1什麼是無檔惡意軟體?回頂部
相信大多數人第一次看到‘無檔惡意軟體’時都會心生疑問, 真的沒有檔?沒有檔又如何實施攻擊?其實, 有時候無檔惡意軟體還是會使用檔的, 但絕大多數時間裡, 它們會通過進駐記憶體來保持隱身, 也正是這種隱蔽性非常高的攻擊手法, 使得無檔惡意軟體逐漸流行起來。 有了它, 駭客可以悄無聲息的攻擊ATM取款機等各種終端以及作業系統。
‘無檔惡意軟體’到底是什麼鬼 真沒有檔?
經過觀察分析我們發現, 無檔惡意軟體通過進駐記憶體來保持自己隱身, 以減少被檢測到的機會, 保持不被發現的時間越長, 就越有可能實現自己的目標。 在無檔惡意軟體攻擊中, 系統變得相對乾淨因而沒有很多惡意檔可被檢測出來去通知安全管理員。 正因如此, 無檔惡意軟體變得很難防禦更不易被分析。
什麼是無檔惡意軟體?
究竟什麼是無檔惡意軟體, 有一點需要明確, 就是無檔惡意軟體有時候也會使用檔。 最初, 無檔惡意軟體的確指的是那些不使用本地持久化技術、完全駐留在記憶體中的惡意程式碼, 但後期這個概念的範圍逐漸擴大, 現在, 將那些依賴檔案系統的某些功能以實現惡意程式碼啟動和駐留的惡意軟體也包括進來, 傳統的防毒產品無法識別這種感染。
攻擊者為什麼使用無檔惡意軟體?
首先我們要明白駭客攻擊的目標是什麼:首先是隱形, 盡可能避免被安全產品檢測到的能力;再者, 就是利用漏洞進行特權升級, 使自己能夠以管理員的身份訪問系統, 做任何他們想要的;還有就是資訊收集, 盡可能收集有關受害者和受害者電腦的資料, 用於後續其他攻擊;最後, 就是持久性, 即在系統中保持惡意軟體的能力, 延長被發現的時間。
要知道, 不是每種終端解決方案都直接檢查記憶體, 寫磁片的操作會觸動防禦布網, 而讓惡意軟體僅進入記憶體則可避免該風險, 因此記憶體是一個理想的藏身之所。 此外, PowerShell等工具已經存在於系統中, 這為攻擊者留下了多個好處, 能依靠局域網為生, 減少因在受害者主機上部署惡意軟體而產生的動靜。
無檔惡意軟體是如何工作的?
那麼, 無檔惡意軟體如何實現隱身的?早前, McAfee還還歸屬Intel時曾發表過一份威脅報告,
註冊表中保存資料的方式讓惡意軟體可在啟動時運行而不被用戶查看或訪問, 此時攻擊者便有更多的時間利用其惡意軟體繼續執行攻擊。 實際上, 惡意軟體也可能會被檢測到, 但在分析前大多數反惡意軟體產品都很難發現和移除無檔惡意軟體。
例如Kovter惡意軟體,其通過電子郵件或惡意軟體網站進行分發,在本地電腦執行最初的惡意軟體攻擊後,Kovter會編寫JavaScript到註冊表,調用同樣存儲在該註冊表中加密的PowerShell腳本,由於它並不會保存檔,且利用Powershell進行隱藏很難被檢測到。
2無檔惡意軟體的威力與防禦回頂部
無檔惡意軟體的威力
近期,俄羅斯至少八台ATM取款機,在一夜之間被竊取了80萬美元,駭客只是走向ATM,甚至都沒有觸碰機器就取走了現金,且在ATM機上找不到任何入侵的痕跡,唯一的‘線索’(甚至稱不上線索)是ATM機硬碟上發現的兩個包含惡意軟體日誌的檔,kl.txt和logfile.txt,可以理解為“取款”和“取款成功”。
為此,安全員創建YARA識別規則捕獲樣本(YARA是一款模式識別工具,説明研究人員識別惡意軟體),攻擊銀行所用的正是一種隱藏在記憶體中的無檔病毒,而非傳統惡意程式駐足在硬碟中。
實際上,無檔病毒正是利用了ATM機上的合法工具,ATM將這些惡意程式碼識別為正規軟體,之後遠端操控發送指令,與此同時駭客等在ATM前將錢取走,當所有現金被取出後,駭客就會“註銷”,留下非常少的線索。
再有,就是email附件作惡。不論是對公還是對私,電子郵件都發揮著不可替代的作用。因此,針對電子郵件的網路攻擊仍不在少數。Coremail論客與360的聯合監控平臺,每天能截獲6000多封帶毒郵件,高峰時期可達單日數萬封。當中,PE文件(可執行檔)占3.8%,非PE文件占比為96.2%。
如何防禦無檔惡意軟體攻擊?
