虹科分享|無(wú)文件惡意軟件將擊敗您的EDR|終端入侵防御

無(wú)文件惡意軟件攻擊是一種完全在進(jìn)程內(nèi)存中工作的惡意代碼執(zhí)行技術(shù)。在無(wú)文件攻擊中，不會(huì)將任何文件放入硬盤。由于硬盤上沒(méi)有要檢測(cè)的偽像，這些攻擊可以輕松避開(kāi)基于檢測(cè)的網(wǎng)絡(luò)安全解決方案，如下一代防病毒(NGAV)、終端保護(hù)平臺(tái)(EPP)以及終端檢測(cè)和響應(yīng)(EDR、XDR、MDR)。

也稱為內(nèi)存攻擊，無(wú)文件惡意軟件攻擊已經(jīng)存在了十多年。最初，它們構(gòu)成的威脅有限，因?yàn)樗鼈兒苌僖?jiàn)，并且可以在系統(tǒng)重新啟動(dòng)時(shí)刪除。2014年，這種情況隨著Poweliks的出現(xiàn)而改變，這是一種點(diǎn)擊欺詐特洛伊木馬，是第一款展示持久性功能的無(wú)文件惡意軟件。今天，無(wú)文件技術(shù)是每個(gè)網(wǎng)絡(luò)犯罪組織武器庫(kù)的一部分，并對(duì)每個(gè)組織構(gòu)成最危險(xiǎn)的威脅之一。

基于腳本的惡意軟件也被認(rèn)為是一種無(wú)文件惡意軟件，因?yàn)樗粫?huì)在磁盤上丟棄任何可移植的可執(zhí)行文件(PE)。然而，它并不是100%無(wú)文件的，因?yàn)樗_實(shí)會(huì)丟棄基于腳本的解釋文件，如JavaScript、HTA、VBA、PowerShell等。它是使用合法的Windows進(jìn)程執(zhí)行的，這使得它非常難以檢測(cè)。

為什么 EDRS 無(wú)法檢測(cè)到無(wú)文件惡意軟件？

EDR 等基于檢測(cè)的安全解決方案使用多種技術(shù)來(lái)查找和檢測(cè)惡意活動(dòng)。

靜態(tài)分析用于檢查文件和軟件而不實(shí)際執(zhí)行它們。 當(dāng)它工作時(shí)，它可以實(shí)現(xiàn)更快的分析和更早的檢測(cè)，而不會(huì)冒激活惡意代碼和損壞系統(tǒng)的風(fēng)險(xiǎn)。 靜態(tài)分析技術(shù)通常依賴于檢查文件、代碼或二進(jìn)制文件來(lái)識(shí)別潛在威脅。 由于無(wú)文件惡意軟件不使用傳統(tǒng)文件，因此沒(méi)有可分析的靜態(tài)內(nèi)容，這使得檢測(cè)惡意軟件的存在變得極其困難。

動(dòng)態(tài)分析觀察軟件或文件在執(zhí)行期間的行為，這通常使其在檢測(cè)無(wú)文件惡意軟件方面比靜態(tài)分析更有效。 然而，動(dòng)態(tài)分析在檢測(cè)無(wú)文件惡意軟件方面仍然存在挑戰(zhàn)。 動(dòng)態(tài)分析是資源密集型的，因此它通常在沙箱或虛擬機(jī)等受控環(huán)境中執(zhí)行。 這會(huì)導(dǎo)致沙盒感知惡意軟件和誤導(dǎo)性的威脅分類為合法操作。 此外，動(dòng)態(tài)分析旨在監(jiān)控執(zhí)行期間的行為。 如果分析工具沒(méi)有專門監(jiān)視與內(nèi)存相關(guān)的活動(dòng)，或者如果惡意軟件采用復(fù)雜的技術(shù)來(lái)隱藏其在內(nèi)存中的存在，那么直接在內(nèi)存中運(yùn)行的無(wú)文件惡意軟件仍將逃避檢測(cè)。 攻擊者經(jīng)常利用合法的工具和流程。 這使得動(dòng)態(tài)分析很難區(qū)分這些工具執(zhí)行的合法活動(dòng)和惡意活動(dòng)。

白名單（以前稱為allowlisting）解決方案的自由應(yīng)用確實(shí)有助于限制用戶組對(duì)解釋器等合法工具的執(zhí)行。 但以限制組織的運(yùn)營(yíng)靈活性為代價(jià)。 此外，我們看到攻擊者每周都會(huì)發(fā)明新模式以繞過(guò)白名單解決方案的明顯模式。 那么，為什么腳本執(zhí)行檢測(cè)經(jīng)常屬于無(wú)文件惡意軟件檢測(cè)的挑戰(zhàn)類別？

