首页 > 信息安全 > 正文

深入了解离地攻击策略

2019-03-06 10:56:46  来源:MottoIN

摘要:无文件攻击通常包括对 Microsoft Windows 众多内建工具的滥用。这些工具使得攻击者轻松地从一个阶段“跳转”到另一个阶段,无需执行任何编译的二进制可执行文件,这种攻击方式被称为“离地攻击”。
关键词: 网络安全
  前言
 
  无文件攻击通常包括对 Microsoft Windows 众多内建工具的滥用。这些工具使得攻击者轻松地从一个阶段“跳转”到另一个阶段,无需执行任何编译的二进制可执行文件,这种攻击方式被称为“离地攻击”。
 
  什么是离地攻击?
 
  “离地攻击”是网络犯罪分子用来进行网络攻击的策略之一,一旦攻击者的恶意代码能与本地程序进行交互,那么攻击者就有可能利用系统的原生工具进行下一步攻击,包括下载附带的其他恶意代码,启动程序,执行脚本,窃取数据,横向扩展,维持访问等等。
 
  攻击者为达到这些目的而调用的工具包括 regsvr32.exe、rundll32.exe、certutil.exe和schtasks.exe。Windows 管理规范(WMI),是 Windows 系统内建工具,为攻击者提供了“平地起飞”的绝好机会。WMI 借助运行 wmic.exe 程序和执行脚本(如,PowerShell ),使得攻击者可以操作设备的绝大部分配置。
 
  这些工具都是系统自带的、受信任的,所以反恶意软件技术也难以侦测和限制。
 
  “离地攻击”策略利用以下方面:
 
  使用两用工具
 
  无文件持久性
 
  仅使用内存威胁
 
  为什么使用离地攻击?
 
  攻击者利用常用工具对目标进行攻击,这就是离地攻击。使用预先安装在目标计算机上的工具的攻击者越来越多。使用无文件威胁、第三方工具或简单脚本可帮助攻击者逃避防病毒程序的检测。
 
  使用什么工具?
 
  离地攻击广泛使用的工具包括:
 
  Mimikatz
 
  微软的PS Exec工具
 
  Windows Management Instrumentation (WMI)
 
  Windows Secure Copy
 
  PowerShell脚本
 
  VB脚本
 
  攻击模式
 
  攻击者直接在内存中使用运行简单脚本和shellcode工具,如PowerShell脚本或VB脚本。
 
  攻击者利用Mimikatz工具获得的密码,并将其与PS Exec一起使用,以横向移动到另一个系统。
 
  攻击者使用包含带有嵌入式恶意宏的Microsoft Office文档附件的网络钓鱼电子邮件,诱骗用户在打开Office文档附件时启用宏。
 
  使用系统工具作为后门来绕过身份验证。
 
  使用列入白名单的合法工具来逃避检测。
 
  攻击示例
 
  1.Petya/NotPetya勒索软件
 
  2018年6月,Ransom.Pety袭击乌克兰和其他国家的组织,这种正是利用了离地攻击的策略。
 
  Petya/ NotPetya勒索软件使用软件供应链攻击作为其初始感染载体,以破坏软件计算程序的更新过程。
 
  Petya还在感染过程中使用了系统命令。一旦执行,它就会从Mimikatz工具中删除重新编译的LSADump版本,该工具用于窃取Windows内存中的帐户凭据。然后使用被盗凭证将威胁复制到网络的任何计算机。最后使用已删除的PsExec.exe实例和Windows Management Instrumentation(WMI)命令行工具远程启动。
 
  2.Thrip威胁
 
  2018年,研究人员通过利用离地攻击的策略,观察了针对电信提供商、卫星和国防公司的网络间谍活动----Thrip。在此攻击活动中,网络犯罪分子使用Windows实用程序PsExec来安装Catchamas信息窃取程序恶意软件。
 
  3.Separ恶意软件会通过离地攻击策略感染公司
 
  最近,研究人员观察到一起网络钓鱼活动,该活动用Separ恶意软件感染了东南亚、中东和北美的组织。恶意软件使用非常短的脚本或批处理文件与合法可执行文件的组合来逃避检测。
 
  网络钓鱼电子邮件包含一个恶意PDF附件,据称是一个自解压可执行文件。PDF文件伪装成虚假报价单、运货单和设备规格详情。
 
  打开恶意PDF附件后,自解压程序调用wscript.exe来运行名为adobel.vbs的Visual Basic脚本(VB脚本)。一旦VB脚本开始运行,它就会执行一系列具有各种恶意功能的短批处理脚本。
 
  如何保护自己?
 
  为避免此类攻击,最好监控网络内部两用工具的使用情况。
 
  最好及时更新所有系统、应用程序、软件和操作系统。
 
  最好安装一个强大的防病毒程序。
 
  建议使用强密码并定期轮换密码。
 
  建议在登录时使用双因素身份验证,并在会话完成后注销。
 
  始终建议谨慎使用提示用户启用宏的Microsoft Office附件。
 
  建议永远不要打开来自匿名发件人的任何附件。
 
  最好创建列入白名单的应用程序列表并监视日志文件。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:kongwen

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。

友情链接
京ICP备16057460号-1
移动客户端
CIO时代iphone版 | CIO时代Android版
关注我们
Copyright © 2003-2021 CIO时代网版权所有
关于我们| 联系我们 | 版权声明| 友情链接| 网站地图