近年來(lái),一種被稱為無(wú)文件攻擊的滲透形式與日俱增,逐漸引起人們重視。這類(lèi)攻擊從2016年初的3%上升到了2018年11月的13%, 并且還在持續(xù)增長(zhǎng),知名安全公司Carbon Black對(duì)超過(guò)1000名用戶(擁有超過(guò)250萬(wàn)個(gè)包括服務(wù)器和PC在內(nèi)的主機(jī))進(jìn)行分析后發(fā)現(xiàn),幾乎每個(gè)組織都遭到了無(wú)文件攻擊。平均每3個(gè)感染中就有1個(gè)是無(wú)文件攻擊造成的。早在2017年4月,黑客通過(guò)新型惡意軟件 “ATMitch”,以“無(wú)文件攻擊”方式,一夜劫持俄羅斯8臺(tái)ATM機(jī),竊走80萬(wàn)美元。在今年年初,全球40個(gè)國(guó)家的140多家包括銀行、電信和政府機(jī)構(gòu)等組織遭到 “ATMitch”無(wú)文件攻擊,感染機(jī)構(gòu)遍布美國(guó)、法國(guó)、厄瓜多爾、肯尼亞、英國(guó)和俄羅斯等國(guó)家。在全球經(jīng)濟(jì)和網(wǎng)絡(luò)一體化的時(shí)代,中國(guó)用戶同樣不能幸免。據(jù)悉,國(guó)內(nèi)54%的公司經(jīng)歷過(guò)1次或多次破壞了數(shù)據(jù)或基礎(chǔ)設(shè)施的成功攻擊,其中77%的攻擊利用了漏洞或無(wú)文件攻擊。
無(wú)文件攻擊并非沒(méi)有文件
以無(wú)文件攻擊中最常見(jiàn)的一類(lèi)(無(wú)文件挖礦攻擊)舉例:如果用戶在點(diǎn)開(kāi)文檔之后,電腦瞬間被卡,反應(yīng)速度緩慢,不能工作。關(guān)機(jī)重啟之后,電腦卻照樣沒(méi)反應(yīng),散熱風(fēng)扇山響,CPU資源占用了100%……殺毒軟件查不到任何異常……一旦出現(xiàn)以上情況,用戶電腦十有八九是遭到無(wú)文件挖礦攻擊。
無(wú)文件挖礦攻擊并非沒(méi)有文件基礎(chǔ),只是因?yàn)樵诖祟?lèi)攻擊中,系統(tǒng)變得相對(duì)干凈,傳統(tǒng)的防毒產(chǎn)品識(shí)別不出,更談不上及時(shí)通知技術(shù)人員進(jìn)行防御了,這就造成了這種攻擊好像沒(méi)有文件基礎(chǔ)的假象。這種無(wú)文件惡意攻擊主要是靠網(wǎng)絡(luò)的方法,在內(nèi)存里存上一串惡意代碼,沒(méi)有落地文件,這樣一來(lái),殺毒軟件就很難發(fā)現(xiàn)其蹤跡了。
對(duì)付無(wú)文件攻擊,傳統(tǒng)安全手段失靈
任何惡意代碼,只要重啟電腦,內(nèi)存就清除??墒侵貑?duì)無(wú)文件攻擊沒(méi)有作用。無(wú)文件攻擊通常采用powershell.exe,cscript.exe,cmd.exe和mshta.exe運(yùn)行遠(yuǎn)程腳本,該腳本不落地到本機(jī)內(nèi),同時(shí)將該任務(wù)設(shè)置為計(jì)劃任務(wù)或者開(kāi)機(jī)啟動(dòng),重啟無(wú)效。這些程序都是系統(tǒng)的合法程序,殺毒軟件自然無(wú)可奈何。無(wú)文件攻擊在成功潛入內(nèi)存并安定下來(lái)后,便可以為所欲為,或進(jìn)行挖礦、加密文件進(jìn)行勒索、連接遠(yuǎn)程C&C下載更多病毒文件等。一切操作都是披著合法外衣悄悄進(jìn)行,不僅獲得了權(quán)限,是合法的,而且也不大,所以幾乎不會(huì)被殺毒軟件發(fā)現(xiàn)。
