企业如何反击无文件恶意软件攻击模式

2024-1-22 / 0 评论 / 132 阅读

无文件恶意软[]件攻击极难检[]测,而且被发[]现所需的时间[]也在不断增加[]。处理该问题[]的好的方法是[]采用零信任方[]法来防止恶意[]软件感染网络[]

对于任何不熟[]悉无文件恶意[]软件攻击的人[]来说,它们是[]一种完全在进[]程内存中运行[]的恶意代码执[]行技术。顾名[]思义,硬盘上[]没有任何文件[],这正是无文[]件恶意软件攻[]击能够有效逃[]脱基于检测的[]网络安全解决[]方案的原因。[]这包括从下一[]代防病毒(N[]GAV)到端[]点保护平台([]EPP)和当[]前解决方案的[]一切,包括E[]DR(端点检[]测和响应)、[]XDR(扩展[]检测和响应)[]和MDR(托[]管检测和响应[])。

无文件攻击技[]术非常普遍&[]mdash;[]&mdash[];根据一份2[]023年云原[]生威胁报告,[]去年利用现有[]软件、应用程[]序和协议的无[]文件或现代战[]场攻击数量激[]增了1400[]%。

基于检测的安[]全解决方案存[]在不足

要了解为什么[]EDR等基于[]检测的安全解[]决方案未能达[]到目标,最好[]查看它们用于[]识别和检测可[]能的恶意活动[]的不同技术。[]第一个是静态[]分析,它检查[]文件、代码和[]二进制文件以[]识别可能的威[]胁。静态分析[]速度快,可以[]及早检测网络[]攻击,而不会[]激活恶意代码[]和破坏系统。[]但对于无文件[]恶意软件,没[]有静态内容可[]供分析,这就[]是EDR难以[]检测该恶意软[]件是否存在的[]原因。

接下来是动态[]分析,它检查[]执行期间的软[]件和文件行为[]。在寻找识别[]无文件恶意软[]件时,动态分[]析是一个更好[]的选择,但它[]也因两个原因[]而受到限制。[]

首先,它是资[]源密集型的。[]这就是为什么[]动态分析主要[]在沙箱等受控[]环境中进行的[]原因。网络犯[]罪分子通过部[]署沙箱感知恶[]意软件进行响[]应,这通常会[]导致合法威胁[]被标记为合法[]操作。

动态分析监视[]执行期间的行[]为。

如果分析工具[]没有监视与内[]存相关的活动[],或者恶意软[]件使用复杂的[]技术来隐藏其[]在内存中的存[]在,则直接在[]内存中运行的[]无文件恶意软[]件可以在不被[]检测到的情况[]下潜入。然后[],EDR依靠[]行为分析,通[]过建立正常端[]点行为的基线[]并检测异常来[]识别威胁。这[]涉及监控系统[]进程、API[]调用、用户操[]作和其他活动[]。然而,威胁[]行为者越来越[]多地部署规避[]技术来绕过E[]DR,包括脱[]钩、直接/间[]接系统调用、[]DLL漏洞利[]用等。其中许[]多技术都存在[]于无文件攻击[]中。

无文件技术的[]类型

对抗无文件的[]好的方法是了[]解正在使用的[]不同技术。当[]今使用的一些[]更流行的技术[]包括:

Window[]s注册表操作[]:在这种情况[]下,代码通常[]由常规Win[]dows进程[]直接从注册表[]编写和执行。[]这有助于实现[]持久性、绕过[]白名单和规避[]静态分析等目[]标。

内存代码注入[]:当今使用了[]多种代码注入[]技术。其中包[]括进程空洞、[]本地shel[]lcode注[]入和反射加载[]。在这些情况[]下,当进程在[]系统上运行时[],恶意软件驻[]留在进程内存[]中。然后,它[]会将自身分发[]并重新注入到[]对正常的日常[]Window[]s操作活动至[]关重要的合法[]进程中。

