解密无文件攻击的各CC防御种姿势及最新检测想法-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 解密无文件攻击的各CC防御种姿势及最新检测想法

解密无文件攻击的各CC防御种姿势及最新检测想法

小墨安全管家 2020-06-04 11:49 CC防护 89 ℃
DDoS防御

ProLock 勒索软件为了可以顺利加密文件,会调用 cmd 执行命令停止大量服务。这些服务包括数据库相关服务、数据备份相关服务、安全软件相关服务,如下所示:

如上图,原始病毒体为 info*.ps1(64 位系统对应 info6.ps1,32 位系统对应 info3.ps1), 其为 Powershell 足本,被加载后内存存在 4 个模块,分别为挖矿模块、Minikatz 模块、WMIExec 模块、MS17-010 攻击模块。

" 无文件攻击 " 不代表的确没有文件,不过一种攻击策略,其动身点算是幸免将恶意文件放在磁盘上,以躲避安全检测。所讲的无文件,也未必是攻击全程无文件,而是其中的一部分采纳了无文件攻击 [ 1 ] 。近期,受 NDSS2020 顶会文章 [ 2 ] 启示,查阅趋势科技等数篇安全报告及网页文章,以为无文件攻击是一种趋势," 离地 / 隐形 / 无文件 " 是一具目前特别热门的方向。故本文环绕无文件展开调研,收集 2020 年 4 月前的相关资料,内容包括无文件勒索、无文件挖矿等最新的无文件攻击方式,并对其举行归纳、总结。并且,分析了该篇顶会文章的核心内容,进一步了解无文件攻击的检测思路。

将恶意 shellcode 嵌入到 BMP 图像文件中(之前的版本 PwndLocker,嵌入到 AVI 视频中,被加密文件存在被恢复的大概),经过混淆的 powershell 代码将图像中的代码直截了当注入到内存中执行,达到可执行文件不降地的目的。使用 ShellCode 开辟的勒索软件比宏结合 powershell 更难被安全软件识别,今后大概会成为更多勒索软件开辟者的挑选。

由于其通常在内存中运行幸免降地文件,并且 powershell 足本易混淆检测艰难,传统的基于文件的反病毒软件特别难检测到此类攻击。故 NDSS2020 上有学者提出针对离地攻击检测的有效手段 [ 2 ] ,笔者以为也能够推广到普通的无文件攻击检测。

三、无文件攻击检测

无文件挖矿的方式较一般,普通为利用 powershell 直截了当在内存中执行、经过 powershell 中嵌入 PE 文件加载等方式,并且还采纳 WMI+powershell 等方式举行内存驻留。最近一篇文章 powershell 无文件挖矿病毒处置 [ 7 ] 也表明了目前无文件挖矿仍然存在。具体案例如下:

4. 最终,如 WMIExec 攻击失败,则尝试使用 MS17-010" 永恒之蓝 " 漏洞攻击,攻击成功则执行 shellcode 使病原体再复制一份到目的主机并使之运行起来(每感染一台,重复 1、2、3、4)。

近期比较非常的有 ProLock(shellcode 嵌入 BMP 图像中)、WannaRen(office 激活工具中硬编码 powershell 命令),还有一般的恶意代码注入合法进程及宏结合 powershell 等。具体事情如下:

1. 首先,挖矿模块启动,持续举行挖矿。

永恒之蓝木马 [ 8 ] [ 9 ]

PowershellMiner [ 10 ]

3. 接着,WMIExec 使用 NTLMv2 绕过哈希认证,举行远程执行操作,攻击成功则执行 shellcode 使病原体再复制一份到目的主机并使之运行起来,流程结束。

2019 年 4 月 3 日,腾讯安全御见威胁情报中心检测到永恒之蓝下载器木马再次更新,此次更新改变了原有的挖矿木马执行方式,经过在 Powershell 中嵌入 PE 文件加载的形式,达到执行 " 无文件 " 形式挖矿攻击。新的挖矿木马执行方式没有文件降地,直截了当在 Powershell.exe 进程中运行,大概造成难以检测和清除。这种注入 " 白进程 " 执行的方式大概造成难以检测和清除恶意代码。

PowerShell 足本解混淆后,将 ShellCode 直截了当注入内存中运行。Powershell 足本如下:

2018 年 3 月,利用 WMI+Powershell 方式实现的无文件攻击行为,其目的是长驻内存挖矿。由于此攻击没有本地降地文件,难以察觉,企业利益默默受到侵害。此次攻击,具备无文件攻击特性,所有模块功能均加载到内存中执行,没有本地降地文件。为了迅速在内网传播,采纳了 SMB 弱口令爆破攻击和 " 永恒之蓝 " 漏洞攻击,二者只要有一种能成功,就能够横向感染到其它主机。病毒直截了当使用 powershell.exe 举行挖矿,CPU 占用率达到 87%,其足本功能是从 wmi 类中读取挖矿代码并执行。

2. 其次,Minikatz 模块对目的主机举行 SMB 爆破,猎取 NTLMv2 数据。

咨询题描述:现有的反病毒软件检测想法特别难检测到该类攻击,分析检测该攻击所要具备的条件。

实验评估:评估其检测精度,使用精度、召回率及 F1-Score 来度量。

ProLock 勒索软件作者将代码嵌入一具名为 "WinMgr.bmp" 的 BMP 图像中,ShellCode 代码片段如下:

网上某软件园的 2016office 激活工具中硬编码了 powershell 的相关命令,如下:


DDoS防御

当前位置:主页 > CC防护 > 解密无文件攻击的各CC防御种姿势及最新检测想法

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119