• 我們應(yīng)該掃描 .txt 文件、.sct 文件、.xml 文件嗎？ 這些都可能是惡意腳本文件，那么我們?cè)谀睦锿Ｏ聛?lái)呢？
• 雖然我們清楚地了解可執(zhí)行軟件及其標(biāo)準(zhǔn)加載行為，但每種解釋語(yǔ)言都有自己的結(jié)構(gòu)和行為。 我們應(yīng)該為每種類型的解釋文件構(gòu)建一個(gè)解析器/解釋器嗎？ 任何人都可以決定一種新的解釋性語(yǔ)言，那么我們?cè)谀睦锿Ｏ聛?lái)呢？
• 我們應(yīng)該阻止任何可疑的字符串，甚至是報(bào)告中的評(píng)論嗎？

這就是為什么一些安全供應(yīng)商將靜態(tài)掃描限制為特定類型的解釋文件，并將動(dòng)態(tài)檢測(cè)限制為一組特定的軟件解釋器。 即便如此，由于易于使用的混淆選項(xiàng)，他們也很難掃描這些文件。

無(wú)文件技術(shù)的類型

無(wú)文件技術(shù)的惡意軟件實(shí)施的一些流行技術(shù)包括：

Windows 注冊(cè)表操作：代碼通常由常規(guī) Windows 進(jìn)程直接從注冊(cè)表編寫和執(zhí)行。 這有助于實(shí)現(xiàn)持久性、繞過(guò)白名單和規(guī)避靜態(tài)分析等目標(biāo)。

內(nèi)存代碼注入：當(dāng)進(jìn)程在系統(tǒng)上運(yùn)行時(shí)，允許惡意軟件僅存在于進(jìn)程內(nèi)存中。 惡意軟件將自身分發(fā)并重新注入對(duì)正常 Windows 操作活動(dòng)至關(guān)重要的合法進(jìn)程，因此它無(wú)法列入白名單，甚至無(wú)法掃描。 安全供應(yīng)商需要一個(gè)適當(dāng)?shù)睦碛蓙?lái)終止、阻止或隔離這樣的進(jìn)程，這使得這對(duì)黑客極具吸引力。 代碼注入技術(shù)包括遠(yuǎn)程線程注入、APC、原子彈轟炸、進(jìn)程挖空、本地 shellcode 注入、反射加載等。

基于腳本：如前所述，這不是 100% 無(wú)文件技術(shù)，但它會(huì)為檢測(cè)解決方案帶來(lái)類似的問(wèn)題，并且是保持隱身性的首選方法。

Packers

打包是壓縮可執(zhí)行文件的合法方式。 本質(zhì)上，它是內(nèi)存中的自修改代碼，可以改變進(jìn)程的內(nèi)存狀態(tài)。 但是這種技術(shù)被許多惡意軟件家族用于簽名重新創(chuàng)建，更重要的是，用于動(dòng)態(tài)檢測(cè)規(guī)避。 通過(guò)重寫現(xiàn)有的可執(zhí)行文件并在解密和重新映射新功能后重新創(chuàng)建其代碼，打包也可以用作代碼注入方法。

基于文件和無(wú)文件的惡意軟件都使用打包。 然而，引爆/解包過(guò)程是一個(gè)無(wú)文件過(guò)程。 惡意軟件通常通過(guò)加密位置無(wú)關(guān)代碼（shellcode/loader/decryptor）的功能和執(zhí)行來(lái)隱藏其真正的 API 和功能。 這段代碼并沒(méi)有使用太多已聲明的 API，通常會(huì)反射加載下一階段的惡意庫(kù)。 我們稱這種技術(shù)為無(wú)文件技術(shù)，因?yàn)樗\(yùn)行純粹在內(nèi)存中創(chuàng)建的惡意代碼，而無(wú)需寫入磁盤。 許多已知的惡意軟件大量使用打包和本地代碼注入技術(shù)來(lái)逃避靜態(tài)分析，包括 Emotet、Revil、Qakbot、IceID、Vidar 等。

WatchGuard (2021) 進(jìn)行的研究表明，無(wú)文件攻擊的發(fā)生率增長(zhǎng)了 900% 以上。 去年，進(jìn)程注入和 PowerShell 利用等無(wú)文件攻擊技術(shù)是最常報(bào)告的 MITRE ATT&CK 技術(shù)之一。

這就是為什么無(wú)文件惡意軟件攻擊鏈的興起是安全團(tuán)隊(duì)需要極其認(rèn)真對(duì)待的事情。

無(wú)法檢測(cè)到的威脅會(huì)延長(zhǎng)駐留時(shí)間

所有類型的無(wú)文件惡意軟件攻擊都有一個(gè)共同點(diǎn)：它們極難被檢測(cè)到。

隨著無(wú)文件攻擊在網(wǎng)絡(luò)犯罪分子中越來(lái)越流行，安全團(tuán)隊(duì)檢測(cè)危害所需的時(shí)間猛增。 從 2020 年到 2021 年，威脅的平均停留時(shí)間增加了 36%。導(dǎo)致勒索軟件部署或數(shù)據(jù)泄露的攻擊的平均停留時(shí)間現(xiàn)在約為 34 天。

許多無(wú)文件威脅可能會(huì)持續(xù)更長(zhǎng)時(shí)間。Morphisec的事件響應(yīng)團(tuán)隊(duì)發(fā)現(xiàn)，無(wú)文件惡意軟件持續(xù)存在于遠(yuǎn)程終端中，等待幾個(gè)月的橫向移動(dòng)機(jī)會(huì)才被檢測(cè)到。

無(wú)漏洞惡意軟件攻擊造成更大破壞

根據(jù)波納蒙研究所的一項(xiàng)研究，無(wú)文件攻擊成功的可能性是其他攻擊的十倍。因?yàn)樗鼈兏锌赡艹晒Γ运鼈兏邼撛诘钠茐男?，因?yàn)楣粽哂袡C(jī)會(huì)攻擊受感染系統(tǒng)的更大部分。

2021年針對(duì)愛(ài)爾蘭衛(wèi)生服務(wù)主管(HSE)的襲擊就是一個(gè)很好的例子。2021年3月18日，Conti勒索軟件小組使用附加了惡意Excel宏的網(wǎng)絡(luò)釣魚(yú)電子郵件來(lái)滲透HSE網(wǎng)絡(luò)中的一個(gè)終端。然后，使用鋼筆測(cè)試工具Cobalt Strike的折衷版本，Conti特工在5月14日-8周后-部署勒索軟件之前，在HSE的網(wǎng)絡(luò)中橫向移動(dòng)。

這導(dǎo)致Conti泄露了700 GB的未加密數(shù)據(jù)，包括受保護(hù)的健康信息(PHI)，并導(dǎo)致勒索軟件感染數(shù)萬(wàn)個(gè)終端和服務(wù)器。CONTI關(guān)閉了為500多萬(wàn)人提供服務(wù)的整個(gè)醫(yī)療服務(wù)IT網(wǎng)絡(luò)一周，造成了大規(guī)模中斷。在Conti發(fā)布解密密鑰后，HSE才解決了這個(gè)問(wèn)題。

勒索軟件集團(tuán)使用了類似的攻擊方法，關(guān)閉了整個(gè)哥斯達(dá)黎加政府，并勒索贖金。

像Cobalt Strike這樣的無(wú)文件后門越來(lái)越容易使用。網(wǎng)絡(luò)犯罪分子正在使用這種民族國(guó)家的致命戰(zhàn)術(shù)來(lái)攻擊包括中小企業(yè)在內(nèi)的許多其他目標(biāo)。

如何降低無(wú)文件惡意軟件攻擊風(fēng)險(xiǎn)

無(wú)文件惡意軟件攻擊大多無(wú)法檢測(cè)到。它們經(jīng)過(guò)精心設(shè)計(jì)，可以繞過(guò)NGAV、EPP和EDR/XDR/MDR等檢測(cè)和響應(yīng)網(wǎng)絡(luò)安全工具。

隨著無(wú)文件惡意軟件攻擊的持續(xù)增加，依賴基于檢測(cè)的工具的組織面臨的風(fēng)險(xiǎn)比他們想象的要大得多。組織要降低這種風(fēng)險(xiǎn)，需要使其網(wǎng)絡(luò)環(huán)境不適合無(wú)文件威脅。

例如，重要的是分割網(wǎng)絡(luò)并實(shí)施嚴(yán)格的訪問(wèn)控制，以便為無(wú)文件威脅利用的網(wǎng)絡(luò)中的未經(jīng)許可的數(shù)據(jù)流設(shè)置障礙。即，實(shí)施零信任戰(zhàn)略。它還意味著部署預(yù)防性技術(shù)，如自動(dòng)移動(dòng)目標(biāo)防御(AMTD)，該技術(shù)可以關(guān)閉威脅在應(yīng)用程序級(jí)別使用的攻擊路徑。

AMTD是一項(xiàng)創(chuàng)新技術(shù)，可以在不檢測(cè)威脅的情況下阻止威脅。它隨機(jī)改變運(yùn)行時(shí)內(nèi)存環(huán)境，以創(chuàng)建不可預(yù)測(cè)的攻擊面，并將誘餌陷阱留在目標(biāo)所在的位置?？尚艖?yīng)用程序使用更改后的內(nèi)存環(huán)境進(jìn)行更新，而試圖針對(duì)誘餌執(zhí)行的任何代碼都會(huì)觸發(fā)該進(jìn)程終止并捕獲以進(jìn)行取證分析。由于其確定性、預(yù)防性的方法，AMTD是唯一可靠地阻止無(wú)文件攻擊和其他高級(jí)威脅(如供應(yīng)鏈攻擊和勒索軟件)的技術(shù)之一。Gartner將AMTD稱為“網(wǎng)絡(luò)的未來(lái)”，并表示“自動(dòng)移動(dòng)目標(biāo)防御是一種新興的改變游戲規(guī)則的技術(shù)，旨在改善網(wǎng)絡(luò)防御。通過(guò)將其添加到他們的產(chǎn)品組合中，產(chǎn)品領(lǐng)導(dǎo)者可以使他們的解決方案產(chǎn)品與眾不同，并顯著提高其他現(xiàn)有安全解決方案的有效性和價(jià)值。“