无文件情势的歹意软件:相识非歹意软件进击(2) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

无文件情势的歹意软件:相识非歹意软件进击(2)

申博_安全工具 申博 30次浏览 已收录 0个评论

在 AWS 云环境中滥用 VPC 流量镜像抓取网络流量

云环境下的网络检测问题 人们可能希望监视云环境中的网络流量有很多原因——出于攻击和防御的目的。 被动的网络检查在云环境中可能很困难,而且在这之前需要对网络配置进行重大修改,以确保每台主机都被监控,并且不会被恶意用户绕过。 这意味着作为一个攻击者,监视整个网络会产生数量难以置信的噪声,而且破坏任何东西也变得非常危险。 对于在云端进行通用网络检查遇到的困难,渗透测试人员采用了其他更简单的方法,比如审查 Elastic Load Balancer 访问日志。 这些日志可以为 你提供一些信息,

无文件情势的歹意软件:相识非歹意软件进击(2)

上篇文章,我们引见了非歹意软件怎样事变?在进击中运用非文件歹意软件的缘由,以及PowerShell,什么是POWERSHELL正当运用?为何要运用POWERSHELL举行无文件进击?本篇文章,我们将继承引见indows治理东西(WMI),以及为何要运用WMI举行无文件进击?别的还对.NET框架以及为何要运用.NET举行无文件进击都做了引见。

Windows治理东西(WMI)

Windows Management Instrumentation(WMI)是Microsoft规范,用于接见有关企业环境中装备的治理信息。自Windows NT 4.0和Windows 95以来,WMI已深深嵌入到Windows操纵体系中。

WMI的正当用处是什么?

WMI就是关于网络上Windows装备的治理。它可以为你供应有关当地或长途盘算机状况的信息,而且可以用于设置平安设置,比方体系属性,用户组,调理历程或禁用毛病日记纪录。关于须要轻松治理网络上一切盘算机的治理员来讲,WMI异常有代价-这是企业中常常发作的使命。这类治理关于IT部门的胜利至关重要,由于IT部门没法挣脱他们的一样平常事变。

为何要运用WMI举行无文件进击?

WMI最早且最主流的歹意运用目的是在Stuxnet中,震网病毒别名Stuxnet病毒,是一个囊括环球工业界的病毒。震网(Stuxnet)病毒于2010年6月初次被检测出来,是第一个特地定向进击实在天下中基本(动力)设备的“蠕虫”病毒,比方核电站,水坝,国家电网。互联网平安专家对此示意忧郁。作为天下上首个网络“超等损坏性兵器”,Stuxnet的盘算机病毒已感染了环球凌驾 45000个网络,伊朗遭到的进击最为严峻,60%的个人电脑感染了这类病毒。盘算机安防专家以为,该病毒是有史以来最高端的“蠕虫”病毒。从那时起,进击者便常常采用它举行侦探,防病毒检测,代码实行,虚拟机检测,肆意流传,耐久性和数据偷窃。

进击者运用WMI举行无文件进击的缘由很多,包括:

1.默许状况下装置:Windows上默许装置WMI。

2.受信托和频仍运用:体系治理员频仍运用和信托WMI,看到在企业环境中运用WMI并不少见。

3.作为体系运转:任何永久性WMI事宜定阅都作为体系运转,从而使它们更具可信度。

4.轻易触发:险些每一个操纵体系行为都可以触发WMI事宜,从而使其与操纵体系行为连系运用异常轻易。

有关运用WMI举行无文件进击的深切申明,请浏览“滥用WMI来构建耐久,异步和无文件后门顺序”。

现在哪些进击运用了WMI?

1.GandCrab的回避性感染链:在2019年,Cybereason Nocturnus小组发明并阻挠了针对日本跨国公司的运动。该进击运用歹意宏作为触发来解密有效载荷,并运用WMI对象设置环境变量。这类进击的最终目的是讹诈盘算机。现在,GandCrab讹诈软件担任环球40%的讹诈软件感染。

2.Adobe Worm Faker供应自定义的有效载荷:2019年6月Cybereason发明了一个风趣的歹意软件样本,并将之命名为Adobe Worm Faker,它是一类应用LOLBins举行进击的蠕虫病毒,可以依据运转的机械动态地转变其行为,以便在每台目的机械上挑选最好的破绽应用和payload。这类歹意软件潜伏的损坏性风险特别高,且可以回避AV和EDR产物,须要人工检测才发明一些端倪。该歹意软件依据目的盘算机动态变动其行为,该进击运用WMI要领网络有关目的盘算机的信息并网络有关目的盘算机上现有杀毒软件产物的信息。进击的重要目的是盗取客户信息,比方财务数据和暗码。

