FreeBuf|CrowdStrike | 无文件攻击白皮书
CrowdStrike是端点保护平台(EPP)的最强者 , 是云交付的下一代端点保护的领导者 。 由于CrowdStrike邮件推送了“无文件攻击白皮书”《谁需要恶意软件?对手如何使用无文件攻击来规避你的安全措施》(Who Needs Malware? How Adversaries Use Fileless Attacks To Evade Your Security) , 笔者顺手对其进行了全文翻译 。
无文件攻击(Fileless attack)是不向磁盘写入可执行文件的攻击方法 , 难以被常规方法检测出来 。 根据CrowdStrike统计 , “10个成功突破的攻击向量中有8个使用了无文件攻击技术 。 ”即80%的成功入侵都使用了无文件攻击 。 根据二八原理 , 这显然是安全人员应该高度关注的技术类型 。
无文件攻击白皮书解释了无文件攻击的工作原理、传统解决方案失效的原因 , 以及CrowdStrike解决该难题的方法 。 CrowdStrike的解决方案是应用程序清单、漏洞利用阻断、攻击指标(IOA)、托管狩猎、无签名人工智能等技术的集成化方法 。
除了全文翻译外 , 笔者主要在文末做了两块内容增补:
一是关于CrowdStrike Threat Graph(威胁图)的技术思想 , 因为威胁图是CrowdStrike Falcon(猎鹰)端点保护平台的“大脑”;
二是关于CrowdStrike提出的攻击指标(IOA)与传统的失陷指标(IOC)的对比 。 笔者认为 , 这两类技术领域具有战略价值 。
如果说全文翻译只花费一小时的话 , 这些增补内容反而消耗了笔者两个小时 。
本文插图
随着安全措施在检测和阻止恶意软件和网络攻击方面越来越出色 , 对手和网络犯罪分子被迫不断开发新技术来逃避检测 。 其中一种高级技术涉及“无文件”(fileless)攻击 , 即不向磁盘写入可执行文件 。 这类攻击特别有效地躲避了传统防病毒(AV)解决方案 , 因为传统防病毒(AV)方法寻找被保存到磁盘上的文件并扫描这些文件以确定它们是否恶意 。
虽然无文件攻击并不新鲜 , 但它们正变得越来越普遍 。 在2016年的调查中 , CrowdStrike Services事件响应团队发现 , 10个成功入侵的攻击向量中有8个使用了无文件攻击技术 。 为了帮助您了解无文件攻击所带来的风险 , 本白皮书解释了无文件攻击的工作原理、当前解决方案对其无能为力的原因 , 以及CrowdStrike解决这一难题的行之有效的方法 。
01 什么是无文件攻击?当攻击者通过消除将PE(可移植可执行文件)复制到磁盘驱动器的传统步骤来逃避检测时 , 就会发生无文件或无恶意软件的攻击 。 有多种技术可以采取这种方式危害系统 。
1)漏洞利用和漏洞利用工具包 , 通常通过利用操作系统(OS)或已安装应用程序中存在的漏洞 , 直接在内存中执行攻击 。
2)使用盗用的凭证 , 是发起无文件攻击的另一种普遍方法 。 Verizon在其2017年的DBIR(数据泄露调查报告)中发现 , 81%的数据泄露涉及弱口令、默认口令或被盗口令 , 比上一年增加了18% 。 这使得攻击者能够像普通用户一样访问系统 。
3)一旦实现初步突破 , 对手就可以依赖操作系统本身提供的工具 , 如Windows管理工具和Windows PowerShell , 以执行进一步的操作 , 而不必将文件保存到磁盘 。 例如 , 它们可以通过在注册表、内核中隐藏代码 , 或者通过创建允许它们随意访问系统的用户帐户来建立持久化 , 而无需向磁盘写入任何内容 。
在安全行业 , 对上述这些技术的使用 , 通常被称为“living off the land”(离地生存?生存手段?) 。
02 真实案例:一个无文件入侵的解剖通过展示CrowdStrike Services事件响应团队发现的一个真实的案例 , 我们可以检查端到端的无恶意软件入侵是什么样子 。
在本例中 , 首个目标是使用Microsoft ISS并运行SQL服务器数据库的web服务器 。 对于最初的入侵 , 攻击者使用了一个web shell , 一个可以被上传到web服务器并在其上执行的简短脚本 。 脚本可以用web服务器支持的任何语言编写 , 比如Perl、Python、ASP或PHP 。 Web Shell在此类攻击中很流行 , 因为它们可以通过利用系统上存在的漏洞直接加载到内存中 , 而无需将任何内容写入磁盘 。 在这一特定的攻击中 , 对手使用SQL注入 , 将其web shell嵌入到服务器 。
推荐阅读
- 科技边角料Pro|优酷员工私自下载数百个工作文件遭开除,索赔7.5万遭拒
- FreeBuf|前微软工程师窃取千万美元:自己买车买房,同事做替罪羊
- IT之家|苹果 iOS 14.3 Beta 增加全新 ProRAW 照片格式:每个文件约 25MB
- 互联网|腾讯发布 PC TIM 3.3.0 测试版:网盘云存储聊天文件
- 斗鱼|虎牙斗鱼三季度营收净利均增长,斗鱼透露已向SEC递交私有化文件
- 新能源汽车|未来15年新能源汽车“怎么跑”?这份文件指明发展新路径
- 平台|让无数商家头疼的“二选一”,国家出文件了!
- FreeBuf|MontysThree工业间谍软件分析
- FreeBuf|DamnVulnerableCryptoApp:一款功能强大的弱加密实现检测工具
- 杳无音讯|华为美国再上诉 要求公开孟晚舟案相关文件,此前一年多杳无音讯