網路資訊

如何有效應對無文件攻擊?

如何有效應對無文件攻擊?

2019-05-31 14:53    原創  作者: 高博 編輯:
0購買

近年來,一種被稱為無文件攻擊的滲透形式與日俱增,逐漸引起人們重視。這類攻擊從2016年初的3%上升到了2018年11月的13%, 並且還在持續增長,知名安全公司Carbon Black對超過1000名用戶(擁有超過250萬個包括服務器和PC在內的主機)進行分析后發現,幾乎每個組織都遭到了無文件攻擊。平均每3個感染中就有1個是無文件攻擊造成的。早在2017年4月,黑客通過新型惡意軟件 “ATMitch”,以“無文件攻擊”方式,一夜劫持俄羅斯8台ATM機,竊走80萬美元。在今年年初,全球40個國家的140多家包括銀行、電信和政府機構等組織遭到 “ATMitch”無文件攻擊,感染機構遍布美國、法國、厄瓜多爾、肯尼亞、英國和俄羅斯等國家。在全球經濟和網絡一體化的時代,中國用戶同樣不能倖免。據悉,國內54%的公司經歷過1次或多次破壞了數據或基礎設施的成功攻擊,其中77%的攻擊利用了漏洞或無文件攻擊。

 無文件攻擊並非沒有文件

以無文件攻擊中最常見的一類(無文件挖礦攻擊)舉例:如果用戶在點開文檔之後,電腦瞬間被卡,反應速度緩慢,不能工作。關機重啟之後,電腦卻照樣沒反應,散熱風扇山響,CPU資源佔用了100%……殺毒軟件查不到任何異常……一旦出現以上情況,用戶電腦十有八九是遭到無文件挖礦攻擊。

無文件挖礦攻擊並非沒有文件基礎,只是因為在此類攻擊中,系統變得相對乾淨,傳統的防毒產品識別不出,更談不上及時通知技術人員進行防禦了,這就造成了這種攻擊好像沒有文件基礎的假象。這種無文件惡意攻擊主要是靠網絡的方法,在內存里存上一串惡意代碼,沒有落地文件,這樣一來,殺毒軟件就很難發現其蹤跡了。

  對付無文件攻擊,傳統安全手段失靈

任何惡意代碼,只要重啟電腦,內存就清除。可是重啟對無文件攻擊沒有作用。無文件攻擊通常採用powershell.exe,cscript.exe,cmd.exe和mshta.exe運行遠程腳本,該腳本不落地到本機內,同時將該任務設置為計劃任務或者開機啟動,重啟無效。這些程序都是系統的合法程序,殺毒軟件自然無可奈何。無文件攻擊在成功潛入內存並安定下來后,便可以為所欲為,或進行挖礦、加密文件進行勒索、連接遠程C&C下載更多病毒文件等。一切操作都是披着合法外衣悄悄進行,不僅獲得了權限,是合法的,而且也不大,所以幾乎不會被殺毒軟件發現。

  無文件攻擊的傳播迅猛

無文件攻擊的傳播極快。以今年4月,傑思安全的某重要用戶網內大面積爆發無文件挖礦攻擊為例。這次攻擊的所有模塊功能均加載到內存中執行,沒有本地落地文件,攻擊內置兩種橫向傳染機制,分別為Mimikatz+WMIExec自動化爆破和MS17-010“永恆之藍”漏洞攻擊,堪稱火力全開,極易在內網迅猛擴散。從下圖,我們可以感受無文件無文件攻擊是有多麼兇猛。

攻擊順序如下:

1.首先,挖礦模塊啟動,持續進行挖礦。

2.其次,Minikatz模塊對目的主機進行SMB爆破,獲取NTLMv2數據。

3.然後,WMIExec使用NTLMv2繞過哈希認證,進行遠程執行操作,攻擊成功則執行shellcode使病原體再複製一份到目的主機並使之運行起來,流程結束。

對付無文件攻擊,主機防護是關鍵

截止4月25日,傑思獵鷹主機安全響應系統在該用戶已部署安全探針的1426台主機上,共阻止端口掃描行為24813次,發現端口掃描攻擊源IP共36個;共阻止暴力破解行為2021585次,發現暴力破解源IP共28個。有圖為證:

  (為了保護用戶安全,打碼處理)

  不得不說,該用戶的內網主機經歷了一場有驚無險的圍攻,最終化險為夷,安然無恙。該用戶的員工在使用中並沒有太多異樣感覺,殊不知他們在正常工作的時候,傑思獵鷹主機安全響應系統一直在默默地保駕護航。

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

如何有效應對無文件攻擊?