其實,不論面對何種網路安全威脅,及時更新是最基礎的。因此,在抵禦無檔惡意軟體時,首先要做的就是保證端點及時更新,確保用戶只有標準用戶帳戶沒有特權帳戶,並使用端點反惡意軟體工具來保護設備,掃描網路連接和電子郵件中是否存在惡意軟體,降低惡意軟體到達端點並執行的幾率。
再者,阻止託管漏洞套件頁面。當感染網站託管漏洞套件時感染就會開始。但如果你使用了主動安全產品,則可以在遇到問題後立即阻止該頁面,漏洞利用套件無法訪問電腦上的應用程式。網站是生成或連接到網路犯罪的基礎設施,攻擊者在基礎設施上投入大量的時間和金錢,因此很少改變它,所以這種檢測技術對用戶的線上安全性是無價的。
例如Kovter惡意軟體,其通過電子郵件或惡意軟體網站進行分發,在本地電腦執行最初的惡意軟體攻擊後,Kovter會編寫JavaScript到註冊表,調用同樣存儲在該註冊表中加密的PowerShell腳本,由於它並不會保存檔,且利用Powershell進行隱藏很難被檢測到。
2無檔惡意軟體的威力與防禦回頂部
無檔惡意軟體的威力
近期,俄羅斯至少八台ATM取款機,在一夜之間被竊取了80萬美元,駭客只是走向ATM,甚至都沒有觸碰機器就取走了現金,且在ATM機上找不到任何入侵的痕跡,唯一的‘線索’(甚至稱不上線索)是ATM機硬碟上發現的兩個包含惡意軟體日誌的檔,kl.txt和logfile.txt,可以理解為“取款”和“取款成功”。
為此,安全員創建YARA識別規則捕獲樣本(YARA是一款模式識別工具,説明研究人員識別惡意軟體),攻擊銀行所用的正是一種隱藏在記憶體中的無檔病毒,而非傳統惡意程式駐足在硬碟中。
實際上,無檔病毒正是利用了ATM機上的合法工具,ATM將這些惡意程式碼識別為正規軟體,之後遠端操控發送指令,與此同時駭客等在ATM前將錢取走,當所有現金被取出後,駭客就會“註銷”,留下非常少的線索。
再有,就是email附件作惡。不論是對公還是對私,電子郵件都發揮著不可替代的作用。因此,針對電子郵件的網路攻擊仍不在少數。Coremail論客與360的聯合監控平臺,每天能截獲6000多封帶毒郵件,高峰時期可達單日數萬封。當中,PE文件(可執行檔)占3.8%,非PE文件占比為96.2%。
如何防禦無檔惡意軟體攻擊?
其實,不論面對何種網路安全威脅,及時更新是最基礎的。因此,在抵禦無檔惡意軟體時,首先要做的就是保證端點及時更新,確保用戶只有標準用戶帳戶沒有特權帳戶,並使用端點反惡意軟體工具來保護設備,掃描網路連接和電子郵件中是否存在惡意軟體,降低惡意軟體到達端點並執行的幾率。
再者,阻止託管漏洞套件頁面。當感染網站託管漏洞套件時感染就會開始。但如果你使用了主動安全產品,則可以在遇到問題後立即阻止該頁面,漏洞利用套件無法訪問電腦上的應用程式。網站是生成或連接到網路犯罪的基礎設施,攻擊者在基礎設施上投入大量的時間和金錢,因此很少改變它,所以這種檢測技術對用戶的線上安全性是無價的。