新闻中心 > 新闻详情

安芯网盾:高级威胁之无文件攻击篇

2021 年 08 月 19 日

当下,攻击者不断寻找新的、复杂的攻击方法对攻击目标发起攻击,以绕过传统检测工具、达到攻击目的。基于内存的无文件攻击作为新型高级威胁,被广泛利用。之所以出现这种情况,是因为无文件攻击可以绕过传统的基于文件或者基于签名的工具的保护,最终在安全防护相对薄弱的内存层面执行,更容易完成攻击目的。

根据思科2020年上半年端点检测数据显示,在关键威胁漏洞中,无文件攻击占比达到30%。可见,无文件攻击对端点造成的威胁不容小觑。

端点威胁数据

图1 端点威胁数据

无文件攻击的威胁性

无文件攻击多数是一种不依赖带有病毒的文件来感染主机的攻击方式,其仅存在于RAM中,它可以通过使用漏洞、宏、脚本或合法的系统工具,避免在某个阶段将恶意的可执行文件植入计算机的硬盘驱动器中。此类攻击旨在从系统内存发起,基本不触及本地文件系统,因此绕过了许多基于病毒样本库的恶意软件识别解决方案。一旦一台机器被入侵,它就可以用来访问“合法的系统管理工具和流程,以获得持久性、提升特权并在网络中横向传播”。

通常,在基于文件的攻击中,二进制有效载荷被下载到目标机器上便可以执行恶意操作。传统防病毒软件可以通过识别恶意软件的签名并将其与已知恶意软件的数据库进行比较来防止这些已知攻击。而无文件攻击可以绕过基于签名的检测机制,使其被检测更困难。

主要是由于如下几点:

首先,因为它没有可识别的代码或签名,传统的防病毒工具无法检测到无文件恶意软件。

其次,无文件威胁存在于系统的内存 (RAM) 中,这意味着很难通过硬盘扫描进行排查,通常没有可追踪的数字足迹。

最后,由于无文件恶意软件不遵循既定的行为模式,并且经常利用受信任的进程来掩盖恶意行为,因此依赖行为分析的EDR平台无法追踪和暴露无文件威胁,也无法检测到它。

无文件攻击常见的4大特性

因为它基本不依赖于系统上文件的下载、安装或执行,所以无文件恶意软件很难被检测到。传统的防病毒软件包依靠可执行文件的签名来嗅探恶意软件,但无文件恶意软件不会留下这样的签名。

事实上,在许多情况下,它仅在与其关联的合法进程也在运行时运行。并增加了额外的难度,它仅在计算机运行时运行,并在重新启动时消失得无影无踪。无文件攻击可以通过Office文档、PDF或其他合法文件类型来释放shellcode等行为来感染系统,也可以通过在漏洞利用工具包受影响的站点上进行简单的Web浏览来感染系统。

无文件恶意软件的常见属性:

  • 存在于计算机系统内存中。

  • 避开传统的病毒签名或基于哈希的检测。

  • 利用操作系统中内置的进程和系统中安装的授权应用程序。

  • 击败基于反恶意软件扫描的系统方法。

无文件攻击&MITRE ATT&CK攻击

ATT&CK是MITRE提供的“对抗战术、技术和常识”框架,是由攻击者在攻击企业时会利用的12种战术和244种企业技术组成的精选知识库。常被用于:对抗模拟、红队/渗透测试活动、SOC成熟度评估、网络威胁情报搜集等场景。无文件攻击参与了MITRE ATT&CK攻击模型的4个阶段:

阶段1:获取访问权限

通过远程利用漏洞或web脚本进行远程访问,攻击者可以访问受害者的系统,为他的攻击建立一个立足点。这个阶段可以使用中国chopper工具提供的网壳。

阶段2:窃取凭证

获得访问权限后,攻击者使用受害者系统上的内置powershell运行一个脚本,转储凭据。这些收获的凭据可以让他在内部环境中横向移动。在这个阶段,Mimikatz工具出现并执行这个操作。

阶段3:维护持久性

为了保持访问获得,攻击者修改系统的注册表,以创建后门,允许容易访问受害者的环境。粘键杀戮器是一个工具,可以用来确保通过粘键绕过持久性。

阶段4:转移数据

攻击者利用受害者的文件系统和内置压缩实用程序收集敏感数据,并通过FTP上传至远程目的地,从而达到目的。

利用内存保护防御无文件攻击

对抗无文件攻击需要多层或纵深防御方法,不依赖于传统的、基于文件的对策来缓解威胁。针对无文件攻击的问题,安芯网盾基于P2DR模型研发设计了内存安全产品,专注于应用程序进程、内存级别的安全防护,帮助企业阻止新兴手段的攻击,稳定运行!

第一,内存安全产品能够检测应用执行中基于内存攻击的异常行为,并能即时阻止。由于可以检测到应用内部行为异常,内存安全产品可以阻止未知攻击、无文件攻击,而不再关注系统是否打补丁,这就意味着我们可以对正在进行的高级威胁进行实时的防御。

第二,内存安全产品采用虚拟化技术,提供了一种全新检测方法,侧重于保障执行完整性,不依赖于过去的恶意事件、恶意病毒的模式匹配,而是在内存级别监控应用程序进程,并确保它们保持在合法的执行/控制流上。由于可信执行侧重于保障应用程序已知的行为,因此它可以检测并阻止未知攻击。

第三,内存安全产品还提供精确的上下文细粒度行为分析,可深入应用程序进程内部,感知识别进程的危险性,通过这种方式确保应用程序的执行完整性,从而能够有效防护无文件攻击、内存攻击等。

攻防的世界向来齐驱并行,从攻的视角,不论产生了什么攻击技术,有更复杂的安全威胁;对于防守一方来讲,总有与之相匹敌的防护工具产生,以应对与时俱进的安全威胁。所谓,不知攻焉知防,了解了攻的策略和手段,才可以更好的进行防御。

隐私政策     法律信息     Copyright©️2019-2023 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24