查看: 1435|回复: 3
收起左侧

[一般话题] 无文件威胁 ‎2018‎年‎09‎月‎14‎日

[复制链接]
ELOHIM
发表于 2018-11-20 20:39:30 | 显示全部楼层 |阅读模式
本帖最后由 ELOHIM 于 2018-11-20 20:42 编辑



                                                                 
In this article
什么是无文件威胁? 术语"无文件"建议不是在文件中,如后门的威胁居住在内存中的计算机。 但是,没有任何公认的定义。 广泛; 使用术语它还用于描述执行依赖于文件才能运行的恶意软件系列。
鉴于攻击涉及多个阶段的功能,如执行,持久性、 信息被盗、 横向移动,与命令和控件等通信,攻击链的某些部分可能是无文件,而其他人可能涉及到在某种形式的文件系统。
为了搞清楚该词加载,我们无文件威胁分组到不同的类别。


图 1. 无文件的恶意软件的全面图示
我们可以按其入口点,从而指示如何无文件的恶意软件分类无文件威胁可能在计算机上到达: 通过攻击;通过受到威胁的硬件。或通过定期执行应用程序和脚本。
接下来,我们可以列出的入口点形式: 例如,攻击可以基于文件或网络数据;PCI 外围设备是一种硬件矢量;和脚本和可执行文件的执行矢量的子类别。
最后,我们可以进行分类的感染主机: 例如,可能包含攻击; Flash 应用程序简单的可执行文件;从硬件设备; 恶意固件或受感染的 MBR,甚至加载操作系统之前无法启动的恶意软件执行。
这有助于我们划分和分类各种无文件威胁。 显然,类别不是所有相同: 一些更危险但也更难实现,而其他人会更加常用尽管 (或由于的精确) 不非常高级。
通过这种分类,我们可以收集三种大类型的具体取决于用户可能在离开多少指纹感染计算机的无文件威胁。
类型 i: 执行任何文件活动完全无文件的恶意软件可以被视为一个永远不需要编写磁盘上的文件。 如何将此类恶意软件感染计算机在第一时间? 示例场景可能是目标计算机接收攻击 EternalBlue 漏洞,导致 DoublePulsar 安装后门,这结束仅位于内核内存的恶意网络数据包。 在此情况下,没有任何文件或写入文件上的任何数据。
另一个场景可能涉及损坏的设备,设备固件 (BIOS)、 USB 外围设备 (如 BadUSB 攻击),或甚至网络卡的固件中可能隐藏的恶意代码。 所有这些示例不需要才能运行,并且可以磁盘上的文件理论上 live 仅在内存中,保留甚至重启后,重新格式化磁盘,操作系统重新安装。
此类型的感染很难额外来检测和修正。 防病毒产品通常不具有访问检查; 固件的功能即使他们做的那样,很难检测和修正威胁在此级别。 由于这种类型的无文件的恶意软件需要高水平的复杂程度,并且通常依赖于特定硬件或软件配置,因此不可以轻松可靠地利用攻击途径。 出于此原因,尽管非常危险,此类型的威胁倾向于非常少见,不适用于大多数攻击。
类型 II: 间接文件活动还有其他方法恶意软件可以实现无文件存在于计算机上的,而无需大量的工程工作。 此类型的无文件恶意软件不直接写入文件系统上,但他们可以结束间接使用文件。 这是Poshspy 后门这种情况。 攻击者安装 WMI 存储库中的恶意 PowerShell 命令和配置的 WMI 筛选器,以定期运行该命令。
很可能无需存在后门首先为对文件执行此类通过命令行安装。 因此可以安装恶意软件和理论上运行,无需不断接触的文件系统。 但是,WMI 存储库上是由 CIM 对象管理器管理中央存储区域的物理文件存储,并且通常包含合法的数据。 因此,尽管感染链从技术上讲使用物理文件时,实际上它已看作无文件攻击假设 WMI 存储库是一个多用途数据容器,不能只需检测到并删除。
运行所需的类型 III: 文件某些恶意软件可以具有某种形式的无文件持久性,但不可以使用文件以进行操作。 此方案中的一个示例是 Kovter,随机文件扩展名的注册表中创建外壳打开动词命令处理程序。 此操作意味着,打开此类扩展名的文件将导致执行合法工具 mshta.exe 通过脚本。



