前言
目前,针对企业环境的无文件型恶意软件威胁正在不断增加。无文件型恶意软件通过代码在目标Windows设备上实现感染,无需依赖传统的文件系统组件,如PowerShell、WMI、VB、注册表键和.NET框架等。这种攻击方式通常称为Process Hollowing,恶意软件利用特定进程作为其代码的存储和传播载体。近期,FireEye的研究人员发现攻击者将PowerShell、VB脚本和.NET应用整合进一个代码包中。
利用PowerShell进行攻击已成为常见手段,其强大之处在于恶意代码可以在PC内存中直接执行。此外,PowerShell还可用于远程访问攻击或绕过应用白名单保护。
面对这种日益严重的安全威胁,安全团队该如何保护组织免受无文件型恶意软件的攻击呢?
为了抵御无文件型恶意软件攻击,首先要确保组织内所有计算机都安装了最新的补丁程序。许多攻击者利用旧版本系统中的未修复或延迟修复的漏洞进行攻击,如“永恒之蓝”漏洞就是一个典型例子(该漏洞的补丁发布在漏洞利用程序之前)。
其次,需要制定一个强有力的安全意识培训计划。这不仅仅是定期进行安全演练或偶尔发送钓鱼测试邮件,而是要建立一套安全操作流程,让员工充分意识到电子邮件附件的风险,避免无意中点击陌生链接。因为许多无文件型恶意软件攻击都是通过简单的网络钓鱼邮件发起的,安全培训和操作流程至关重要。
第三,安全团队需要熟悉Windows内置代码的操作行为,以便在第一时间发现异常。例如,在/TEMP目录中发现隐藏的PowerShell脚本时,需要提高警惕。
更新访问权限和特权账号组织应了解无文件型恶意软件的攻击机制,即使点击了恶意附件,电脑也不会立即感染恶意软件。许多恶意软件会在目标系统所在的网络环境中进行横向渗透,寻找更有价值的攻击目标,如域控制器或Web服务器等。为了防止这种情况,组织应对内部网络系统和相应的访问权限进行细致划分,特别是针对第三方应用程序和用户。
当恶意软件成功渗透目标组织的网络系统后,攻击者可利用PowerShell进行提权。例如,通过发送反向DNS请求,枚举出网络共享的访问控制列表,并查找特定域组的成员。
因此,安全团队应遵循“最少权限”原则,及时检查过期账户的访问权限,并根据需要限制某些账号的特权。此外,组织还应禁用不必要的Windows程序,因为并不是每个员工都需要在其计算机上运行PowerShell或.NET框架。还可以移除如SMBv1这样的遗留协议,这也是WannaCry攻击的主要原因。
最后,为了防止攻击者利用MS Office恶意宏进行攻击,应尽可能禁用宏功能,尽管这不是一个通用解决方案,因为许多用户仍需宏功能完成工作。
抗争到底!尽管无文件攻击日益猖獗,微软并未停滞不前。他们开发了名为“反恶意软件扫描接口”的开放接口,许多供应商已开始使用它来检测无文件型恶意软件攻击,特别是在分析脚本行为时,该接口的作用尤为突出。
此外,任何想要深入了解无文件型攻击的研究人员都应关注开源项目-AltFS。这是一个完整的无文件型虚拟文件系统,用于演示无文件技术的工作机制,且可在Windows或macOS平台上直接搭建使用。
正如大家所见,对抗无文件攻击需要我们扎实做好许多细节工作,并在各种工具与技术之间进行仔细协调。随着越来越多不可预测的恶意软件威胁出现,各大组织应采取措施加强自身的安全防御。
*参考来源:securityintelligence,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
