您的位置:网站首页 > 挖矿(POW/IDO/POS/减半) > 正 文 比特币

无文件攻击有多阴险 竟利用“永恒之蓝”传播挖矿机

【作者:网文】 来源:转载 日期:2017-10-9 13:17:50 人气: 标签:永恒之蓝 挖矿机 WiFi挖矿脚本 加密货币 挖矿 咖啡馆挖矿机 CoffeeMiner 概念验证 PoC 【打印】

网络罪犯不需要在你的系统里放上恶意软件就能侵入。无文件/零足迹攻击能够利用合法应用,甚至利用操作系统本身,亦或逃过白名单的检测机制,利用位于批准列表之上且已经安装到机器上的应用,进行攻击。

不过,“无文件”、“零足迹”和“非恶意软件”这几个术语,从技术上讲都属于用词不准确的范畴,因为它们往往依赖用户下载恶意附件文件的行为,且确实在计算机上留下了踪迹——只要你知道该找寻什么。


实际上,完全零足迹的恶意软件并不存在,因为有很多方法都可以检测出恶意软件——即便恶意软件不把自身安装到硬盘上。而且,它们并不能完全绕过反病毒工具。因为即使不安装可执行程序,反病毒工具还是可以发现恶意附件或恶意链接。只是利用无文件攻击的话,侵入系统的几率会高,这才是真正的威胁所在。


无文件恶意软件是越来越大的威胁


高级威胁防护厂商Carbon Black的首席技术官迈克·维斯库索称,无文件恶意软件攻击的比例,从2016年初的3%,上升到了去年11月的13%,且还在不断攀升,几乎每3起感染中就有1起带有无文件组件。


鉴于不是所有的客户都选择阻止攻击,而是选择只报警,无文件攻击的实际影响可能还要更大些。Carbon Black最近对上千名客户250多万台终端做了分析,结果显示:2016年,几乎每一家公司都遭到过无文件攻击。迈克表示,成功的攻击中,超过半数都是无文件的。


蜜罐不失为一种防范无文件攻击的好方法,便于观察攻击,然后追踪攻击者的目标和扩散方式。


从攻击者方面看,在受害者计算机上安装新软件,是件很容易引起注意的事。

如果我放份文件在受害者电脑上,你会经历多少审查?这正是为什么攻击者选择无文件攻击或内存攻击更让人崩溃的原因。他们经历的审查会少很多,攻击成功率也就高得多。

而且,功能性上并没有损失。载荷还是同样的。举个例子,如果攻击者想发起勒索软件攻击,他们可以安装二进制文件,或者直接用PowerShell。PowerShell功能强大,新应用能做的所有事它都能干。内存攻击或用PowerShell进行的攻击,没有任何限制。


迈克菲也报告了无文件攻击的上升。占据了无文件恶意软件半壁江山的宏恶意软件,从2015年底的40万种,上升至今年第2季度的1100多万种。增长原因之一,是包含此类漏洞利用的易用工具包的出现。


因此,之前主要限于民族国家及其他高级对手使用的无文件攻击,就被民主化了,即使在商业攻击中也很常见。网络罪犯已经利用这个来传播勒索软件了。


为对抗此类攻击,迈克菲和其他主流反病毒厂商,在传统基于特征码的防御措施上添加基于行为的分析。比如说,如果Word执行时出现了PowerShell连接,那就高度可疑了,可以隔离该进程,或者判定杀之。


无文件攻击的运作机制


无文件恶意软件利用已经安装在用户电脑上的应用,也就是已知安全的应用。比如说,漏洞利用工具包可以利用浏览器漏洞来让浏览器执行恶意代码,或者利用微软Word宏,再不然还可以利用微软的PowerShell功能。


NTT Security 威胁情报沟通团队经理乔·海默尔称:“已安装软件中的漏洞,是执行无文件攻击的必要条件。于是,预防措施中最重要的一步,就是不仅仅更新操作系统,软件应用的补丁也要打上。浏览器插件,是补丁管理过程中最容易忽略掉的应用,也是无文件感染最经常的目标。”


