与传统恶意软件不同,依赖于写入磁盘的文件,Funless Malware仅供存储居民,理想情况下,在执行后留下没有跟踪。计算机的内存中存在恶意有效载荷,这意味着什么都没有直接写入硬盘驱动器。
对于攻击者来说,无文件恶意软件有两个主要优势:
- 没有传统的防病毒软件无法检测到文件。
- 对于取证来发现的硬盘上没有任何东西。
作为一个规则,如果恶意软件的作者不能避免被安全供应商发现,他们至少想要尽可能地拖延它。这使得无文件恶意软件在恶意软件和安全产品的军备竞赛中向前迈进了一步。
Funless Malware是新的吗?
无文件恶意软件攻击已经存在至少20年了。第一个被归类为无文件的恶意软件是红色代码蠕虫该病毒在2001年猖獗,攻击运行微软互联网信息服务(IIS)的计算机。
但在过去几年里,无文件攻击变得更加普遍。四年前,波耐蒙研究所(Ponemon Institute)的《端点安全风险报告》(the State of Endpoint Security Risk Report)报告称,2017年,77%的受损攻击是无文件攻击,而无文件攻击成功的可能性是无文件攻击的10倍。我们自己也注意到了这一趋势无文件攻击的概述在2018年。
无用的恶意软件如何交付?
在代码红色蠕虫的情况下,恶意软件已利用缓冲区溢出漏洞,允许它直接将其写入内存。现代赎金软件攻击有时依赖于执行在Pastebin或GitHub等公共网站上的代码的PowerShell命令。
无文件的恶意软件攻击也被发现隐藏他们的代码现有良性文件或者看不见的注册表键.有些人使用所谓的蜡貂框架中的一个恶意文档。有时,恶意代码确实存在于硬盘上,只是不在受影响计算机的硬盘上。例如,“USB小偷”驻留在受感染的USB设备上,并作为插件安装在流行的便携式软件中。它收集目标系统上的信息,并将其写入USB设备。
如何创建无文件恶意软件
我们尊敬的同事Vasilios Hioureas有写通过展示他自己的一些无用的恶意软件攻击来散步。他的写作也很好地展示了现代反恶意软件解决方案需要做些什么来保护他们的用户免受无用的恶意软件攻击。显示现代解决方案必须包含技术,以动态检测系统上的恶意活动,而不是简单地检测恶意文件。在处理无用的恶意软件时,基于旧的签名的检测是无用的。
无文件恶意软件能做什么?
本质上,无文件恶意软件可以做“普通”恶意软件可以做的任何事情,但出于实际原因,你会经常看到有数量有限的恶意,无文件代码。对于更复杂的程序,如勒索软件,无文件的恶意软件可能作为一个droppper,这意味着第一阶段下载并执行更大的程序,这是实际的负载。当然,在进行网络攻击时,无文件恶意软件可以使用内置在系统中的本地合法工具。
无文件恶意软件最常见的用例是:
- 首次访问.网络攻击的第一步是在一个系统上获得立足点。这可能是窃取凭证或利用访问点中的漏洞。
- 收获凭证.无文件恶意软件有时被用来寻找凭证,所以攻击者可以使用其他入口点或提升他们的特权,
- 持久性.为确保他们具有永久访问受损系统,攻击者可能会使用Funless Malware来创建后门。
- 数据exfiltration..攻击者可能使用无文件的恶意软件来寻找有用的信息,比如受害者的网络配置。
- 滴管和/或负载.一个dropper下载和启动其他恶意软件(有效载荷)在一个妥协的系统。负载可以是一个文件,也可以从远程服务器读取并直接加载到内存中。
无用的恶意软件检测
那么,我们怎样才能找到这些没有文件的生物呢?行为分析和集中管理是检测和阻止无文件恶意软件攻击的关键技术。然而,了解如何识别攻击并了解攻击表面的概况说起来容易做起来难。
您需要的是反恶意软件软件,使用行为分析,理想的是人工智能(AI)组件支持。对于大型攻击面,您需要类似于安全信息事件管理的内容(暹粒)系统将所有警报和检测系在一起。
简而言之,检测恶意软件不再是检测恶意文件的问题,但越来越多地检测恶意行为。
保持安全,大家好!
评论