基于脚本:这[]不是100%[]无文件技术,[]因为它使用文[]件来稍后在内[]存中执行恶意[]软件。因此,[]基于脚本的攻[]击给检测解决[]方案带来了类[]似的问题,使[]其成为保持隐[]秘性的首选方[]法。

加壳器:加壳[]器是一种压缩[]文件的方法,[]网络犯罪分子[]可以通过多种[]方式利用加壳[]器。其中包括[]签名重新创建[]、动态检测规[]避,以及作为[]代码注入方法[],重写现有的[]可执行文件并[]在解密后重新[]创建其代码并[]重新映射新功[]能。

虽然基于文件[]和无文件的恶[]意软件都使用[]打包,但引爆[]/解包过程是[]无文件过程。[]恶意软件通常[]通过加密与位[]置无关的代码[](shell[]code/l[]oader/[]decryp[]tor)的功[]能和执行来隐[]藏其真实的A[]PI和功能。[]

该代码没有使[]用太多声明的[]API,通常[]会执行下一阶[]段恶意库的反[]射加载。我们[]称这种技术为[]无文件,因为[]它运行纯粹在[]内存中创建的[]恶意代码,而[]不写入磁盘。[]许多已知的恶[]意软件大量使[]用打包和本地[]代码注入技术[]来逃避静态分[]析,包括Em[]otet、R[]evil、Q[]akbot、[]IceID、[]Vidar等[]

去年,进程注[]入和Powe[]rShell[]攻击等无文件[]攻击技术是最[]常报道的MI[]TRE ATT&am[]p;CK技术[]。无文件恶意[]软件攻击链的[]兴起是安全团[]队需要高度重[]视的事情。

无法检测到的[]威胁延长了停[]留时间

尽管无文件恶[]意软件攻击有[]许多不同类型[],但它们都有[]一些共同的特[]征。最值得注[]意的是,它们[]极难被发现,[]而且被发现所[]需的时间也在[]不断增加,这[]解释了为什么[]它们在网络犯[]罪社区中变得[]越来越受欢迎[]

2020年至[]2021年间[],威胁的平均[]停留时间增长[]了36%,导[]致勒索软件部[]署或数据泄露[]的攻击的平均[]停留时间为3[]4天。这只是[]天数的中位数[]。我们已经发[]现了一些无文[]件恶意软件的[]示例,这些恶[]意软件会在远[]程端点保留数[]月之久,只是[]等待采取行动[],然后才会被[]检测到。

无文件恶意软[]件攻击造成更[]大损害

无文件攻击非[]常有效,它们[]成功的可能性[]是其他攻击的[]十倍。与其他[]攻击相比,它[]们也更容易造[]成更大的破坏[]

如何降低无文[]件恶意软件攻[]击风险

这些无文件恶[]意软件攻击的[]不断增长,依[]赖基于检测的[]工具来保护它[]们的安全团队[]显着暴露。反[]击首先是采用[]零信任方法,[]对网络进行分[]段并部署严格[]的访问控制。[]这些步骤可以[]阻止无文件威[]胁访问和利用[]未经许可的数[]据流。

接下来是自动[]移动目标防御[](AMTD)[],它是当今唯[]一能够可靠阻[]止无文件攻击[]和其他高级威[]胁的技术。这[]种预防技术可[]以阻止应用程[]序级别使用的[]攻击路径威胁[]。对于任何不[]熟悉AMTD[]的人来说,它[]无需检测即可[]预防威胁。它[]随机改变业务[]的运行时环境[],从而导致攻[]击面高度不可[]预测。同时,[]尚乘还在之前[]发生过攻击的[]地方留下了诱[]饵陷阱。

至于可信应用程序,每次内存环境发生变化时都会更新这些应用程序,而尝试针对诱饵执行的任何代码都会被终止并锁定,以便团队可以进行广泛的取证分析。

评论一下?

OωO
取消