兵无常势,杰思安全应对无文件攻击的多种姿势

    《孙子兵法·虚实篇》有云,“兵无常势,水无常形,能因敌变化而取胜者,谓之神”。

网络安全,没有一劳永逸的银弹

       现在人们已经认可,没有100%安全的防御。如果认为可以通过充分的准备,就能应对未来的各种攻击,那真真是心存侥幸,太过轻敌了。

       “兵无常势,水无常形”,在主机安全防御中也是如此。传统攻击已经转向为高级攻防,边界侧的安全产品很容易就被轻松绕过,仅靠边界侧防御+特征库比对的方式已然无法防御高级攻防。而在端侧,终端形态多样、应用场景多元,尤其是云化背景下,终端的攻击面更多,主机被入侵的不稳定性也变得更大。真正的高手,总是在不断地观察,不断地发现问题、定义问题,再解决问题。

无文件攻击,神出鬼没的进攻标配

       正所谓“道高一尺、魔高一丈”,面对传统的防病毒软件、防火墙、IPS等安全产品,无文件攻击另辟蹊径,根本不会复制PE(Portable Executable)文件到磁盘上,以此来绕过防病毒引擎的检测。在没有恶意文件的前提下,攻击者只需劫持其他合法的系统工具或是利用受信任的应用程序,就可以继续开展本地提权、信息收集、横向移动、利用系统脚本语言加密文件等攻击行动。这所有的一切都在合法的程序中进行,完美躲过了杀毒软件的侦查,甚至连重启电脑清除内存都无法规避。

0312 兵无常势.png

       对于杀软的完美躲避,加上进入目标后的操作多样化,让无文件攻击成为网络安全攻防中攻击者常用的利器之一。

       虽然无文件攻击具有隐藏性,但并非无迹可寻,无法防御。无文件攻击并不是指不通过任何文件。相反,它必须借助文件或漏洞才能完成攻击,如内嵌到office文档的宏代码、使用powershell加密文件、利用漏洞直接注入到内存执行等行为。

用行为检测解锁无文件攻击的多种姿势

       杰思打造的新一代主机安全响应系统——杰思猎鹰,并不把目标局限在恶意文件,而是着眼整个主机环境。虽然攻击的手段变了,方式变了,甚至攻击的小目标都变了,但是异常行为的本质不会变。从杰思猎鹰在多次攻防实战中的亮眼表现来看,行为检测可以有效阻止无文件攻击。

  • 某世界500强能源企业:Web漏洞利用-powershell

↓ 无文件攻击绕过防火墙和杀毒软件,利用web漏洞进入目标主机;

↓ 在目标主机向rundll32.exe注入恶意代码;

↓ 远程加载powershell;

↓ 反弹连接到C&C服务器。

       在重要攻防演练中,杰思猎鹰及时向防守方发出告警,提示某业务主机存在异常访问及端口扫描可疑行为。同时,通过监测系统命令,及时阻断系统cmd程序调用powershell的异常行为,并一键隔离风险主机,防止威胁在内网的进一步扩散。

  • 某大型互联网企业:钓鱼攻击-office漏洞利用

↓ 攻击者通过鱼叉式钓鱼攻击(SpearPhishing),将一段恶意代码嵌入word文档;

↓ 将该文档以附件方式发送给企业HR;

↓ HR打开邮件附件word文档;

↓ 利用office漏洞自动加载恶意vbs代码;

↓ 加密文档,实施勒索。

       整个攻击过程均无文件落地,难以被杀软检测。杰思猎鹰通过Office漏洞检测功能,对入侵过程中利用Office应用本身产生的异常活动进行监测分析,从而实现精准判断,使Office应用漏洞作为无文件攻击手段的攻击方式难以遁形。

  • 某新能源汽车企业:灰色工具注册表持久化

↓ 攻击者构造一个恶意CHM格式帮助文档附加到运维工具;

↓ 发布到第三方网站提供下载服务;

↓ 受害者下载文档,打开该软件的帮助文档;

↓ 触发恶意JScript代码,加载注册表实现持久化;

↓ 注入系统进程与C&C建立连接。

       杰思猎鹰通过恶意脚本检测功能联动系统注册表监测功能,快速定位触发恶意Jscript代码主机,并实现对恶意代码的实时阻断。同时通过下发响应脚本,清除恶意代码为保证持久化而建立的注册表信息,彻底解决恶意代码入侵建立持久化的检测和防护问题。

由于漏洞利用工具的存在,导致了攻击的高效性和易创建性,无文件攻击将会愈演愈烈。无论是恶意文档、恶意脚本,还是与本地程序交互,或是恶意代码注入,这些隐蔽的技术会给主机安全造成太多出其不意的影响。

兵来将挡,水来土掩。面对不同类型的无文件攻击,杰思猎鹰聚焦主机安全内部,从系统活动通过不同的安全策略,结合应用程序清单、漏洞利用阻断、攻击向量指标、托管狩猎等多元化的检测与响应,灵活应对无文件攻击。