歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

無文件形式的惡意軟件:了解非惡意軟件攻擊(2)

來源:本站整理 作者:佚名 時間:2019-10-07 TAG: 我要投稿


上篇文章,我們介紹了非惡意軟件如何工作?在攻擊中使用非文件惡意軟件的原因,以及PowerShell,什么是POWERSHELL合法使用?為什么要使用POWERSHELL進行無文件攻擊?本篇文章,我們將繼續介紹indows管理工具(WMI),以及為什么要使用WMI進行無文件攻擊?另外還對.NET框架以及為什么要使用.NET進行無文件攻擊都做了介紹。
Windows管理工具(WMI)
Windows Management Instrumentation(WMI)是Microsoft標準,用于訪問有關企業環境中設備的管理信息。自Windows NT 4.0和Windows 95以來,WMI已深深嵌入到Windows操作系統中。
WMI的合法用途是什么?
WMI就是關于網絡上Windows設備的管理。它可以為你提供有關本地或遠程計算機狀態的信息,并且可以用于配置安全設置,例如系統屬性,用戶組,調度進程或禁用錯誤日志記錄。對于需要輕松管理網絡上所有計算機的管理員來說,WMI非常有價值-這是企業中經常發生的任務。這種管理對于IT部門的成功至關重要,因為IT部門無法擺脫他們的日常工作。
為什么要使用WMI進行無文件攻擊?
WMI最早且最主流的惡意使用目的是在Stuxnet中,震網病毒又名Stuxnet病毒,是一個席卷全球工業界的病毒。震網(Stuxnet)病毒于2010年6月首次被檢測出來,是第一個專門定向攻擊真實世界中基礎(能源)設施的“蠕蟲”病毒,比如核電站,水壩,國家電網。互聯網安全專家對此表示擔心。作為世界上首個網絡“超級破壞性武器”,Stuxnet的計算機病毒已經感染了全球超過 45000個網絡,伊朗遭到的攻擊最為嚴重,60%的個人電腦感染了這種病毒。計算機安防專家認為,該病毒是有史以來最高端的“蠕蟲”病毒。從那時起,攻擊者便經常采用它進行偵察,防病毒檢測,代碼執行,虛擬機檢測,肆意傳播,持久性和數據盜竊。
攻擊者使用WMI進行無文件攻擊的原因很多,包括:
1.默認情況下安裝:Windows上默認安裝WMI。
2.受信任和頻繁使用:系統管理員頻繁使用和信任WMI,看到在企業環境中使用WMI并不少見。
3.作為系統運行:任何永久性WMI事件訂閱都作為系統運行,從而使它們更具可信度。
4.容易觸發:幾乎每個操作系統動作都可以觸發WMI事件,從而使其與操作系統動作結合使用非常容易。
有關使用WMI進行無文件攻擊的深入說明,請閱讀“濫用WMI來構建持久,異步和無文件后門程序”。
目前哪些攻擊使用了WMI?
1.GandCrab的逃避性感染鏈:在2019年,Cybereason Nocturnus小組發現并阻止了針對日本跨國公司的運動。該攻擊使用惡意宏作為觸發來解密有效載荷,并使用WMI對象設置環境變量。這種攻擊的最終目標是勒索計算機。目前,GandCrab勒索軟件負責全球40%的勒索軟件感染。
2.Adobe Worm Faker提供自定義的有效載荷:2019年6月Cybereason發現了一個有趣的惡意軟件樣本,并將之命名為Adobe Worm Faker,它是一類利用LOLBins進行攻擊的蠕蟲病毒,能夠根據運行的機器動態地改變其行為,以便在每臺目標機器上選擇最佳的漏洞利用和payload。這種惡意軟件潛在的破壞性風險特別高,且能夠逃避AV和EDR產品,需要人工檢測才能發現一些端倪。該惡意軟件根據目標計算機動態更改其行為,該攻擊使用WMI方法收集有關目標計算機的信息并收集有關目標計算機上現有殺毒軟件產品的信息。攻擊的主要目的是竊取客戶信息,例如財務數據和密碼。
3.Soft Cell攻擊:早在2018年,Cybereason的Nocturnus團隊發現了針對全球電信提供商的高級持續性攻擊,這種攻擊的重點是獲取特定的高價值目標的數據,并完全接管網絡。根據獲得的數據,研究人員將這種攻擊稱為Operation Soft Cell,Operation Soft Cell至少自2017年以來一直活躍。攻擊者試圖竊取存儲在活動目錄中的所有數據,以及組織中的每個用戶名和密碼,以及其他個人身份信息,計費數據,呼叫詳細記錄,憑據,電子郵件服務器,用戶的地理位置。攻擊使用WMI命令在網絡上橫向移動。在被發現之前,這種攻擊從電信提供商那里竊取了諸如呼叫詳細記錄之類的數據。
4.Exploit Kits(以下簡稱EK)利用新場景:2019年,Cybereason團隊在野外觀察到了Spelevo漏洞利用工具包。該攻擊使用WMI成功執行了其有效載荷,該攻擊用于點擊欺詐,這是對其勒索軟件功能的一次改變。Spelevo類似于RIG和GrandSoft之類的EK,很可能由俄羅斯黑客組織開發,這些工具包每月的“租金”約為1000美元至1500美元。在2019年7月,攻擊攻擊者將Spelevo?EK和Shade捆綁在一起,能在受害者難以察覺的情況下完成詐騙,這點與Shade勒索軟件的主要用途有點不一樣。我們之前有研究過,欺詐點擊每年都在以50%的速度在增長,是快速而又隱蔽賺錢的一種方法。
.NET框架
.NET是Microsoft提供的一個開放源代碼框架或一組通用,常用和可編輯的功能。它具有兩個主要組件,開發人員可以一起使用它們來創建應用程序:公共語言運行庫和.NET Framework類庫。為.NET框架編寫的程序在軟件環境“通用語言運行時”中執行。.NET于2000年底首次發布于beta版本。此后,它不僅作為框架而且作為構建Web,移動和桌面應用程序,而且還作為更特定的應用程序模型的開放源代碼開發人員平臺而受到歡迎。
.NET的合法用途是什么?
.NET是Microsoft構建的框架,用于開發各種應用程序。它提供對開發人員經常使用并可以構建的功能基礎結構的訪問,它與幾種編程語言一起使用,包括C#,VB.NET Shop,C ++和F#。它可用于創建基于Windows的應用程序,云應用程序,人工智能應用程序甚至跨平臺應用程序。
例如,你可以使用.NET來ping網絡上的另一個IP地址,或創建一個新進程。.NET可用于分配內存,創建新線程或編寫shellcode,這些只是可以在應用程序中使用.NET數萬種方法的幾個示例。

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