無(wú)文件攻擊的傳播迅猛
無(wú)文件攻擊的傳播極快。以今年4月,杰思安全的某重要用戶網(wǎng)內(nèi)大面積爆發(fā)無(wú)文件挖礦攻擊為例。這次攻擊的所有模塊功能均加載到內(nèi)存中執(zhí)行,沒(méi)有本地落地文件,攻擊內(nèi)置兩種橫向傳染機(jī)制,分別為Mimikatz+WMIExec自動(dòng)化爆破和MS17-010“永恒之藍(lán)”漏洞攻擊,堪稱火力全開(kāi),極易在內(nèi)網(wǎng)迅猛擴(kuò)散。從下圖,我們可以感受無(wú)文件無(wú)文件攻擊是有多么兇猛。
攻擊順序如下:
1.首先,挖礦模塊啟動(dòng),持續(xù)進(jìn)行挖礦。
2.其次,Minikatz模塊對(duì)目的主機(jī)進(jìn)行SMB爆破,獲取NTLMv2數(shù)據(jù)。
3.然后,WMIExec使用NTLMv2繞過(guò)哈希認(rèn)證,進(jìn)行遠(yuǎn)程執(zhí)行操作,攻擊成功則執(zhí)行shellcode使病原體再?gòu)?fù)制一份到目的主機(jī)并使之運(yùn)行起來(lái),流程結(jié)束。
對(duì)付無(wú)文件攻擊,主機(jī)防護(hù)是關(guān)鍵
截止4月25日,杰思獵鷹主機(jī)安全響應(yīng)系統(tǒng)在該用戶已部署安全探針的1426臺(tái)主機(jī)上,共阻止端口掃描行為24813次,發(fā)現(xiàn)端口掃描攻擊源IP共36個(gè);共阻止暴力破解行為2021585次,發(fā)現(xiàn)暴力破解源IP共28個(gè)。有圖為證:
(為了保護(hù)用戶安全,打碼處理)
不得不說(shuō),該用戶的內(nèi)網(wǎng)主機(jī)經(jīng)歷了一場(chǎng)有驚無(wú)險(xiǎn)的圍攻,最終化險(xiǎn)為夷,安然無(wú)恙。該用戶的員工在使用中并沒(méi)有太多異樣感覺(jué),殊不知他們?cè)谡9ぷ鞯臅r(shí)候,杰思獵鷹主機(jī)安全響應(yīng)系統(tǒng)一直在默默地保駕護(hù)航。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 華為研發(fā)中心入駐上海青浦致小鎮(zhèn)房租大漲,帶動(dòng)周邊租房市場(chǎng)熱潮
- 華為員工涌入蘇滬兩地,房東狂歡:租金幾近翻倍,跨省租房成新常態(tài)
- 制造業(yè)巨頭空客計(jì)劃裁員2500人,應(yīng)對(duì)航天業(yè)務(wù)虧損與供應(yīng)鏈挑戰(zhàn)
- 科技創(chuàng)新引領(lǐng)產(chǎn)業(yè)發(fā)展:江陰市與清華大學(xué)攜手推進(jìn)重大科技項(xiàng)目
- 美國(guó)或再升級(jí)出口管制:考慮限制AI芯片對(duì)中東出口
- 劉強(qiáng)東章澤天報(bào)案:京東發(fā)言人證實(shí)夫婦倆遭有組織造謠,警方已介入
- 東方甄選擬15億出售教育業(yè)務(wù)
- 虧764億上熱搜 蔚來(lái)裁員10%,銷(xiāo)量跌出前三
- IBM設(shè)立5億元AI創(chuàng)投基金
- 聯(lián)想發(fā)布 ThinkStation P8工作站
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。