图 2. Kovter 的注册表项
当调用打开动词命令时,从注册表关联的命令启动时,这将导致执行较小的脚本。 此脚本从进一步的注册表项中读取数据,并执行它,进而导致的最终负载加载。 但是,若要在第一时间触发打开动词命令,Kovter 必须放文件扩展名为同一个动词命令的目标 (在上面的示例中,扩展是.bbf5590fd)。 它还需设置配置为在计算机启动时打开此类文件自动运行密钥。
由于文件系统的任何实际使用 Kovter 使用的文件,尽管,尽管也将注册表存储在物理文件被视为无文件威胁: 随机扩展名的文件包含垃圾不可用验证的数据存在威胁,并存储在注册表的文件是无法检测到并删除是否存在恶意内容的容器。
分类感染宿主无文件威胁描述了广泛的类别,我们现在可以深入的详细信息并提供的感染主机分类。 此全面分类涵盖内容通常称为无文件的恶意软件的全景。 其驱动器努力研究和开发新的保护功能,抑制类的攻击,并确保恶意软件不会获取大写手中只手臂争用。
攻击基于文件(键入 III: 可执行文件,Flash、 Java 文档): 初始文件可能会利用操作系统、 浏览器、 Java 引擎、 闪存引擎等才能执行 shellcode 和传递在内存中的负载。 无文件有效负载时,初始进入途径是一个文件。
基于网络(I 类型): 利用在目标计算机中的漏洞的网络通信可以实现的应用程序或内核上下文中执行代码。 一个示例是 WannaCry,攻击中提供的后门内核内存中的 SMB 协议以前修复的漏洞。
硬件基于设备的(类型 i: 网卡,硬盘): 像硬盘和网络卡需要芯片集和专用的软件工作的设备。 驻留并且在设备的芯片集上运行的软件称为固件。 尽管复杂的任务,可以为等式间谍组已执行捕捉到恶意软件,感染固件。
基于 CPU(I 类型): 现代 Cpu 非常复杂,可能包括子系统运行用于管理的固件。 此类固件可能易受攻击,并允许执行恶意代码,因此会运行从 CPU 中。 在 2017 年 12 月,两个研究人员报告可使攻击者从 Intel 执行代码存在于任何现代 CPU管理引擎 (ME)内的漏洞。 同时,攻击者组白金已被观测到的具有使用 Intel活动管理技术 (金额)来执行不可见的网络通信绕过所安装的操作系统的功能。 我和金额本质上自治微-计算机的实时内 CPU,并且较低的级别上的操作。 因为这些技术的用途是提供远程可管理性,他们可以直接访问硬件、 独立于操作系统,并且可运行即使计算机处于关闭状态。 除了之外易受攻击的固件级别,可以使用直接插入硬件电路后门制造 Cpu。 这种攻击过去已查并证明可能。 只最近已报告的 x86 处理器包含辅助嵌入的某些模型可以有效地提供后门常规应用程序可以通过该获得特权的执行的 RISC 类似于 CPU 内核。
基于 USB(I 类型): 所有类型的 USB 设备可以重新编程后与恶意固件能够恶意的方式与操作系统进行交互。 这是BadUSB 技术,演示了几年之前,这允许: 可以在重定向流量会 reprogrammed 的 U 盘执行作为将命令发送到计算机的击键,通过键盘或网络卡的情况。
基于 BIOS(I 类型): BIOS 是运行内部芯片集固件。 当在计算机上支持、 初始化硬件,然后将控制权交给启动扇区时,它执行。 它是一个非常重要组成部分,它在较低级别进行操作,并在启动扇区之前执行。 很可能对恶意代码中,使用 BIOS 固件重新编程,如发生在过去与Mebromi rootkit
基于虚拟机监控程序(I 类型): 现代 Cpu 提供硬件虚拟机监控程序支持,从而允许操作系统以创建可靠的虚拟机。 在虚拟机运行在有限,模拟环境中,并且是从理论上说,模拟依旧。 接管计算机的恶意软件可能实现较小的虚拟机监控程序以便隐藏本身之外正在运行的操作系统的领域。 具有已在过去,并最终真实的虚拟机监控程序 rootkit观察到了,theorized 这种恶意软件,尽管很少有已知日期。
执行和注入基于文件(键入 III: 可执行文件,Dll,LNK 文件计划任务): 这是标准执行矢量。 可以作为第一个阶段恶意软件在内存中运行的其他负载或将其插入到其他合法正在运行的进程启动一个简单的可执行文件。
