抵禦無檔案型惡意軟體攻擊的那些事兒
前言
目前,針對企業環境的無檔案型惡意軟體威脅正在日趨增長。無檔案型惡意軟體所使用的程式碼不需要駐留在目標Windows裝置上,而普通的Windows安裝程式涉及到很多的東西:PowerShell、WMI、VB、登錄檔鍵和.NET框架等等,但對於無檔案型惡意軟體來說,它們在實現目標主機感染時,並不需要通過檔案來呼叫上述元件。
這個過程通常被稱之為Process Hollowing,在這種機制下,惡意軟體可以使用一個特定程序來作為惡意程式碼的儲存容器以及分發機制。近期, FireEye 的研究人員就發現有攻擊者將PowerShell、VB指令碼和.NET應用整合進了一個程式碼包中。
利用PowerShell來實現攻擊已經很常見了,而且大家應該也清楚 基於PowerShell的漏洞攻擊 殺傷力有多麼強大,因為惡意程式碼可以直接在PC記憶體中執行。此外,PowerShell還可以用於遠端訪問攻擊或繞過應用白名單保護等等。
鑑於這類日趨嚴重的安全威脅,安全團隊可以做些什麼來保護他們的組織抵禦無檔案型惡意軟體呢?
確保公司內部環境的安全
為了抵禦無檔案型惡意軟體的攻擊,首先我們要確保組織網路系統內的計算機安裝了最新的補丁程式。很多攻擊者會利用舊版本系統中未修復或延遲修復的漏洞,而“永恆之藍”漏洞就是一個很好的例子(該漏洞的補丁要先於漏洞利用程式的釋出)。
接下來,我們要設計一個強有力的安全意識培訓方案。這並不意味著你要定期進行安全練習,或偶爾向員工傳送釣魚測試郵件。這裡需要我們制定一套安全操作流程,並且讓員工有效地意識到電子郵件附件的危險性,防止員工無意識地點選陌生連結。因為很多無檔案型惡意軟體攻擊都是通過一封簡單的網路釣魚郵件開始的,因此這樣的安全培訓或操作方案是非常重要的。
第三,安全團隊需要了解Windows內建程式碼的操作行為,這樣我們就可以在第一時間發現異常情況。比如說,如果你在/TEMP目錄中發現了隱藏的PowerShell指令碼,那你就需要小心了。
更新訪問許可權和特權賬號
組織應該瞭解無檔案型惡意軟體的攻擊機制,因為就算你點選了一封郵件中的惡意附件,也並不意味著你的電腦就會立即感染惡意軟體。因為很多惡意軟體會在目標系統所處的網路環境中進行橫向滲透,並尋找更加有價值的攻擊目標,比如說域控制器或Web伺服器等等。為了防止這種情況的發生,我們應該對組織內的網路系統以及相應訪問許可權進行仔細劃分,尤其是針對第三方應用程式和使用者進行劃分。
當惡意軟體成功滲透目標組織的網路系統後,隨著惡意軟體的橫向滲透,攻擊者可以利用PowerShell來實現提權。比如說,攻擊者可以傳送反向DNS請求,枚舉出網路共享的訪問控制列表,並查找出特定域組的成員。
因此,安全團隊應當遵循“最少許可權”的原則,及時檢查已過期賬戶的訪問許可權,並根據需要限制某些賬號的特權。除此之外,組織還要禁用那些不需要的Windows程式,因為並不是每個員工都需要在自己的計算機上執行PowerShell或.NET框架的。當然了,你也可以移除像SMBv1這樣的遺留協議,而這類協議也是WannaCry能夠為非作歹的主要原因。
最後,為了確保不被攻擊者利用MS Office惡意巨集來實現攻擊,我們也應該儘可能地禁用巨集功能,不過這並不是一種通用解決方案,因為很多使用者仍然需要巨集功能來完成他們的工作。
抗爭到底!
雖然無檔案攻擊日益猖獗,但微軟方面並沒有停滯不前。實際上,他們已經開發出了一個名為“反惡意軟體掃描介面”的開放介面,而且很多供應商已經開始使用它來檢測無檔案型惡意軟體攻擊了,尤其是在分析指令碼行為時,這個介面的作用就體現得更加明顯了。
此外,任何想要深入瞭解無檔案型攻擊的研究人員都應該去看一看開源專案-AltFS。這是一個完整的無檔案型虛擬檔案系統,可以用來演示無檔案技術的工作機制,而且該專案可以直接在Windows或macOS平臺上搭建使用。
正如大家所看到的那樣,對抗無檔案攻擊需要我們紮紮實實地做好很多細節工作,並在各種工具與技術之間進行仔細協調。隨著越來越多不可預見的惡意軟體威脅出現,各大組織更應該採取措施來加強自身的安全防禦。
* 參考來源: securityintelligence ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM