解密无文件攻击的各种姿势及最新检测办法
发布时间:2022-07-22 08:42:57 所属栏目:安全 来源:互联网
导读:无文件攻击 不代表真的没有文件,只是一种攻击策略,其出发点就是避免将恶意文件放在磁盘上,以逃避安全检测。所说的无文件,也未必是攻击全程无文件,而是其中的一部分采用了无文件攻击 [ 1 ] 。近期,受 NDSS2020 顶会文章 [ 2 ] 启发,查阅趋势科技等数篇
|
" 无文件攻击 " 不代表真的没有文件,只是一种攻击策略,其出发点就是避免将恶意文件放在磁盘上,以逃避安全检测。所说的无文件,也未必是攻击全程无文件,而是其中的一部分采用了无文件攻击 [ 1 ] 。近期,受 NDSS2020 顶会文章 [ 2 ] 启发,查阅趋势科技等数篇安全报告及网页文章,认为无文件攻击是一种趋势," 离地 / 隐形 / 无文件 " 是一个目前很热门的方向。故本文围绕无文件展开调研,收集 2020 年 4 月前的相关资料,内容包括无文件勒索、无文件挖矿等最新的无文件攻击方式,并对其进行归纳、总结。同时,分析了该篇顶会文章的核心内容,进一步了解无文件攻击的检测思路。 近期比较特别的有 ProLock(shellcode 嵌入 BMP 图像中)、WannaRen(office 激活工具中硬编码 powershell 命令),还有普通的恶意代码注入合法进程及宏结合 powershell 等。具体情况如下: ProLock [ 3 ] (2020.4.19) 将恶意 shellcode 嵌入到 BMP 图像文件中(之前的版本 PwndLocker,嵌入到 AVI 视频中,被加密文件存在被恢复的可能),通过混淆的 powershell 代码将图像中的代码直接注入到内存中执行,达到可执行文件不落地的目的。使用 ShellCode 开发的勒索软件比宏结合 powershell 更难被安全软件识别,未来可能会成为更多勒索软件开发者的选择。 解码后得到可执行代码,执行后会先延时 2000 秒(大概 33 分钟),检测是否存在相关安全防护进程,针对性很强,可以看出是针对国内普通的个人用户环境。最后还是会执行一段 powershell 脚本,通过站点返回的内容作为命令执行。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号