無(wú)文件攻擊并非沒(méi)有文件
以無(wú)文件攻擊中最常見(jiàn)的一類(lèi)(無(wú)文件挖礦攻擊)舉例:如果用戶(hù)在點(diǎn)開(kāi)文檔之后,電腦瞬間被卡,反應速度緩慢,不能工作。關(guān)機重啟之后,電腦卻照樣沒(méi)反應,散熱風(fēng)扇山響,CPU資源占用了100%……殺毒軟件查不到任何異常……一旦出現以上情況,用戶(hù)電腦十有八九是遭到無(wú)文件挖礦攻擊。
無(wú)文件挖礦攻擊并非沒(méi)有文件基礎,只是因為在此類(lèi)攻擊中,系統變得相對干凈,傳統的防毒產(chǎn)品識別不出,更談不上及時(shí)通知技術(shù)人員進(jìn)行防御了,這就造成了這種攻擊好像沒(méi)有文件基礎的假象。這種無(wú)文件惡意攻擊主要是靠網(wǎng)絡(luò )的方法,在內存里存上一串惡意代碼,沒(méi)有落地文件,這樣一來(lái),殺毒軟件就很難發(fā)現其蹤跡了。
對付無(wú)文件攻擊,傳統安全手段失靈
任何惡意代碼,只要重啟電腦,內存就清除。可是重啟對無(wú)文件攻擊沒(méi)有作用。無(wú)文件攻擊通常采用powershell.exe,cscript.exe,cmd.exe和mshta.exe運行遠程腳本,該腳本不落地到本機內,同時(shí)將該任務(wù)設置為計劃任務(wù)或者開(kāi)機啟動(dòng),重啟無(wú)效。這些程序都是系統的合法程序,殺毒軟件自然無(wú)可奈何。無(wú)文件攻擊在成功潛入內存并安定下來(lái)后,便可以為所欲為,或進(jìn)行挖礦、加密文件進(jìn)行勒索、連接遠程C&C下載更多病毒文件等。一切操作都是披著(zhù)合法外衣悄悄進(jìn)行,不僅獲得了權限,是合法的,而且也不大,所以幾乎不會(huì )被殺毒軟件發(fā)現。
無(wú)文件攻擊的傳播迅猛
無(wú)文件攻擊的傳播極快。以今年4月,杰思安全的某重要用戶(hù)網(wǎng)內大面積爆發(fā)無(wú)文件挖礦攻擊為例。這次攻擊的所有模塊功能均加載到內存中執行,沒(méi)有本地落地文件,攻擊內置兩種橫向傳染機制,分別為Mimikatz+WMIExec自動(dòng)化爆破和MS17-010“永恒之藍”漏洞攻擊,堪稱(chēng)火力全開(kāi),極易在內網(wǎng)迅猛擴散。從下圖,我們可以感受無(wú)文件無(wú)文件攻擊是有多么兇猛。
攻擊順序如下:
- 首先,挖礦模塊啟動(dòng),持續進(jìn)行挖礦。
- 其次,Minikatz模塊對目的主機進(jìn)行SMB爆破,獲取NTLMv2數據。
- 然后,WMIExec使用NTLMv2繞過(guò)哈希認證,進(jìn)行遠程執行操作,攻擊成功則執行shellcode使病原體再復制一份到目的主機并使之運行起來(lái),流程結束。
對付無(wú)文件攻擊,主機防護是關(guān)鍵
截止4月25日,杰思獵鷹主機安全響應系統在該用戶(hù)已部署安全探針的1426臺主機上,共阻止端口掃描行為24813次,發(fā)現端口掃描攻擊源IP共36個(gè);共阻止暴力破解行為2021585次,發(fā)現暴力破解源IP共28個(gè)。有圖為證:
為了保護用戶(hù)安全,打碼處理
不得不說(shuō),該用戶(hù)的內網(wǎng)主機經(jīng)歷了一場(chǎng)有驚無(wú)險的圍攻,最終化險為夷,安然無(wú)恙。該用戶(hù)的員工在使用中并沒(méi)有太多異樣感覺(jué),殊不知他們在正常工作的時(shí)候,杰思獵鷹主機安全響應系統一直在默默地保駕護航。