基于宏(键入 III: Office 文档): VBA 语言是设计用于自动执行编辑任务并将动态功能添加到文档的高的灵活性和强大工具。 因此,它可能会被滥用攻击者执行恶意的操作,如解码、 运行,或注入可执行文件的有效负载,或者甚至实现整个勒索软件,如在qkG 的情况。 宏 Office 进程 (例如,Winword.exe) 的上下文中执行以及它们的实现在脚本语言,因此不会防病毒可以检查未二进制文件可执行文件。 虽然 Office 应用要求用户明确同意从文档执行宏,攻击者使用社交工程技术诱骗用户允许执行的宏。
基于脚本(键入 II: 文件、 服务、 注册表、 WMI 存储库,shell): JavaScript、 VBScript 和 PowerShell 脚本的语言是默认情况下,在 Windows 平台上可用。 脚本具有相同的优点宏: 它们文本文件 (不是二进制可执行文件) 和解释器 (例如,wscript.exe、 powershell.exe 等),它是一个全新和合法组件的上下文中运行它们。 脚本是各种各样;它们可通过运行文件 (例如,通过双击) 或在某些情况下,直接在解释器命令行上执行。 能够在命令行运行可允许恶意软件编码恶意的命令行脚本为自动启动服务内自动运行注册表项WMI 事件订阅从 WMI 存储库。 此外,攻击者有权在受感染的计算机可能输入在命令提示符脚本。
基于磁盘(键入 II: 启动记录):启动记录磁盘或卷的第一扇区并包含开始菜单的操作系统的启动过程所需的可执行代码。 Petya这样的威胁都能感染启动记录通过用恶意代码中,覆盖它,以便计算机时将立即启动恶意软件获得控件 (以及在 Petya,并且灾难性后果的情况下)。 启动记录驻留在文件系统,之外,但对其进行访问的操作系统和现代防病毒产品已扫描并将其还原的功能。
这违背原本无文件恶意软件在 Microsoft,我们会主动监视安全环境来确定新威胁趋势和开发持续增强 Windows 安全中心和缓解类威胁的解决方案。 我们检测持久型有效抵御各种威胁的保护功能。 反恶意软件扫描接口 (AMSI)、 行为监视、 内存扫描和启动扇区保护,通过 Windows Defender 高级威胁防护(Windows Defender ATP)可以检查无文件威胁,甚至是具有大量混淆。 在云中的机器学习技术使我们能够缩放这些免受新兴威胁的保护功能。
若要了解详细信息,请阅读:不可见,但不是可见: 打败无文件恶意软件与行为监视、 AMSI 下, 一代 AV

https://docs.microsoft.com/zh-cn/windows/security/threat-protection/intelligence/fileless-threats

中文看的脑壳疼,有精力,建议直接英文。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +5 收起 理由
聽莧 + 1 版区有你更精彩: )
Johnkay.Young + 1 版区有你更精彩: )
htc360 + 3 可以打分了

查看全部评分

xyzmen
发表于 2018-11-21 22:16:14 | 显示全部楼层
谢谢大佬分享安全方面的知识,支持一下;不过我这种小白看不懂,希望有大神能通俗的解释一下。
ELOHIM
 楼主| 发表于 2018-11-22 00:21:57 | 显示全部楼层
xyzmen 发表于 2018-11-21 22:16
谢谢大佬分享安全方面的知识,支持一下;不过我这种小白看不懂,希望有大神能通俗的解释一下。

看英文吧,这机翻简直比天书还难些。
具体的,详细的解释,你可以邮件咨询微软技术支持。或者电话如果你话费充足的话。
xyzmen
发表于 2018-11-22 23:15:15 | 显示全部楼层
本帖最后由 xyzmen 于 2018-11-23 19:42 编辑

已经回复了,麻烦版主删除。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 13:14 , Processed in 0.124312 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表