《孫子兵法·虛實篇》有云,“兵無常勢,水無常形,能因敵變化而取勝者,謂之神”。
網絡安全,沒有一勞永逸的銀彈
現在人們已經認可,沒有100%安全的防御。如果認為可以通過充分的準備,就能應對未來的各種攻擊,那真真是心存僥幸,太過輕敵了。
“兵無常勢,水無常形”,在主機安全防御中也是如此。傳統攻擊已經轉向為高級攻防,邊界側的安全產品很容易就被輕松繞過,僅靠邊界側防御+特征庫比對的方式已然無法防御高級攻防。而在端側,終端形態多樣、應用場景多元,尤其是云化背景下,終端的攻擊面更多,主機被入侵的不穩定性也變得更大。真正的高手,總是在不斷地觀察,不斷地發現問題、定義問題,再解決問題。
無文件攻擊,神出鬼沒的進攻標配
正所謂“道高一尺、魔高一丈”,面對傳統的防病毒軟件、防火墻、IPS等安全產品,無文件攻擊另辟蹊徑,根本不會復制PE(Portable Executable)文件到磁盤上,以此來繞過防病毒引擎的檢測。在沒有惡意文件的前提下,攻擊者只需劫持其他合法的系統工具或是利用受信任的應用程序,就可以繼續開展本地提權、信息收集、橫向移動、利用系統腳本語言加密文件等攻擊行動。這所有的一切都在合法的程序中進行,完美躲過了殺毒軟件的偵查,甚至連重啟電腦清除內存都無法規避。
對于殺軟的完美躲避,加上進入目標后的操作多樣化,讓無文件攻擊成為網絡安全攻防中攻擊者常用的利器之一。
雖然無文件攻擊具有隱藏性,但并非無跡可尋,無法防御。無文件攻擊并不是指不通過任何文件。相反,它必須借助文件或漏洞才能完成攻擊,如內嵌到office文檔的宏代碼、使用powershell加密文件、利用漏洞直接注入到內存執行等行為。
用行為檢測解鎖無文件攻擊的多種姿勢
杰思打造的新一代主機安全響應系統——杰思獵鷹,并不把目標局限在惡意文件,而是著眼整個主機環境。雖然攻擊的手段變了,方式變了,甚至攻擊的小目標都變了,但是異常行為的本質不會變。從杰思獵鷹在多次攻防實戰中的亮眼表現來看,行為檢測可以有效阻止無文件攻擊。
某世界500強能源企業:Web漏洞利用-powershell
↓ 無文件攻擊繞過防火墻和殺毒軟件,利用web漏洞進入目標主機;
↓ 在目標主機向rundll32.exe注入惡意代碼;
↓ 遠程加載powershell;
↓ 反彈連接到C&C服務器。
在重要攻防演練中,杰思獵鷹及時向防守方發出告警,提示某業務主機存在異常訪問及端口掃描可疑行為。同時,通過監測系統命令,及時阻斷系統cmd程序調用powershell的異常行為,并一鍵隔離風險主機,防止威脅在內網的進一步擴散。
某大型互聯網企業:釣魚攻擊-office漏洞利用
↓ 攻擊者通過魚叉式釣魚攻擊(SpearPhishing),將一段惡意代碼嵌入word文檔;
↓ 將該文檔以附件方式發送給企業HR;
↓ HR打開郵件附件word文檔;
↓ 利用office漏洞自動加載惡意vbs代碼;
↓ 加密文檔,實施勒索。
整個攻擊過程均無文件落地,難以被殺軟檢測。杰思獵鷹通過Office漏洞檢測功能,對入侵過程中利用Office應用本身產生的異常活動進行監測分析,從而實現精準判斷,使Office應用漏洞作為無文件攻擊手段的攻擊方式難以遁形。
某新能源汽車企業:灰色工具-注冊表持久化
↓ 攻擊者構造一個惡意CHM格式幫助文檔附加到運維工具;
↓ 發布到第三方網站提供下載服務;
↓ 受害者下載文檔,打開該軟件的幫助文檔;
↓ 觸發惡意JScript代碼,加載注冊表實現持久化;
↓ 注入系統進程與C&C建立連接。
杰思獵鷹通過惡意腳本檢測功能聯動系統注冊表監測功能,快速定位觸發惡意Jscript代碼主機,并實現對惡意代碼的實時阻斷。同時通過下發響應腳本,清除惡意代碼為保證持久化而建立的注冊表信息,徹底解決惡意代碼入侵建立持久化的檢測和防護問題。
由于漏洞利用工具的存在,導致了攻擊的高效性和易創建性,無文件攻擊將會愈演愈烈。無論是惡意文檔、惡意腳本,還是與本地程序交互,或是惡意代碼注入,這些隱蔽的技術會給主機安全造成太多出其不意的影響。
兵來將擋,水來土掩。面對不同類型的無文件攻擊,杰思獵鷹聚焦主機安全內部,從系統活動通過不同的安全策略,結合應用程序清單、漏洞利用阻斷、攻擊向量指標、托管狩獵等多元化的檢測與響應,靈活應對無文件攻擊。
