對(duì)于殺軟的完美躲避,加上進(jìn)入目標(biāo)后的操作多樣化,讓無文件攻擊成為網(wǎng)絡(luò)安全攻防中攻擊者常用的利器之一。

       雖然無文件攻擊具有隱藏性,但并非無跡可尋,無法防御。無文件攻擊并不是指不通過任何文件。相反,它必須借助文件或漏洞才能完成攻擊,如內(nèi)嵌到office文檔的宏代碼、使用powershell加密文件、利用漏洞直接注入到內(nèi)存執(zhí)行等行為。

用行為檢測(cè)解鎖無文件攻擊的多種姿勢(shì)

       杰思打造的新一代主機(jī)安全響應(yīng)系統(tǒng)——杰思獵鷹,并不把目標(biāo)局限在惡意文件,而是著眼整個(gè)主機(jī)環(huán)境。雖然攻擊的手段變了,方式變了,甚至攻擊的小目標(biāo)都變了,但是異常行為的本質(zhì)不會(huì)變。從杰思獵鷹在多次攻防實(shí)戰(zhàn)中的亮眼表現(xiàn)來看,行為檢測(cè)可以有效阻止無文件攻擊。

↓ 無文件攻擊繞過防火墻和殺毒軟件,利用web漏洞進(jìn)入目標(biāo)主機(jī);

↓ 在目標(biāo)主機(jī)向rundll32.exe注入惡意代碼;

↓ 遠(yuǎn)程加載powershell;

↓ 反彈連接到C&C服務(wù)器。

       在重要攻防演練中,杰思獵鷹及時(shí)向防守方發(fā)出告警,提示某業(yè)務(wù)主機(jī)存在異常訪問及端口掃描可疑行為。同時(shí),通過監(jiān)測(cè)系統(tǒng)命令,及時(shí)阻斷系統(tǒng)cmd程序調(diào)用powershell的異常行為,并一鍵隔離風(fēng)險(xiǎn)主機(jī),防止威脅在內(nèi)網(wǎng)的進(jìn)一步擴(kuò)散。

↓ 攻擊者通過魚叉式釣魚攻擊(SpearPhishing),將一段惡意代碼嵌入word文檔;

↓ 將該文檔以附件方式發(fā)送給企業(yè)HR;

↓ HR打開郵件附件word文檔;

↓ 利用office漏洞自動(dòng)加載惡意vbs代碼;

↓ 加密文檔,實(shí)施勒索。

       整個(gè)攻擊過程均無文件落地,難以被殺軟檢測(cè)。杰思獵鷹通過Office漏洞檢測(cè)功能,對(duì)入侵過程中利用Office應(yīng)用本身產(chǎn)生的異常活動(dòng)進(jìn)行監(jiān)測(cè)分析,從而實(shí)現(xiàn)精準(zhǔn)判斷,使Office應(yīng)用漏洞作為無文件攻擊手段的攻擊方式難以遁形。

↓ 攻擊者構(gòu)造一個(gè)惡意CHM格式幫助文檔附加到運(yùn)維工具;

↓ 發(fā)布到第三方網(wǎng)站提供下載服務(wù);

↓ 受害者下載文檔,打開該軟件的幫助文檔;

↓ 觸發(fā)惡意JScript代碼,加載注冊(cè)表實(shí)現(xiàn)持久化;

↓ 注入系統(tǒng)進(jìn)程與C&C建立連接。

       杰思獵鷹通過惡意腳本檢測(cè)功能聯(lián)動(dòng)系統(tǒng)注冊(cè)表監(jiān)測(cè)功能,快速定位觸發(fā)惡意Jscript代碼主機(jī),并實(shí)現(xiàn)對(duì)惡意代碼的實(shí)時(shí)阻斷。同時(shí)通過下發(fā)響應(yīng)腳本,清除惡意代碼為保證持久化而建立的注冊(cè)表信息,徹底解決惡意代碼入侵建立持久化的檢測(cè)和防護(hù)問題。

由于漏洞利用工具的存在,導(dǎo)致了攻擊的高效性和易創(chuàng)建性,無文件攻擊將會(huì)愈演愈烈。無論是惡意文檔、惡意腳本,還是與本地程序交互,或是惡意代碼注入,這些隱蔽的技術(shù)會(huì)給主機(jī)安全造成太多出其不意的影響。

兵來將擋,水來土掩。面對(duì)不同類型的無文件攻擊,杰思獵鷹聚焦主機(jī)安全內(nèi)部,從系統(tǒng)活動(dòng)通過不同的安全策略,結(jié)合應(yīng)用程序清單、漏洞利用阻斷、攻擊向量指標(biāo)、托管狩獵等多元化的檢測(cè)與響應(yīng),靈活應(yīng)對(duì)無文件攻擊。

分享到

zhangnn

相關(guān)推薦