Защита от бесфайловой атак полностью защищает компьютерную безопасность

11 Авг. 2020 г.kate
Подробнее о 360 Total Security
  1. Что такое бесфайловая атака?

В отличие от традиционной атаки на исполняемый файл PE на локальном диске, бесфайловая атака относится к злонамеренной атаке, при которой исполняемый файл как вредоносная полезная нагрузка запускается непосредственно в памяти, не сохраняясь на диске.

Таким образом, автор вируса избегает прямого попадания вредоносных полезных нагрузок, таких как файлы PE, на машину жертвы, оставляя как можно меньше следов поведения на машине жертвы, что позволяет избежать обнаружения и уничтожения некоторых традиционных программ безопасности. Эти бесфайловые атаки применяются к вредоносному программному обеспечению, такому как программы-вымогатели, вирусы для майнинга, троянские программы для удаленного управления, бот-сети и т. Д., А также эти атаки пользуются популярностью у все большего числа APT-организаций. В связи с непрерывным ростом сетевых атак и защиты угроза технологии атак без файлов в последние несколько лет возрастает.  Согласно данным CrowdStrike «Отчет о глобальных угрозах за 2020 год», в 2019 году хакеры использовали современные методы для проведения бесфайловых атак по всему миру,  что превышает традиционные атаки вредоносного ПО.

Однако пользователям не нужно беспокоиться. бесфайловая атака не может обойти расширенное обнаружение 360 Total Security, основанное на поведенческом мониторинге и других технологиях. Благодаря постоянному вниманию и анализу новейших методов вредоносных атак, пристальному вниманию к информации о деятельности троянских организаций и большому количеству аналитических данных об угрозах, 360 Total Security предлагает полное решение для защиты от бесфайловой атаки.

2.Обычные методы бесфайловой атаки

  1. 1 Бесфайловые атаки на основе вредоносных скриптов

По умолчанию на платформе Windows доступны языки сценариев JavaScript, VBScript и PowerShell, а соответствующими собственными приложениями являются: mshta.exe, cscript.exe и powershell.exe. Для злоумышленников преимущество сценариев состоит в том, что они представляют собой текстовые файлы (а не двоичные исполняемые файлы) и выполняются в контексте интерпретатора, который является доверенным компонентом.

  • JAVASCRIPT

В 2019 году APT-организация SideWinder начала атаку на Китай. Организация APT использовала память JavaScript для выполнения вредоносных файлов DLL, скомпилированных с помощью .NET. Злоумышленник сначала использует уязвимость удаленного выполнения кода Office (cve-2017-11882) для расшифровки и выполнения сценария JavaScript, а затем выполняет загрузку троянца через память сценария JavaScript. Основная цепочка атак показана на следующем рисунке:

  • VBSCRIPT И POWERSHELL

njRAT, также известный как Bladabindi или Njw0rm, представляет собой троян удаленного доступа (RAT, троян удаленного доступа), который может управлять зараженной системой и предоставлять ряд функций удаленного управления для удаленных злоумышленников. С обновлением наступательной и оборонительной технологий дистанционное управление njRAT также начало присоединяться к технологии безфайловых атак. В событии атаки, зафиксированном Центр безопасности 360, где njRAT был распространен сайтом загрузки, злоумышленник использовал VBScript и сценарий PowerShell для проведения безфайловой атаки. Основная цепочка атак показана на следующем рисунке:

редоносный сценарий с именем system32.vbs будет вызывать powershell для доступа к вредоносным файлам, размещенным на Microsooft Onedrive, и копировать себя в каталог запуска для достижения локальной устойчивости:

Параметры PowerShell после расшифровки Base64 как следующие,  функция — загрузить и запустить обфусцированный njRat:

1.2 Бесфайловые атаки на основе вредоносных документов

В бесфайловых атаках, основанных на вредоносных документах, злоумышленники часто доставляют вредоносные текстовые документы в виде вложений электронной почты и используют социальную инженерию, чтобы побудить целевых пользователей выполнить шелл-код или макрос-скрипт в документе.

Во-первых, разнообразие функций офисного документа Microsoft не только обеспечивает удобство для пользователей, но и предоставляет злоумышленникам больше возможностей для использования уязвимостей. Злоумышленники обычно используют уязвимости для выполнения встроенных вредоносных команд шелл-кода и используют шелл-код как трамплин для дальнейших атак. Например, упомянутая выше организация SideWinder APT использует уязвимость удаленного выполнения кода Office (CVE-2017-11882).

Во-вторых, макросы VBA, поддерживаемые офисными документами Microsoft, также предоставляют возможность злоумышленникам. Злоумышленники будут использовать традиционное программное обеспечение для обеспечения безопасности, чтобы определить вредоносные уязвимости макросов и выполнять такие действия, как загрузка вредоносного кода с помощью офисных макросов.

Наконец, использование дефектов загрузки дополнительных шаблонов для документов Word в Microsoft Office для запуска атак путем внедрения вредоносных шаблонов запросов также является распространенной бесфайловой атакой, основанной на вредоносных документах.

