安全預警 | 無檔案惡意軟體感染:不使用檔案如何讓電腦中毒?
正如其名,惡意軟體或病毒在感染的過程中不使用任何檔案。
要了解它的含義,我們先簡單過一下傳統防毒產品的工作原理:
1.感染之前,惡意檔案需要被載入到硬碟上;
2.接著防毒軟體開始對惡意檔案進行分析(也就是payload);
3.如果識別是惡意軟體,則防毒軟體會隔離/刪除惡意檔案,從而確保計算機的安全。
而無檔案感染並不能被上述過程囊括,因為系統就沒有接觸到檔案。你應該也能猜到:傳統的防毒產品無法識別此感染,繼而會產生一系列的破壞。接下來我們將細述無檔案感染可能造成的損害的型別。
為什麼網路罪犯使用無檔案惡意軟體?
網路罪犯足智多謀、富有創造力,這種無形的感染就是他們證明自己能力的途徑之一。
惡意黑客的攻擊目標是:
· 隱形——儘可能避免被安全產品發現的能力;
· 特權升級——利用漏洞獲取管理員許可權,隨心所欲執行任何操作的能力;
· 資訊收集——儘可能多的從受害者的電腦中收集有關受害者的資料(以便以後用於其他攻擊);
· 永續性——保持惡意軟體在系統中儘可能長時間不被檢測到的能力。
惡意軟體製造者在無檔案感染中所做的就是潛入後保持永續性,最終達到隱身的效果。想要隱藏惡意軟體的感染過程,觸發預期的行動是關鍵。比如有類“非典型”惡意軟體——利用exploit kit進入系統進行無檔案感染,就能輕易達成目標。
還有類無檔案惡意軟體,是在直接寫入RAM後,通過隱藏在傳統防毒軟體難以掃描檢測到的位置來獲得永續性。下面所列舉的永續性和遮蔽性感染可能是真正影響你電腦的頑疾所在:
1.記憶體駐留惡意軟體——這類準無檔案惡意軟體利用的是程序或可信的Windows檔案的記憶體空間,將惡意程式碼載入到記憶體空間後,一直保持在那直到被觸發。這類惡意軟體可能並不完全算是無檔案的惡意軟體型別,但我們也可以將其歸於此類。
2.Rootkit——這類惡意軟體會用使用者身份掩飾自身的存在,進而獲得管理員訪問許可權。Rootkit通常駐留在核心中,機器重啟和常規的病毒掃描對其不起作用。它的隱形能力可以用不可思議來形容,想要移除它幾乎是不可能的。當然這類也不能算是百分百的無檔案感染,但把它放在這也無妨。
3.Windows登錄檔惡意軟體——這是一種較新型別的無檔案惡意軟體,它能夠駐留在Windows的登錄檔中。Windows登錄檔是一個儲存作業系統和某些應用程式的低階設定的資料庫,對普通使用者而言這是個難以導航的地方,但惡意軟體作者甚至可以利用作業系統的縮略快取來獲得永續性。此型別的無檔案惡意軟體在登錄檔中的檔案中執行程式碼,一旦任務執行完檔案就會被自動銷燬。
2014年8月,當Poweliks木馬首次亮相時,也帶來了無檔案感染。它最初的設計目標用於執行欺詐點選,但後來發展出更多的可能性,比如:
· 創造新的惡意軟體,無需觸發傳統的檢測機制就能感染系統;
· 通過傳播新的惡意軟體,從成功的無檔案惡意軟體感染中獲利;
· 通過能夠竊取資訊的一次性惡意軟體收集有關受感染的電腦的資訊,然後再用其他惡意軟體感染電腦;
· 利用漏洞,將payload移動到Windows登錄檔以實現永續性;
· 採用先進、靈活甚至模組化的exploit kits,更快的發現和操作漏洞;
· 利用大量的0day漏洞危害更多計算機;
· 通過讓機器感染勒索軟體來快速輕鬆的賺錢。
但無檔案惡意軟體也並非完美無缺,它是在電腦的RAM記憶體中執行的,所以只能在電腦開著的時候工作,這意味著攻擊者只有很小的機會執行攻擊並滲透到您的作業系統。但隨著電腦的人均使用時長的增長,將會為感染創造更多的契機。
無檔案感染的工作機制
讓我們模擬個無檔案感染計算機的真實場景:
· 你正在使用安裝了Flash外掛的Chrome瀏覽器(也可以是支援此外掛或Javascript指令碼的其他瀏覽器)。
· 你沒有及時對老舊版本的Flash外掛進行更新。
· 偶然間你訪問了一個託管Angler exploit kit的網站。
· exploit kit開始掃描漏洞,在Flash外掛中找到漏洞後會立刻在Chrome程序的記憶體中執行payload。
· 如果payload是勒索軟體,它會連線到攻擊者的C&C伺服器並獲取加密金鑰。
· 最後一步就是加密PC上的資料,要求你支付大量贖金。
從上面的步驟中你應該也能看出,執行惡意操作的payload將直接注入程序並在RAM記憶體中執行。
攻擊者不會將惡意軟體程式安裝在磁碟驅動器上,因為傳統防毒軟體通過簽名掃描就能檢測到。
如果payload在磁碟上或記憶體中執行(這種情況比較少發生),傳統防毒軟體也能檢測得到。
