无文件情势的歹意软件:相识非歹意软件进击(一) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

无文件情势的歹意软件:相识非歹意软件进击(一)

申博_新闻事件 申博 22次浏览 已收录 0个评论

不止CVE-2019-5031: Foxit PDF阅读器8个高危破绽

本周Foxit软件发布了关于Foxit pdf阅读器的8个漏洞利用。Foxit软件去年的数据显示产品使用用户超过4.75亿。Foxit软件建议用户更新Foxit pdf阅读器到最新的9.7版本。 8个CVE高危漏洞 CVE-2019-5031 研究人员在Foxit PDF阅读器9.4.1.16828版本的JavaScript引擎的JavaScript Array.includes中发现了一个内存破坏漏洞——CVE-2019-5031。该漏洞CVSS分值为8分,是这8个漏洞中最严重的。攻击者利用一个精心伪造的PDF文档就可以触发一个out-of-memory条件,导致处理不当引发任意代码执行。攻击

无文件情势的歹意软件:相识非歹意软件进击(一)

与基于文件的进击差别,无文件歹意软件不会应用传统的可实行文件。无文件进击滥用了操纵体系内置的东西来举行进击。从本质上讲,Windows是阻挡本身的。

没有可实行文件,杀毒软件就没法检测到署名,这就是无文件进击云云风险的缘由,因为它们能够轻松回避防病毒产物。

应用MITRE ATT&CK框架防备这些进击,MITRE ATT&CK是一款能够加快检测与相应的最新东西(敌手战术及手艺的大众知识库),引起了业界广泛注重。MITRE ATT&CK深入研讨敌手行为,平安剖析师可应用该信息在收集攻防战中占有有益职位,能够经由历程五个步骤运用ATT&CK建立闭环平安历程。

无文件进击运用一种称为“陆地生计(living-off-the-land)”的手艺。陆地生计是指进击者将正当东西用于歹意目的,而且已存在最少25年了。被滥用的正当东西被称为LOLBins,这个观点最初在2013年DerbyCon黑客大会由Christopher Campbell和Matt Graeber举行制造,终究Philip Goh提出了LOLBins这个观点。随后举行广泛的互联网民意调查,并在杀青广泛共鸣(69%)以后,该称号被正式指定。

什么顺序才称之为LOLBins?现在LOLBins稀有的应用东西的包含Microsoft Office Macros,PowerShell,WMI和许多其他体系东西。

非歹意软件如何事情?

无文件歹意软件应用在操纵体系上运转的受信托的正当历程(LOLBins)来实行歹意运动,比方横向挪动,特权提拔,回避,侦探和有效载荷的通报。

在我们的研讨中,仅在2019年,我们就发明并防备或检测了许多无文件进击案例。我们已看到进击者在其进击中运用了一系列默许的Windows历程,包含:

1.PowerShell,具有Cobalt Kitty行为,Ramnit Banking木马,Emotet,TrickBot和Ryuk的三重要挟以及Fallout Exploit Kit等进击。

2.Windows Management Instrumentation(WMI),具有像Operation Soft Cell,Shade Exploit Kit,Adobe Worm Faker和 GandCrabs Evasive进击之类的进击。

3..NET,带有类似新Ursnif变体的进击;

4.歹意宏,带有类似新Ursnif变体的进击;

以上只是部份用于无文件进击的历程的详实列表,然则,这些是我们本文要重点引见的LOLBins,因为我们能够有效地,比其他任何人更好地防备这些无文件进击。

在进击中运用非文件歹意软件的缘由

1.隐形进击:无文件歹意软件运用正当东西,这意味着险些不能够将无文件进击中运用的东西列入黑名单。

2.超前的生计能力:默许情况下,会装置用于无文件歹意软件的正当东西,进击者无需建立或装置任何自定义东西即可运用它们。

3.受信托和常常被运用:这些东西是常常运用和信托的,出于正当目的,在企业环境中运转无文件歹意软件中运用的东西并不稀有。

非文件歹意软件的歹意应用

有100多种Windows体系东西能够作为LOLBins加以应用和滥用。

Django 开辟中你不可不知的 7 个 Web 平安头

Web 是一个不断发展的平台,有很多向后兼容的问题。 新的 web 安全实践通常来自于对存在缺陷的旧功能的认识。 与其通过改变这些功能来破坏旧网站,还不如选择加入一些更安全的设置。 你可以通过设置 HTTP 头来实现这一点。 Securityheaders.com 是一个由安全顾问 Scott Helme 运行的工具,它可以在这些安全头上创建一个报告。 它为任何 URL 提供从 F 到 A+ 的评分,这是一种度量网站安全状况的简单方法。 但是,像任何自动化报告一样,它需要人工解释报告的上下文。 (我也推荐 Mozilla

PowerShell

PowerShell是Microsoft建立的跨平台,开源使命自动化和配置治理框架,基于.NET的PowerShell框架由敕令行外壳和剧本言语构成。 PowerShell能够完整接见许多Windows体系功用,包含WMI和组件对象模子(COM)对象,以及Microsoft Exchange效劳器和其他效劳器的治理功用。别的,它能够直接从内存中实行有效载荷,这使进击者能够应用有效载荷来处置惩罚无文件歹意软件。

什么是POWERSHELL正当运用?