使用微软Office宏的攻击可以通过关闭宏功能加以挫败。实际上,宏功能默认就是关闭的。用户需要特意同意启用这些宏,才可以打开被感染的文件。Rapid7研究主管陶德·比尔兹利称:“一定比例的人依然会打开,尤其是攻击者冒充受害者熟人的时候。”


Adobe PDF 阅读器和JavaScript里的漏洞也是攻击者的目标。Barracuda Networks 先进技术工程高级副总裁弗雷明·史称:“有些偏执的人会关掉自己浏览器的JavaScript执行功能,想防止被感染,但往往是网站端被突破了。”


Virsec System 创始人兼CTO萨特雅·古普塔认为,最近的Equifax数据泄露事件,也是无文件攻击的一个案例。该攻击利用了 Apache Struts 中的指令注入漏洞。

此类攻击中,脆弱应用没有充分验证用户的输入,而输入中可能含有操作系统指令。因此,这些指令就会在受害机器上以该脆弱应用的权限执行

不检查应用执行路径以判断应用是否真实的反恶意软件解决方案,都会被该机制骗过。打补丁本可以防止该数据泄露的发生,因为3月份补丁就已经发布了。


今年早些时候,某无文件攻击感染了140多家企业,包括40个国家的银行、电信公司和政府机构。卡巴斯基实验室在这些企业网络的注册表里,发现了恶意PowerShell脚本。卡巴斯基称,该攻击只能在RAM、网络和注册表中被检测到。


Carbon Black表示,另一起备受关注的无文件攻击,就是美国民主党全国委员会(DNC)黑客事件了。对于那些想要尽可能长时间不被发现的攻击者,无文件攻击可帮助他们免受检测。


火眼称:“我们观察到很多网络间谍利用该技术试图规避检测。最近的攻击包括了中国和朝鲜黑客团队进行的那些。”


无文件攻击的一种新型商业应用,是用被感染机器来挖掘比特币金矿。eSentire创始人兼首席安全策略师埃尔顿·斯普里克霍夫称:“加密货币挖掘者试图运行直接加载到内存的挖矿机,利用‘永恒之蓝’在公司里传播成千上万的挖矿机。”


比特币挖掘的难度随时间流逝而增加,挖掘难度增速比该虚拟货币的升值速度快得多。比特币挖掘者不得不购置专门的硬件并支付高昂电费,让挖矿盈利变得非常之难。而通过劫持企业PC和服务器,他们可以省去这两笔巨大的开支。

如果你能充分利用大型多路CPU,那就比用某人的笔记本电脑要好得多。公司企业可以将不正常的CPU使用率当成比特币挖掘正在进行的指标。

但即便行为分析系统,也检测不出全部的无文件攻击。总要等注意到异常事件开始发生,比如某用户账户被黑并开始连接大量之前根本没通信过的主机,才会开始响应。


很难在攻击触发警报前捕获它们,要不然就是它们的动作是行为分析算法不关注的。如果对手在低调和慢速上下足功夫,就更加难以检测到攻击。从所观测到的现象看,这可能是因为选择偏差——因为笨拙的类型最容易被看到,所以我们也就只看到那些粗糙的攻击了。只要超级隐秘,谁都觉察不到。

返回顶部】【关闭窗口 风险提示:本站分享转载的信息均来自互联网,且仅供阅读参考,不作为具体投资的依据,据此入市,风险自担。本站所有内容涉及到的“货币”字眼需谨慎研判,我们维护各国法币的合法地位,同时数字资产具有货币的某些属性,目前是不能替代任何国家的法定货币的,请谨慎理解投资并严格遵守各国法律法规!详见本站[免责声明]。】
【读完这篇文章后,可否发表您的感受?】
0
0
0
0
0
0
0
0
本文网址:
安全联盟站长平台 互联网举办平台 公共信息安全网监 中国网安 赛门铁克安全响应中心