3.Soft Cell进击:早在2018年,Cybereason的Nocturnus团队发明了针对环球电信供应商的高等持续性进击,这类进击的重点是猎取特定的高代价目的的数据,并完整接受网络。依据取得的数据,研讨职员将这类进击称为Operation Soft Cell,Operation Soft Cell最少自2017年以来一向活泼。进击者试图盗取存储在运动目次中的一切数据,以及构造中的每一个用户名和暗码,以及其他个人身份信息,计费数据,呼唤细致纪录,凭证,电子邮件服务器,用户的地理位置。进击运用WMI敕令在网络上横向挪动。在被发明之前,这类进击从电信供应商那边盗取了诸如呼唤细致纪录之类的数据。

4.Exploit Kits(以下简称EK)应用新场景:2019年,Cybereason团队在野外视察到了Spelevo破绽应用东西包。该进击运用WMI胜利实行了其有效载荷,该进击用于点击敲诈,这是对其讹诈软件功用的一次转变。Spelevo类似于RIG和GrandSoft之类的EK,极能够由俄罗斯黑客构造开辟,这些东西包每个月的“房钱”约为1000美圆至1500美圆。在2019年7月,进击进击者将Spelevo?EK和Shade绑缚在一同,能在受害者难以发觉的状况下完成诳骗,这点与Shade讹诈软件的重要用处有点不一样。我们之前有研讨过,敲诈点击每一年都在以50%的速率在增进,是疾速而又隐藏赢利的一种要领。

.NET框架

.NET是Microsoft供应的一个开放源代码框架或一组通用,经常使用和可编辑的功用。它具有两个重要组件,开辟职员可以一同运用它们来建立应用顺序:大众言语运转库和.NET Framework类库。为.NET框架编写的顺序在软件环境“通用言语运转时”中实行。.NET于2000岁尾初次宣布于beta版本。今后,它不仅作为框架而且作为构建Web,挪动和桌面应用顺序,而且还作为更特定的应用顺序模子的开放源代码开辟职员平台而遭到迎接。

.NET的正当用处是什么

.NET是Microsoft构建的框架,用于开辟种种应用顺序。它供应对开辟职员常常运用并可以构建的功用基本构造的接见,它与几种编程言语一同运用,包括C#,VB.NET Shop,C ++和F#。它可用于建立基于Windows的应用顺序,云应用顺序,人工智能应用顺序以至跨平台应用顺序。

比方,你可以运用.NET来ping网络上的另一个IP地点,或建立一个新历程。.NET可用于分派内存,建立新线程或编写shellcode,这些只是可以在应用顺序中运用.NET数万种要领的几个示例。

为何要运用.NET举行无文件进击?

.NET是一个使人印象深入的框架:.NET应用顺序可以在多个平台和体系构造上运转。它为开辟职员节省了时候,并使他们可以轻松接见中心机械功用。为了使事变更直观,PowerShell构建在.NET Framework之上。没有.NET,就没有PowerShell。然则,它也常常与无PowerShell无关地用于无文件进击。

进击者运用.NET举行无文件进击的缘由很多,包括:

无文件情势的歹意软件:相识非歹意软件进击(一)

与基于文件的攻击不同,无文件恶意软件不会利用传统的可执行文件。无文件攻击滥用了操作系统内置的工具来进行攻击。从本质上讲,Windows是反对自己的。 没有可执行文件,杀毒软件就无法检测到签名,这就是无文件攻击如此危险的原因,因为它们能够轻松逃避防病毒产品。 利用MITRE ATT&CK框架防御这些攻击,MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战术及技术的公共知识库),引起了业界广泛注意。MITRE ATT&CK深入研究对手行为,安全分析师可利用该信息在网络攻防战中占据

1.默许装置:.NET默许装置在Windows上;

2.受信托和常常运用:.NET特地有一个开辟职员社区,可将其用于任何数目的受信托和常常运用的应用顺序。

3.节省时候:.NET使人们能够愿望更轻松地实行很多稀有使命,由于该框架具有不计其数的功用,进击者可以运用这些功用与体系举行交互。

4.易于实行:.NET易于运用,有大批文档可用于使开辟职员可以构建正当的应用顺序,信息进击者可以应用这些信息来完成本身的目的。

哪一个进击运用了.NET?

