|
【PConline 杂谈】相信大多数人第一次看到‘无文件恶意软件’时都会心生疑问,真的没有文件?没有文件又如何实施攻击?其实,有时候无文件恶意软件还是会使用文件的,但绝大多数时间里,它们会通过进驻内存来保持隐身,也正是这种隐蔽性非常高的攻击手法,使得无文件恶意软件逐渐流行起来。有了它,黑客可以悄无声息的攻击ATM取款机等各种终端以及操作系统。
经过观察分析我们发现,无文件恶意软件通过进驻内存来保持自己隐身,以减少被检测到的机会,保持不被发现的时间越长,就越有可能实现自己的目标。在无文件恶意软件攻击中,系统变得相对干净因而没有很多恶意文件可被检测出来去通知安全管理员。正因如此,无文件恶意软件变得很难防御更不易被分析。 什么是无文件恶意软件? 究竟什么是无文件恶意软件,有一点需要明确,就是无文件恶意软件有时候也会使用文件。最初,无文件恶意软件的确指的是那些不使用本地持久化技术、完全驻留在内存中的恶意代码,但后期这个概念的范围逐渐扩大,现在,将那些依赖文件系统的某些功能以实现恶意代码激活和驻留的恶意软件也包括进来,传统的防毒产品无法识别这种感染。
攻击者为什么使用无文件恶意软件? 首先我们要明白黑客攻击的目标是什么:首先是隐形,尽可能避免被安全产品检测到的能力;再者,就是利用漏洞进行特权升级,使自己能够以管理员的身份访问系统,做任何他们想要的;还有就是信息收集,尽可能收集有关受害者和受害者计算机的数据,用于后续其他攻击;最后,就是持久性,即在系统中保持恶意软件的能力,延长被发现的时间。
要知道,不是每种终端解决方案都直接检查内存,写磁盘的操作会触动防御布网,而让恶意软件仅进入内存则可避免该风险,因此内存是一个理想的藏身之所。此外,PowerShell等工具已经存在于系统中,这为攻击者留下了多个好处,能依靠局域网为生,减少因在受害者主机上部署恶意软件而产生的动静。 无文件恶意软件是如何工作的? 那么,无文件恶意软件如何实现隐身的?早前,McAfee还还归属Intel时曾发表过一份威胁报告,介绍了无文件恶意软件如何删除它在受感染系统磁盘中保存的所有文件,在注册表中保存加密数据,注入代码到正在运行的进程,并使用PowerShell、Windows Management Instrumentation和其他技术使其难以被检测以及分析。 注册表中保存数据的方式让恶意软件可在启动时运行而不被用户查看或访问,此时攻击者便有更多的时间利用其恶意软件继续执行攻击。实际上,恶意软件也可能会被检测到,但在分析前大多数反恶意软件产品都很难发现和移除无文件恶意软件。
例如Kovter恶意软件,其通过电子邮件或恶意软件网站进行分发,在本地计算机执行最初的恶意软件攻击后,Kovter会编写JavaScript到注册表,调用同样存储在该注册表中加密的PowerShell脚本,由于它并不会保存文件,且利用Powershell进行隐藏很难被检测到。
|
