攻擊者發現繞過系統安全新方法:無文件攻擊快速增長
責編:gltian |2018-12-14 13:16:30Malwarebytes在最新一份報告中警告:公司企業面臨越來越大的無文件網絡攻擊風險。
這些高級攻擊通過借用以往民族國家復雜黑客攻擊中的傳播與反取證技術來規避檢測與維持駐留。
波耐蒙研究所的調查研究顯示,2018年所有攻擊中無文件惡意軟件占據了35%之多。
Malwarebytes研究人員認為,惡意黑客開發部署惡意軟件的方式發生了轉變,快速轉向了高度動態的攻擊,可以頻繁變形以躲過標準安全產品的檢測。
無文件惡意軟件攻擊常利用默認Windows工具執行惡意動作或在網絡中橫向移動到其他機器上。此類攻擊中最常用到的Windows工具就是PowerShell和WMI,這兩個工具幾乎每臺Windows機器上都自帶。
PowerShell是一種腳本語言,惡意黑客可以之獲取對 Windows API 和系統內核的不受限訪問權。
終端安全公司Cyberreason的研究員 Fred O’Connor 在博客中評論道:
PowerShell可通過Windows遠程管理(WinRM)遠程執行的功能令其成為了黑客眼中頗為誘人的工具。該功能可使攻擊者繞過Windows防火墻,遠程執行PowerShell腳本或直接將腳本釋放到互動PowerShell會話中,提供對終端的完全管理控制。
全球范圍內檢測到無文件惡意軟件
他還指出,即便WinRM沒有運行,也可以通過WMI用一行代碼就能遠程啟動。
PowerShell腳本
最近攻擊者開始在網絡釣魚活動中發送嵌入到Office文檔里的PowerShell腳本。一旦打開,經過精心編制的文件就會在被感染主機上開始執行惡意代碼。該攻擊完全繞過了系統的安全措施,并可潛伏一段時間不被發現。
Malwarebytes研究人員聲明:
無文件攻擊對公司企業非常有效,因為大部分現有及舊有安全解決方案都是檢測基于文件的惡意軟件的。”無文件攻擊的成功率比其基于文件的前輩們高出10倍。
由于能完全繞過系統安全防御向系統中植入隱藏惡意代碼,此類攻擊正成為惡意黑客的武器首選。
Mawarebytes評論道:這些高級攻擊通過借用以往民族國家復雜黑客攻擊中的傳播與反取證技術來規避檢測與維持駐留。
攻擊者一直在改變他們的方法以規避企業部署的安全措施。無文件攻擊可使他們完全掌控一臺主機。而且,只要正確執行,攻擊者能在主機上潛伏相當長的一段時間。
對抗無文件攻擊的最佳防御之一,就是對自己在系統上使用和打開的東西隨時保持警惕。
Malwarebytes認為,未來想要保住計算機安全,就得監視和保護計算體驗的方方面面,包括進程的入站和出站流量,甚至可以下載的文件。