Poweliks是第一個被發現的無檔案惡意軟體,讓我們來看看它是如何用勒索軟體感染電腦並進行點選欺詐的:
Poweliks附帶了一個預設的關鍵字列表,用於生成廣告請求。該軟體會假裝受害者身份去合法的搜尋這些關鍵字,然後聯絡廣告聯盟平臺,接著Poweliks會迴應由廣告聯盟平臺發回的URL,開啟付費下載。同時,由於廣告所展示的網頁本身就可能是有風險的,將會為其他惡意軟體的入侵創造一個良好的契機。比如Poweliks就有可能導致計算機上被安裝Trojan.Cryptowall。
在另外一些情況下,點選欺詐常常與惡意廣告捆綁在一起:
雖然廣告不會向受害者展示,但廣告的下載和處理會消耗處理和網路頻寬,並可能使受害者面臨二次感染,最終可能導致受害者完全失去對計算機的掌控權。
EXPLOIT KITS——無檔案感染的必要工具
在任何成功的無檔案惡意軟體感染中,Exploit kits都起著重要作用。Exploit kits是一種軟體程式,旨在發現應用程式中的漏洞、弱點或錯誤,利用它可以進入你的計算機或一些其他系統之中。
上文中我們已經提到過Angler Exploit kits。它是種比較特殊的漏洞利用工具包,可以支援這些無檔案感染,它的優點在於非常靈活而且檢測率也很低。這意味著它可以方便各種惡意軟體的入侵,從銀行特洛伊木馬到勒索軟體,而不會被傳統的防毒軟體所發現。
推動無檔案惡意軟體感染數量增加的兩個核心因素:
· Exploit kits正越來越被廣泛使用;
· 惡意軟體製造商每天產生多達230,000個新惡意軟體的樣本,為攻擊者提供了無數的攻擊媒介。
雖然Angler並不是網路犯罪分子使用的唯一的Exploit kit,但它絕對是最受歡迎的一種。
網路犯罪分子正在迅速發展,他們的大多目標都是為了在短時間內儘可能賺更多的錢。
這就是為什麼當可用於商業的Exploit kits開始包括無檔案感染技術時,會讓網路安全專家感到意外了。他們很難相信網路犯罪分子為了讓其攻擊行為儘可能不被發現,會選擇放棄永續性。為了竊取大量資料或清空銀行賬戶,他們需要時間去繞過使用者的防禦,儘可能多地收集和過濾資料。
如何保護您的計算機免受無檔案感染?
當無檔案感染剛出現時,由於其大量佔據著計算機的RAM、使之執行緩慢而容易被發現。但此後,網路犯罪分子又迅速加強了他們的策略和程式碼,使無檔案感染不那麼容易被檢測到。
保護自己免受無檔案惡意軟體感染的最佳方法是在它們發生之前阻止它們。
那我們該怎麼做呢?
Level 1:保持應用程式和作業系統應用安全更新
大多數使用者會由於某些先入為主的觀念而無視軟體更新,比如:“它將佔用我計算機的更多記憶體。”或是“這可能會使我的電腦執行速度變慢。”,甚至“這可能會導致我的作業系統或其他應用程式出現相容性問題。”。
但我們不再是90年代了。安全更新對您的安全至關重要!
始終保持您的應用和作業系統更新可以排除多達85%的目標攻擊(針對您PC上特定漏洞的網路攻擊)。
如果您不喜歡實時更新的騷擾,也可以選擇讓其自動更新。
Level 2:阻止攜帶Exploit kits的頁面
當你點進一個帶有Exploit kits的受感染網頁時,感染可能就已經開始了。但如果你使用的主動安全產品,那麼它會訪問之前立即阻止訪問,Exploit kits將永遠也無法訪問您計算機上的應用程式(在本例中為瀏覽器)。
Level 3:阻止payload傳遞
一旦Exploit kits發現系統中存在漏洞,它將連線到C&C伺服器下載payload並放入RAM記憶體中。
但是,如果計算機受到充分保護、安全元件知道Exploit kits正在嘗試連線到惡意伺服器,它將停止payload下載。
在無檔案感染髮生之前就將其阻止,甚至勒索軟體也無法通過。
Level 4:阻止你的電腦和攻擊者的伺服器之間的通訊
假設軟體中存在一個製造商自己都不知道的漏洞,payload通過0Day漏洞最終出現在系統上。
主動安全產品的下一層保護措施是阻止您的計算機與網路罪犯控制的伺服器之間的通訊。得益於此,攻擊者將無法檢索從你電腦裡收集的資料,並且網路罪犯也無法使用其他惡意軟體感染您的系統。
計算機對我們的生活至關重要,網路安全也是如此。隨著越來越多的資料用於線上儲存和管理,那些掌握安全知識的人將在保持裝置和資料安全性方面佔據上風。
本文內容由 曲速未來 (WarpFuture.com) 安全諮詢公司整理編譯,轉載請註明。
(作者:曲速未來安全區,內容來自鏈得得內容開放平臺“得得號”;本文僅代表作者觀點,不代表鏈得得官方立場)