1.针对日本的新Ursnif变体:Cybereason Nocturnus团队发明了具有加强功用的多功用Ursnif木马的新变体。此变体在PowerShell中运用了无文件手艺来搜检目的盘算机上的言语设置。PowerShell敕令由运用.NET Framework的歹意宏实行。该进击从邮件客户端和浏览器中存储的电子邮件凭证中盗取数据,特别是针对银行客户。

2.Sodinokibi:讹诈软件的王储:在2019年,Cybereason Nocturnus团队剖析了一种新型讹诈软件Sodinokibi。此进击运用PowerShell和.NET加载和实行歹意软件。该进击用于布置讹诈软件,能够对构造和个人形成严峻损坏。

在Microsoft Office中,宏用于自动实行稀有使命。它们通常在Word文档或Excel电子表格中建立,作为一系列敕令组合在一同以自动完成使命。很多宏都是运用Visual Basic for Applications制造的,而且可以由任何人(包括软件开辟职员)编写。

正当运用了哪些宏?

宏异常有效,尤其是在Microsoft Excel文档中运用时,可以运用宏将须要反复实行的任何使命自动化。比方,每个月,管帐师都须要对一切逾期的客户帐户举行报告。宏可以自动实行此使命,以便宏自动列出并标记逾期的帐户。这节省了应自动举行的管帐时候和精神。此示例常常在企业环境中发作。

为何运用宏举行无花样进击?

运用宏举行无文件进击很轻易,由于宏可以轻松地与网络垂纶运动和社会工程手艺相连系,以诳骗用户。在企业中,常常会收到Microsoft Word或Excel文档。关于从公司或人处翻开Microsoft Word文档或潜伏的潜伏客户,大多数人不会三思而后行。

歹意宏还可以实行种种使命,包括运转PowerShell实例。从那边,进击者可以运用PowerShell实行种种使命,包括下载歹意负载。

进击者运用宏举行无文件进击的缘由有很多,包括:

1.默许状况下装置:默许状况下,Microsoft Office可以运用宏。然则,默许状况下不启用宏。

2.受信托和频仍运用:企业频仍运用和信托Microsoft Office。在企业环境中吸收Microsoft Word或Excel文档并不稀有。

3.易于完成:关于怎样编写宏,有大批可用的文档,Microsoft有意使它们易于完成,因而任何人(不管手艺背景怎样)都可以运用它们。

4.操纵体系不可知:宏是在考虑到特定应用顺序的状况下完成的,通常是Microsoft Word或Excel,这意味着它们在很大程度上与操纵体系无关,并感染运转任何操纵体系的盘算机。

歹意软件都离别运用了什么样的宏?

1.针对日本的新Ursnif变体:CCybereason Nocturnus团队发明了具有加强功用的多产Ursnif木马的新变体。此变体在PowerShell中运用无文件手艺来搜检目的盘算机上的言语设置。PowerShell敕令由运用.NET Framework的歹意宏实行。该进击从邮件客户端和浏览器中存储的电子邮件凭证中盗取数据,特别是针对银行客户。

2.三重要挟:Emotet布置TrickBot盗取数据并流传Ryuk:2019年,Cybereason Nocturnus团队发明了一种要挟,该要挟影响了运用三种差别重要歹意软件的多个客户:Emotet,TrickBot和Ryuk。此变体运用歹意宏实行下载Emotet有效载荷的PowerShell敕令。这类进击不仅会走漏一系列敏感数据,还会使Ryuk讹诈软件进一步装置,从而形成进一步的损坏。

3.TA505以金融企业为目的:TA505是Proofpoint一致追踪的网络犯法构造,重要针对环球金融机构举行进击运动,举行以窃密资金为目的经济犯法运动,以流传Dridex、Locky等歹意样本而臭名远扬。2019年,Cybereason Nocturnus团队发明了针对金融机构的精心策划的行为。此变体运用歹意宏实行Windows历程以连接到长途敕令和掌握服务器,这类进击在用来悄然盗取尽量多数据的体系上植入了后门。

4.GandCrab的回避性感染链:在2019年,Cybereason Nocturnus小组发明并阻挠了针对日本跨国公司的运动。该进击运用歹意宏对有效载荷举行解密,并运用WMI对象设置环境变量。这类进击最终将目的盘算机讹诈了。 GandCrab讹诈软件担任环球40%的讹诈软件感染。

为何检测和防备无花样歹意软件具有挑战性?

无文件歹意软件取决于企业专业职员一样平常事变流程中包括的东西,进击者晓得他们可以依托每台Windows装备上预先装置的一组东西,这些东西关于企业的一样平常运营至关重要。无文件歹意软件还会削减磁盘上的文件数目,这意味着基于署名的防备和检测要领将没法辨认它们。这使得剖析职员或平安产物难以辨认该东西是用于歹意目的照样通例的一样平常操纵。剖析职员必需对本身的环境有深入的相识,才辨认事变中的LOLBins。

假如你对本文感兴趣,可点此检察细致的剖析报告。

本文翻译自:https://www.cybereason.com/blog/fileless-malware


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明无文件情势的歹意软件:相识非歹意软件进击(2)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址