相信大多數人第一次看到“無文件惡意軟件”時都會心生疑問,真的沒有文件?沒有文件又如何實施攻擊?如何檢測?如何防御……別急,通過本篇文章,將為你解答所有疑惑!
什么是“無文件惡意軟件”?
據監測結果顯示,“無文件惡意軟件”(也叫“無形惡意軟件”、“零足跡攻擊”或“無/宏惡意軟件攻擊”,后文有詳述其名稱進化史)這個詞出現在2012年到2014年之間。不過隨著惡意軟件的開發者開始在攻擊中頻繁的使用這一技術,網絡安全人員對這一術語的集中大規模討論卻發生在2015年,直至2017年隨著網絡安全的概念深入人心,這個詞也被大眾所熟知。
不過,從字面來看,“無文件”惡意軟件很容易讓人誤以為,攻擊者在使用該技術進行攻擊時真的不需要使用任何文件,顯然,這種理解是錯誤的!有一點需要明確,就是無文件惡意軟件有時候也會使用文件。
最初,“無文件”惡意軟件是指沒有持久注入在內存中的惡意代碼,不過隨著時間的變化,該術語的范圍逐漸擴大,現在已經將那些依賴文件系統的某些方面以實現惡意代碼激活和駐留的惡意軟件也包括進來。由于在無文件惡意軟件攻擊中,系統變得相對干凈,傳統的防毒產品很難或根本無法識別這種感染并及時通知技術人員進行防御。
據悉,“無文件”這一術語也是經歷了長時間的變遷,早在2012年,有文章最初就使用了“無文件”惡意軟件的這一詞匯,但是后來,人們開始傾向于使用“無形惡意軟件”()這一詞匯。卡巴斯基實驗室在2016年之前用的都是“無形惡意軟件”這個術語。
而在其2016年的威脅報告中引入了“無惡意軟件攻擊”(non-)一詞,其官方解釋為,“無惡意軟件攻擊是攻擊者使用現有軟件,利用允許的應用程序和授權的協議來進行的一種惡意攻擊。無惡意軟件攻擊能夠獲得對計算機的控制,無需下載任何惡意文件。”
在2017年的報告中也使用了“無惡意軟件攻擊”一詞,不過,一個月后,在發表的另外一篇報告中則改為使用“無文件攻擊”()一詞。
“無文件惡意軟件”威脅越來越大
Black公司首席技術官Mike 表示,
無文件惡意軟件的攻擊率從2016年初的3%上升到了去年11月的13%,而且這種增長趨勢還在持續,我們發現,平均每3個感染中就有1個是無文件組件造成的。
在最近的一項研究報告中, Black對超過1000名用戶(擁有超過250萬個終端)進行分析后發現,幾乎每個組織都在2016年遭到了無文件攻擊。
表示打文件用什么軟件,無文件攻擊對攻擊者而言意義重大。他說,
我在美國政府做了10多年的攻擊黑客( ),可以說,我本人非常了解攻擊者的心態。從攻擊者的角度來看,在受害者的計算機上安裝新軟件可能會引起人們的注意。如果不在受害者設備上放入這些文件,那么他們受到審查的程度和威脅都會小很多,如此一來,攻擊也就更容易成功。
除 Black外,也發布報告表示,“無文件惡意軟件”正在呈現增長趨勢,已經從2015年底的40萬起增加到了2017年Q2的110萬起。公司戰略研究首席科學家兼首席工程師 Beek表示,“無文件惡意軟件”攻擊呈現增長趨勢的原因之一就是易于使用的工具包的出現打文件用什么軟件,這些工具包中包含這些類型的漏洞。
“無文件惡意軟件”是如何實現的?