PowerShell旨在用作自动化东西。关于治理员来讲,自动实行烦琐且反复的使命是一种节约的挑选。PowerShell功用强大,你能够运用PowerShell在收集上的一切盘算机上显现一切已装置的USB装备。你能够运用它来设置在背景运转的使命,也能够运用它杀死历程或导出有关盘算机的信息,这就是使PowerShell对IT治理员云云重要的缘由,他们能够自动完成许多须要专注于其他使命的使命。因为IT治理员天天都须要黑名单,因而这些历程险些不能够举行黑名单。

为何要运用POWERSHELL举行无文件进击?

PowerShell使进击者能够疾速接见操纵体系的体系功用,而且被公认为正当,可托的东西。

进击者运用PowerShell举行无文件进击的缘由许多,包含:

1.默许装置:在Windows上默许装置PowerShell;

2.受信托和频仍运用:体系治理员频仍运用和信托PowerShell,这在企业环境中运转PowerShell历程并不稀有。

3.易于殽杂:PowerShell剧本易于殽杂,运用老版平安东西能够难以检测。

4.供应长途接见:PowerShell默许情况下具有长途接见功用,因而进击者能够长途运用它。

能够考虑一下,运用现有的东西(如PowerShell)使进击者更轻易运用它内置的功用,不仅能够与进击者举行外部通讯,还能够直接对操纵体系举行多种变动,这是运用PowerShell举行进击的将来潜力。

POWERSHELL如何提议进击?

1.Operation Cobalt Kitty:Operation Cobalt Kitty这是平安公司Cybereason 报导的一系列进击运动,这些运动集合在亚洲地区,目的在于攻下商业公司获取其中心材料。这一系列进击具有类似的手段和手艺特性,Cybereason在2017年5月将其命名为 Cobalt Kitty,宣告了相干的剖析效果。这些进击恰是运用了基于无文件的PowerShell的基本架构以及自定义PowerShell载荷作为操纵的一部份,并终究盗取了专有营业信息。

2.Ramnit银行木马:Ramnit初始形状为蠕虫病毒,经由历程自滋生战略获得敏捷流传,感染盘算机的exe、dll、html、htm、vbs文件,新变种经由历程捆绑在未知泉源的软件或植入到受益网站的东西包中举行流传,受感染机械构成僵尸收集,对收集上的目的提议DDoS进击。2019年,Cybereason Nocturnus团队在将客户到场主动要挟佃猎效劳时发明了对客户的严重要挟。此进击是长途效劳器实行PowerShell敕令的操纵的一部份,该敕令终究会泄漏包含银行凭证的敏感数据。

3.针对日本的新Ursnif变体:Cybereason Nocturnus团队发明了具有加强功用的多产Ursnif木马的新变体。此变体在PowerShell中运用无文件手艺来搜检目的盘算机上的言语设置。 PowerShell敕令由运用.NET Framework的歹意宏实行。该进击从邮件客户端和阅读器中存储的电子邮件凭证中盗取数据,特别是针对银行客户。

4.三重要挟(Triple Threat,Emotet、Ryuk 和 TrickBot 联袂睁开新的信息盗取运动):Emotet布置TrickBot盗取数据并流传Ryuk:2019年,Cybereason Nocturnus团队发明了一种要挟,该要挟影响了运用三种差别重要歹意软件的多个客户:Emotet,TrickBot和Ryuk。此变体运用歹意宏实行下载Emotet有效载荷的PowerShell敕令。这类进击不仅会泄漏一系列敏感数据,还会流传Ryuk讹诈软件,从而形成进一步的损坏。

5.FalloutExploit Kit进击:2019年,Cybereason Nocturnus团队发明了一种应用一样平常Internet阅读来装置歹意软件的进击。此进击运用PowerShell实行终究的AZORult信息盗取者有效载荷,AZORult是一种信息盗取的歹意软件,跟着时候的推移已生长成为一种多层功用的软件。经由历程运用PowerShell,它绕过Windows中的反歹意软件扫描接口庇护机制。InfoStealer会盗取个人数据,比方比特币敏感文件,登录数据等。

6.Sodinokibi:讹诈软件的王储:在2019年5月,中国国内发作大批借助垂纶邮件体式格局流传的sodinokibi讹诈进击。该病毒与赫赫有名的GandCrab较为类似,该病毒已宣告住手运营。而sodinokibi讹诈险些完整继承了GandCrab的流传渠道。sodinokibi讹诈病毒起首涌现于2019年4月尾,初期运用web效劳相干破绽流传。近期发明,sodinokibi讹诈病毒会伪装成税务单元、司法机构,运用垂纶敲诈邮件来流传。

本篇文章,我们引见了非歹意软件如何事情?在进击中运用非文件歹意软件的缘由,以及PowerShell,什么是POWERSHELL正当运用?为何要运用POWERSHELL举行无文件进击?下篇文章,我们将继承引见indows治理东西(WMI),以及为何要运用WMI举行无文件进击?别的还对.NET框架以及为何要运用.NET举行无文件进击都做了引见。

本文翻译自:https://www.cybereason.com/blog/fileless-malware


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明无文件情势的歹意软件:相识非歹意软件进击(一)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址