-DOSfuscation框架的 Invoke-Obfuscation 。具體案例,請參考Minerva對 Emotet 的指令碼混淆的分析。
技術3:與本地程式互動
關於無檔案攻擊的討論通常包括濫用Microsoft Windows中內建的眾多實用程式,這些工具允許對手從攻擊的一個階段轉移到另一個階段,而無需依賴編譯的惡意可執行檔案。這種經營方式有時被稱戲稱為“靠土地為生(living off the land)”。
一旦攻擊者的惡意程式碼可以與本地程式互動,那麼檔案感染程式就開始啟動,此時攻擊者就可以開始濫用作業系統內建的實用程式來下載其他惡意控制元件,啟動程式和指令碼,進而竊取資料,大肆感染,保持永續性攻擊等。攻擊者為了與本地程式互動,呼叫了許多工具,其中包括regsvr32.exe,rundll32.exe,certutil.exe和schtasks.exe。關於攻擊者如何以這種方式濫用內建二進位制檔案、庫和指令碼描述,請參閱Oddvar Moe的 LOLBAS專案 。
內置於作業系統中的Windows Management Instrumentation(WMI)為攻擊者提供了更多與本地程式互動的機會。WMI允許攻擊者在wmic.exe可執行檔案(以及其他一些檔案)的幫助下使用指令碼(例如PowerShell)並與攻擊端的大多數程式功能進行互動。由於這些操作僅涉及受信任的內建Windows功能,因此防毒軟體技術難以進行檢測和限制。有關WMI如何協助無檔案攻擊的解釋,請參閱Matt Graeber撰寫的濫用 WMI構建持久、非同步和無檔案後門 的文章。
攻擊者通過利用這種良性和可信賴的實用程式,大大增加了逃避檢測的概率。有關此類技術的其他示例,請參閱Matthew Dunwoody對APT29使用 WMI和PowerShell構建 無檔案後門的概述。
技術4:記憶體中的惡意程式碼
雖然檢查磁碟上的檔案是許多防毒軟體產品的優勢,但它們經常會被僅駐留在記憶體中的惡意程式碼所難道,由於記憶體是不穩定的和動態變化的,這就使惡意軟體有機會改變其攻擊方式或以其他方式逃避防毒檢測。
一旦攻擊者開始在攻擊端上執行惡意程式碼,那攻擊者就可以將惡意軟體解壓縮到記憶體中,而不會將惡意控制元件儲存到檔案系統中,這可能涉及到將程式碼提取到程序本身的記憶體空間中的技術。在其他情況下,惡意軟體會將程式碼注入受信任的流程和其他良性流程中。
記憶體攻擊技術的案例包括:
1.記憶體注入利用Microsoft Windows的功能與作業系統進行互動,而不會利用漏洞。例如,經常被注入惡意軟體進行濫用的API呼叫包括VirtualAllocEx和WriteProcessMemory,它們允許用一個程序將程式碼寫入另一個程序。要了解這些技術的實際應用,請閱讀Gal Bitensky對AZORult攻擊的概述, AZORult 是一個功能強大的資訊竊取程式和下載程式。
2.攻擊者可以將已編譯的可執行檔案包裝成指令碼,以便在執行時將惡意載荷提取到記憶體中,PowerSploit就是這樣的工具包的一個例子,你可以通過閱讀Asaf Aprozper和Gal Bitensky的 GhostMiner分析 來看到它的執行,而Chris Truncer的 Veil框架 又是另一個案例,感興趣可以讀一下。
3.Process Doppelgänging是一種繞過殺軟檢測的新技術,這種新的攻擊方式對所有windows平臺都有效,並且能夠攻擊目前可見的大部分安全產品。Doppelgänging利用兩種特性來掩蓋載入修改版可執行檔案的過程。通過使用NTFS,攻擊者可以在不寫入磁碟的情況下修改可執行檔案。這意味著,攻擊可以為修改版的可執行檔案建立程序,而防毒軟體的安全機制檢測不到。這種方法很像程序中空技術,但是更加高階。攻擊者可以在沒有可以程序和記憶體操作(如SuspendProcess和NtUnmapViewOfSection)的情況下,讓惡意軟體在正常軟體的程序中執行任意程式碼。 SynAck 惡意軟體就使用了這種逃避技術,以試圖終止與虛擬機器、辦公應用程式、指令碼直譯器、資料庫應用程式、備份系統以及遊戲應用程式等相關的程式。研究人員認為,SynAc這樣做的目的在於授予自身能夠訪問這些程序所使用的有價值檔案的許可權。如同其他勒索軟體一樣,SynAck也會收集一些關於受感染主機的基本資訊,如計算機和使用者名稱、作業系統版本資訊等,然後使用隨機生成的256位AES金鑰對目標檔案進行加密。在檔案被加密後,將會被附加一個隨機生產的副檔名。除此之外,SynAck還會清除系統儲存的事件日誌,並且可以通過修改登錄檔中的LegalNoticeCaption和LegalNoticeText鍵將自定義文字新增到Windows登入螢幕。
記憶體攻擊技術允許攻擊者繞過許多防毒檢測技術,包括應用程式白名單。雖許多防毒工具試圖捕獲記憶體注入,但攻擊者的攻擊技術明顯技高一籌,Asaf Aprozper的 CoffeeShot 工具通過在Java中實現注入方法來演示這種檢測嘗試的脆弱性。
總結
如今,無檔案攻擊已經常態化了。雖然一些攻擊和惡意軟體家族在其攻擊的各個方面都企圖實現無檔案化,但只有一些功能才能實現無檔案化。對於攻擊者來說,無檔案化只是試圖繞過攻擊的一種手段,至於是否有檔案,都只是表象。往後攻擊者可能會將所有攻擊技術進行組合,包括使用惡意檔案、惡意指令碼、與本地程式互動和記憶體注入。具有無檔案屬性的攻擊是基於應用程式和作業系統功能的,利用了防毒工具在嘗試檢測和防止各種濫用時的盲點。