  • Макрос MICROSOFT OFFICE

Банковский троянец Урсниф использовал бесфайловые атаки на основе офисных макросов. Ursnif — это активный банковский троянец, также известный как банковский троян Gozi. Это вариант банковского трояна Gozi-ISFB. С тех пор, как в 2014 году произошла утечка исходного кода троянца, злоумышленники начали обновлять функции Ursnif. При атаке банковского троянца Ursnif на Италию в начале 2019 года использовалась бесфайловая атака на основе офисных макросов. Основная цепочка атак показана на следующем рисунке:

Файл Excel с вредоносным макросом при открытии будет отображать «ошибку», чтобы побудить пользователя включить макрос. После того, как пользователь выберет включение макроса, макрос-инструкция будет дополнительно расшифрована для выполнения сценария PowerShell, загрузки и выполнения exe-файла, exe-файл. Его роль заключается в загрузчике окончательной загрузки.

Скриншот макроса выглядит следующим образом:

Расшифрованная команда powershell выглядит следующим образом:

② Внедрение шаблона WORD

В начале 2020 года APT-организация Гамаредон использовала метод внедрения словарного шаблона для реализации атак на европейские страны и другие страны. Гамаредон — это APT-организация, которая впервые появилась в 2013 году в основном для кибершпионажа против Украины. В 2017 году организация подверглась нападениям на Украину и впервые была названа группой Гамаредон.

В начале 2020 года Гамаредон провел атаку, основанную на внедрении словесного шаблона в электронные письма, связанные с Covid-19. Атака доставляет файл текстового документа в виде вложения электронной почты. При открытии документа злоумышленник использует внедрение шаблона для загрузки из Интернета шаблона документа, содержащего вредоносный код макроса. Макрос дополнительно запросит полезную нагрузку с C&C сервера. Кстати, с точки зрения функции сценария vbs, эта атака организации Гамаредон в конечном итоге приведет к приземлению полезной нагрузки, но это не мешает нам изучить, что как технология внедрения шаблонов слов позволяет на бесфайловые атаки. Основная цепочка атаки Гамаредона показана ниже:

 

Код для загрузки шаблонов документов с вредоносными макросами:

Вредоносный макрос в шаблоне документа:

Сценарий VBS отвечает за запрос и выполнение финальной загрузки с сервера:

1.3 LOLBins

Термин «жизнь за пределами земли» (LOL) был впервые предложен Кристофером Кэмпбеллом и Мэттом Грэбером на хакерской конференции DerbyCon в 2013 году, что используется для обобщения использования надежных предустановленных системных инструментов для распространения вредоносных программ. Наконец, Филип Го далее предложил концепцию LOLBins («Жизнь за пределами страны»), которая используется для представления двоичных файлов Windows, используемых в этой технологии, таких как regsvr32.exe, rundll32.exe, certutil.exe, schtasks.exe, wmic. К этой категории относятся системные инструменты, такие как .exe.

Троян Astaroth — это своего рода троян, ворующий информацию. Он крадет различную конфиденциальную информацию и отправляет ее обратно на командный сервер троянца. Новый вариант троянца Astaroth, раскрытый в 2019 году, цепочка его атак включает злоупотребление LOLBins.

Сначала троянец отправляет фишинговое письмо, содержащее вредоносную ссылку. Если пользователь щелкнет ссылку в электронном письме, он загрузит ZIP-файл с файлом LNK. При щелчке файла LNK с индуктивным именем файл LNK запускает сценарий bat, а сценарий bat вызывает wmic.exe для загрузки файла XLS с обфусцированным сценарием JavaScript. Сценарий JavaScript будет использовать Bitsadmin.exe для загрузки маскировки. После передачи полезной нагрузки он использует Certutil.exe для ее расшифровки и использует Regsvr32 в сочетании с технологией внедрения процесса для запуска реальной полезной нагрузки. Основная цепочка атак показана ниже:

  1. 360 TOTAL SECURITY комплексно защищает от бесфайловых атак.

360 Total Security предоставляет решения для защиты от бесфайловых атак, защищая персональные компьютеры с помощью открытых, проактивных и интеллектуальных методов. Новый 360 Total Security объединяет такие технологии, как мониторинг поведения, усовершенствование терминала и облачные сервисы на основе больших данных, которые могут эффективно защищать от различных бесфайловых атак. Улучшение конечных точек: расширенное решение 360 Total Security для обеспечения безопасности конечных точек обеспечивает базовые меры защиты для персональных терминалов, такие как устранение уязвимостей, сканирование памяти, сканирование критических областей системы, межсетевой экран и фильтрация адресов URL. Мониторинг поведения: механизм мониторинга поведения 360 Total Security основан на технологии обнаружения поведения, которая отслеживает различные процессы и системные события в процессе работы и может эффективно обнаруживать и блокировать угрозы бесфайловых атак на этапе выполнения. Облачный сервис на основе больших данных: 360 Total Security использует технологию облачных сервисов на основе больших данных для обеспечения точной, интеллектуальной защиты в реальном времени, может быстро выявлять новые угрозы, улучшать стандартную защиту в реальном времени и обеспечивать наилучшую защиту.

 

Подробнее о 360 Total Security