早在2015年,還歸屬Intel時曾發表過一份威脅報告,其中詳細介紹了“無文件惡意軟件”如何刪除它在受感染系統磁盤中保存的所有文件,在注冊表中保存加密數據,注入代碼到正在運行的進程,并使用、 和其他技術使其難以被檢測以及分析。
注冊表中保存數據的方式讓惡意軟件可在啟動時運行而不被用戶查看或訪問,此時攻擊者便有更多的時間利用其惡意軟件繼續執行攻擊。實際上,惡意軟件也可能會被檢測到,但在分析前大多數反惡意軟件產品都很難發現和移除無文件惡意軟件。
例如惡意軟件,其通過電子郵件或惡意軟件網站進行分發,在本地計算機執行最初的惡意軟件攻擊后,會編寫到注冊表,調用同樣存儲在該注冊表中加密的腳本,由于它并不會保存文件,且利用進行隱藏很難被檢測到。
“無文件惡意軟件”攻擊案例
1. 全球40個國家的140家銀行、電信及政府機構遭到攻擊
今年早些時候,全球40個國家超過140家包括銀行、電信和政府機構等組織遭到“無文件惡意軟件”攻擊,其中大多數受害者位于美國、法國、厄瓜多爾、肯尼亞、英國和俄羅斯等西方國家,中國也位列其中。
據悉,攻擊中使用的軟件包括使用廣泛的滲透測試攻擊以及管理攻擊,同時還包括用于任務自動化的框架。這種攻擊不會在計算機磁盤上釋放惡意軟件文件,而是隱藏在內存中。此外,該攻擊技術還能夠躲避白名單技術的檢測,同時幾乎不會給取證分析人員留下任何證據或惡意軟件樣本,以進行分析。攻擊者會在受感染系統中停留一段時間以確保收集信息,并在系統重啟后清除所有痕跡。
2. 針對民主黨全國委員會的攻擊
Black表示,另一場高調的“無文件”攻擊就是針對民主黨全國委員會的攻擊事件。對于希望盡可能“隱身”的攻擊者而言,無文件攻擊確實幫了他們大忙。
3. 俄羅斯ATM一夜失竊80萬美元
今年4月,黑客通過新型惡意軟件 “”采用“無文件攻擊”方式,一夜之間成功劫持俄羅斯8臺ATM機上竊走80萬美元。據悉,攻擊全球140多家機構利用的也是這款名為“”的惡意軟件。
4. 數據泄漏事件
據網絡安全公司 的創始人兼首席技術官Satya Gupta介紹稱,最近的數據泄漏事件也是“無文件”攻擊的一個例子,其在 中使用了一個命令注入漏洞。Gupta表示,
“在這種類型的攻擊中,易受攻擊的應用程序不能充分驗證用戶的輸入(其可能包含操作系統命令)。因此,這些命令就可以帶著與易受攻擊的應用程序相同的特權在受感染的設備上執行。”
5. “無文件惡意軟件”的新商業應用
最近關于“無文件惡意軟件”攻擊的例子來自于勒索軟件。研究人員發現了一種名為的新的無文件惡意軟件,它將惡意代碼注入目標系統中的合法系統進程,然后自動從磁盤中刪除,以躲避安全工具的檢測。
此外,還可以加密網絡共享文件,即會掃描網絡尋找資產,并枚舉開放式共享(包括文件夾、內容或通過該網絡易訪問的外圍設備),之后它會啟動到共享的連接,無論讀取和寫入訪問是否可用,這款惡意軟件都會對發現的共享進行加密。
6. 越來越多的國家網絡間諜開始使用該技術實施攻擊
的研究人員還發現,目前已經有越來越多的國家網絡間諜活動者(如朝鮮等)開始利用“無文件”攻擊技術來試圖逃避偵測,對民族國家實施攻擊活動。
如何防御無文件惡意軟件攻擊?
其實,不論面對何種網絡安全威脅,及時更新是最基礎的。因此,在抵御無文件惡意軟件時,首先要做的就是保證端點及時更新。
其次,還要做好終端服務器訪問權限的控制,確保用戶訪問只能以普通用戶身份來訪問,而不能具有特權。
此外,建議用戶可以使用端點反惡意軟件工具來保護設備。這些步驟需要采用縱深防御的方法來完成,通過掃描網絡連接和電子郵件中是否存在惡意軟件,這將幫助減少惡意軟件到達端點并執行的機會。
惡意軟件編寫者正在不斷提高自己的無文件惡意軟件策略,無論是企業還是普通用戶都需要提高安全意識,從了解“無文件惡意軟件”開始,不斷提升自身安全防范的能力。