自今年5月WannaCry 勒索软件在全球范围内爆发以来,陆续出现Equifax遭遇大规模数据泄露事件等等,网络安全形势相当紧迫,企业在投资新政策及安全产品方面压力倍增。
然而,即便增加安全预算,仍有众多企业担心现有技术不能跟上快速变化的威胁形势。企业尤其担心越来越多攻击会取得企业系统访问权,偷偷感染系统,而无需下载恶意程序或留下明显的踪迹,这就是所谓的“无文件攻击”。
“无文件攻击”也被称为“非恶意软件攻击”。这类攻击的行动底线在于利用受害者企业的受信任软件和系统工具躲避检测。此类攻击很快便成为IT和安全专家亟待解决的首要威胁。
企业高层应了解以下五大关键知识点:
1. “无文件”攻击主要利用传统端点
传统意义上讲,网络攻击涉及恶意软件,攻击者利用恶意软件访问受害者的电脑(通常会利用软件漏洞或诱骗受害者下载文件等),其后安装具有破坏性的可执行文件(Payload)实施攻击。
从攻击者的角度来看,这种方法的问题在于易被反病毒解决方案检测。若不安装恶意文件,攻击者可轻易绕过这些安全解决方案,攻击者只需劫持其它合法的系统工具和受信任的应用程序从事非法活动。
2. 有大量“无文件”技术可供攻击者使用
高层次的攻击可分为两大主要阶段:初始攻击阶段(获得目标系统的访问权)和漏洞利用后实施的攻击活动(攻击者进入系统后实施的活动)。
攻击者可在这两个阶段利用“无文件”技术完成目标,以此可躲避传统、甚至下一代机器学习反病毒软件。
为了取得初始访问权,攻击者会利用漏洞利用,例如,攻击者在Equifax数据泄露案例中利用未修复的Apache Struts漏洞执行恶意命令。常用的“无文件”技术是利用存在缺陷的应用程序,并将代码注入正常的系统进程,从而获得访问权,并在目标设备执行命令,而不会被察觉。一旦完成初始攻击,攻击者便可滥用强大的系统管理工具(例如PowerShell、PsExec和WMI)继续躲避检测。由于具有合法用例,攻击者便可隐藏在“光天化日之下”提权,在网络中横向活动,并修改注册表保持持久性。
3.“无文件”攻击要借助文件实施攻击
人们往往对“无文件”攻击存在误解,认为它不会涉及文件。然而事实并非如此,此类攻击通常会在初始攻击阶段利用文件,最大的不同之处在于这些文件并非恶意可执行文件,而是诸如Microsoft Office文档之类的文件。
传统端点安全面临的挑战是,这些文件本身并不具有恶意功能,因此安全扫描就如形同虚设,这样一来,这些文件便成了发起攻击的完美工具。
例如,攻击者开始可能会诱骗企业员工打开钓鱼电子邮件中的Word文档,而受害员工可能会无意激活其中的宏或脚本,而宏或脚本随后会启用PowerShell。此后,攻击者便会使用PowerShell直接执行内存中的恶意代码,从而使攻击走向“无文件”之路。
由于此类攻击的组件并不是恶意的,因此安全解决方案需具备能力观察攻击的行为链运作方式,并识别来自其它合法程序的攻击链何时发动攻击。
4. “无文件”攻击越来越多
事实上,“无文件攻击”技术已存在一段时间。例如, 21世纪初就出现了内存漏洞利用:Code Red和SQL Slammer蠕虫。然而,创建并广泛传播易于使用的攻击工具和漏洞利用工具使得“无文件”攻击更为普遍,尤其Metasploit和PowerSploit这类渗透测试框架易被滥用,因为它们提供现成的“无文件”漏洞利用可用来实施任何攻击。
因此,此类技术不止限于技术高超的黑客和国家型间谍组织,普通网络犯罪分子也逐渐利用大量“无文件”技术攻击企业。“SANS 2017威胁形势调查”显示,近三分之一的被调查企业报告遭遇过“无文件”攻击。
5. 如何阻止“无文件”攻击?
虽然“无文件”技术善于躲避检测,但仍有办法降低风险。
首先,企业应禁用不常用的管理工具。或至少限制权限和功能。由于众多“无文件”技术依赖PowerShell,企业应考虑禁用或限制它的功能。
同样,禁用Office宏能消除“无文件”攻击的最常用发起点。企业应及时修复操作系统和应用程序,修复不可行的情况下,企业应隔离这些系统防止潜在攻击扩散。
企业IT部门应识别端点上的恶意活动和行为,以此检测并阻止“无文件”攻击。目前已有新的端点解决方案可实时阻止“无文件”攻击,IT及安全高管应研究新端点解决方案,选择最适合的安全解决方案。
