前言
无文件攻击通常包括对 Microsoft Windows 众多内建工具的滥用。这些工具使得攻击者轻松地从一个阶段“跳转”到另一个阶段,无需执行任何编译的二进制可执行文件,这种攻击方式被称为“离地攻击”。
什么是离地攻击?
“离地攻击”是网络犯罪分子用来进行网络攻击的策略之一,一旦攻击者的恶意代码能与本地程序进行交互,那么攻击者就有可能利用系统的原生工具进行下一步攻击,包括下载附带的其他恶意代码,启动程序,执行脚本,窃取数据,横向扩展,维持访问等等。
攻击者为达到这些目的而调用的工具包括 regsvr32.exe、rundll32.exe、certutil.exe和schtasks.exe。Windows 管理规范(WMI),是 Windows 系统内建工具,为攻击者提供了“平地起飞”的绝好机会。WMI 借助运行 wmic.exe 程序和执行脚本(如,PowerShell ),使得攻击者可以操作设备的绝大部分配置。
这些工具都是系统自带的、受信任的,所以反恶意软件技术也难以侦测和限制。
“离地攻击”策略利用以下方面:
- 使用两用工具
- 无文件持久性
- 仅使用内存威胁
为什么使用离地攻击?
攻击者利用常用工具对目标进行攻击,这就是离地攻击。使用预先安装在目标计算机上的工具的攻击者越来越多。使用无文件威胁、第三方工具或简单脚本可帮助攻击者逃避防病毒程序的检测。
使用什么工具?
离地攻击广泛使用的工具包括:
- Mimikatz
- 微软的PS Exec工具
- Windows Management Instrumentation (WMI)
- Windows Secure Copy
- PowerShell脚本
- VB脚本
攻击模式
攻击者直接在内存中使用运行简单脚本和shellcode工具,如PowerShell脚本或VB脚本。
攻击者利用Mimikatz工具获得的密码,并将其与PS Exec一起使用,以横向移动到另一个系统。
攻击者使用包含带有嵌入式恶意宏的Microsoft Office文档附件的网络钓鱼电子邮件,诱骗用户在打开Office文档附件时启用宏。
使用系统工具作为后门来绕过身份验证。
使用列入白名单的合法工具来逃避检测。
攻击示例
1.Petya/NotPetya勒索软件
2018年6月,Ransom.Pety袭击乌克兰和其他国家的组织,这种正是利用了离地攻击的策略。
Petya/ NotPetya勒索软件使用软件供应链攻击作为其初始感染载体,以破坏软件计算程序的更新过程。
Petya还在感染过程中使用了系统命令。一旦执行,它就会从Mimikatz工具中删除重新编译的LSADump版本,该工具用于窃取Windows内存中的帐户凭据。然后使用被盗凭证将威胁复制到网络的任何计算机。最后使用已删除的PsExec.exe实例和Windows Management Instrumentation(WMI)命令行工具远程启动。
2.Thrip威胁
2018年,研究人员通过利用离地攻击的策略,观察了针对电信提供商、卫星和国防公司的网络间谍活动----Thrip。在此攻击活动中,网络犯罪分子使用Windows实用程序PsExec来安装Catchamas信息窃取程序恶意软件。
3.Separ恶意软件会通过离地攻击策略感染公司
最近,研究人员观察到一起网络钓鱼活动,该活动用Separ恶意软件感染了东南亚、中东和北美的组织。恶意软件使用非常短的脚本或批处理文件与合法可执行文件的组合来逃避检测。
网络钓鱼电子邮件包含一个恶意PDF附件,据称是一个自解压可执行文件。PDF文件伪装成虚假报价单、运货单和设备规格详情。
打开恶意PDF附件后,自解压程序调用wscript.exe来运行名为adobel.vbs的Visual Basic脚本(VB脚本)。一旦VB脚本开始运行,它就会执行一系列具有各种恶意功能的短批处理脚本。
如何保护自己?
- 为避免此类攻击,最好监控网络内部两用工具的使用情况。
- 最好及时更新所有系统、应用程序、软件和操作系统。
- 最好安装一个强大的防病毒程序。
- 建议使用强密码并定期轮换密码。
- 建议在登录时使用双因素身份验证,并在会话完成后注销。
- 始终建议谨慎使用提示用户启用宏的Microsoft Office附件。
- 建议永远不要打开来自匿名发件人的任何附件。
- 最好创建列入白名单的应用程序列表并监视日志文件。
