對于殺軟的完美躲避,加上進入目標后的操作多樣化��,讓無文件攻擊成為網(wǎng)絡安全攻防中攻擊者常用的利器之一����。
雖然無文件攻擊具有隱藏性,但并非無跡可尋���,無法防御���。無文件攻擊并不是指不通過任何文件����。相反�����,它必須借助文件或漏洞才能完成攻擊����,如內(nèi)嵌到office文檔的宏代碼�����、使用powershell加密文件���、利用漏洞直接注入到內(nèi)存執(zhí)行等行為�����。
用行為檢測解鎖無文件攻擊的多種姿勢
杰思打造的新一代主機安全響應系統(tǒng)——杰思獵鷹���,并不把目標局限在惡意文件,而是著眼整個主機環(huán)境�。雖然攻擊的手段變了���,方式變了,甚至攻擊的小目標都變了��,但是異常行為的本質(zhì)不會變����。從杰思獵鷹在多次攻防實戰(zhàn)中的亮眼表現(xiàn)來看,行為檢測可以有效阻止無文件攻擊�。
- 某世界500強能源企業(yè):Web漏洞利用-powershell
↓ 無文件攻擊繞過防火墻和殺毒軟件,利用web漏洞進入目標主機�����;
↓ 在目標主機向rundll32.exe注入惡意代碼����;
↓ 遠程加載powershell;
↓ 反彈連接到C&C服務器�。
在重要攻防演練中,杰思獵鷹及時向防守方發(fā)出告警�,提示某業(yè)務主機存在異常訪問及端口掃描可疑行為。同時��,通過監(jiān)測系統(tǒng)命令����,及時阻斷系統(tǒng)cmd程序調(diào)用powershell的異常行為��,并一鍵隔離風險主機�,防止威脅在內(nèi)網(wǎng)的進一步擴散����。
- 某大型互聯(lián)網(wǎng)企業(yè):釣魚攻擊-office漏洞利用
↓ 攻擊者通過魚叉式釣魚攻擊(SpearPhishing)�����,將一段惡意代碼嵌入word文檔���;
↓ 將該文檔以附件方式發(fā)送給企業(yè)HR�;
↓ HR打開郵件附件word文檔����;
↓ 利用office漏洞自動加載惡意vbs代碼;
↓ 加密文檔�,實施勒索。
整個攻擊過程均無文件落地����,難以被殺軟檢測�����。杰思獵鷹通過Office漏洞檢測功能��,對入侵過程中利用Office應用本身產(chǎn)生的異?���;顒舆M行監(jiān)測分析�,從而實現(xiàn)精準判斷,使Office應用漏洞作為無文件攻擊手段的攻擊方式難以遁形��。
↓ 攻擊者構造一個惡意CHM格式幫助文檔附加到運維工具�;
↓ 發(fā)布到第三方網(wǎng)站提供下載服務;
↓ 受害者下載文檔�,打開該軟件的幫助文檔;
↓ 觸發(fā)惡意JScript代碼�,加載注冊表實現(xiàn)持久化;
↓ 注入系統(tǒng)進程與C&C建立連接����。
杰思獵鷹通過惡意腳本檢測功能聯(lián)動系統(tǒng)注冊表監(jiān)測功能,快速定位觸發(fā)惡意Jscript代碼主機�,并實現(xiàn)對惡意代碼的實時阻斷。同時通過下發(fā)響應腳本,清除惡意代碼為保證持久化而建立的注冊表信息��,徹底解決惡意代碼入侵建立持久化的檢測和防護問題�。
由于漏洞利用工具的存在,導致了攻擊的高效性和易創(chuàng)建性��,無文件攻擊將會愈演愈烈�����。無論是惡意文檔�����、惡意腳本����,還是與本地程序交互��,或是惡意代碼注入��,這些隱蔽的技術會給主機安全造成太多出其不意的影響���。
兵來將擋�,水來土掩。面對不同類型的無文件攻擊���,杰思獵鷹聚焦主機安全內(nèi)部�,從系統(tǒng)活動通過不同的安全策略���,結合應用程序清單��、漏洞利用阻斷����、攻擊向量指標���、托管狩獵等多元化的檢測與響應��,靈活應對無文件攻擊����。
