FreeBuf|CrowdStrike | 无文件攻击白皮书( 二 )
WEB Shell允许使用web浏览器来远程访问系统 。 它们可以用ASP或PHP或任何其他web脚本语言编写 , 代码可以非常小 。 如下所示:
由于web服务器没有正确检查转义字符 , 攻击者能够简单地将web shell回传到服务器上 。 所用的web shell , 名为“China Chopper”(中国菜刀/直升机) , 包含了JavaScript命令 , 值得注意的是它只使用了72个字符 。 在内存中执行web shell , 使攻击者能够使用Chopper用户界面 , 对web服务器执行任意命令 。 通过对web服务器的完全远程访问 , 攻击者通过执行编码的PowerShell命令 , 来窃取凭据 。
第一步是从远程服务器下载脚本 , 将脚本直接加载到内存中 , 然后执行它 。 这个脚本反过来窃取了缓存在web服务器内存中的所有纯文本密码 。 在几秒钟内 , 攻击者获得了系统上所有帐户的多个用户名和密码 。
PowerShell是一个合法的Windows工具 , 它允许攻击者在受损系统上执行任何操作 , 而不必在磁盘上写入恶意软件 。 为了进一步做混淆 , 攻击者可以对其PowerShell脚本进行编码 , 如下所示:
本文插图
下一步是让攻击者在服务器上实现持久化 。 为了在不需要任何恶意软件的情况下执行此操作 , 攻击者使用了一种称为“粘滞键”(Sticky Keys)的技术 。 通过修改Windows注册表中的一行 , 攻击者可以使用PowerShell或WMI命令 , 轻松完成此操作 , 从而将Windows屏幕键盘进程 , 设置为调试模式 。
粘滞键(Sticky Keys)是使攻击者无需登录凭据即可访问命令shell的注册表项 。 如下所示:
当设置为调试模式时 , 屏幕键盘允许具有远程访问权限的任何人 , 以系统权限打开命令行 , 而无需登录 。 一旦设置了该注册表项 , 攻击者可以通过打开到web服务器的远程桌面连接 , 随时返回 。 此外 , 访问系统而不在Windows事件历史记录中生成登录事件 , 会使攻击者的行为几乎无法追踪 。
现在小结一下 , 本案例中 , 在不同的攻击阶段所使用的文件技术包括:
- 初始入侵:
针对Web服务器的SQL注入攻击; - 命令与控制(C2):
“中国菜刀/直升机”的Web Shell; - 提升权限:
使用PowerShell脚本转储凭据; - 建立持久化:
修改注册表粘滞键技术 。
无文件恶意软件经常使用的工具和技术包括:
漏洞利用工具包
利用合法工具 , 如WMI和PowerShell
使用被盗凭证
注册表驻留恶意软件
内存型(Memory-only)恶意软件
1)漏洞利用工具包(Exploit kits)
漏洞利用是一种允许攻击者利用操作系统或应用程序漏洞来访问系统的技术 。 漏洞利用是一种高效的无文件技术 , 因为它们可以直接注入内存中 , 而无需将任何内容写入磁盘 。
通过允许攻击者自动化和大规模执行初始突破 , 漏洞利用工具包使得攻击者的生活更轻松、工作更高效 。 所需要做的只是 , 诱使受害者进入漏洞利用工具包服务器 , 办法通常是网络钓鱼或社会工程 。
这些工具包通常提供对许多漏洞的攻击 , 以及一个管理控制台 , 一旦成功利用漏洞 , 攻击者就可以控制失陷的系统 。 有些漏洞利用工具包甚至提供了扫描受害者系统中的漏洞的功能 , 因此可以快速构建并启动成功的漏洞攻击 。
2)注册表驻留恶意软件
注册表驻留恶意软件是安装在Windows注册表中的恶意软件 , 以便在逃避检测的同时 , 保持持久性 。 第一种是Poweliks , 此后就出现了许多变体 。 一些变体 , 如Kovter , 使用了类似的注册表隐藏技术 , 来保持不被发现 。 Poweliks调用C2(命令和控制)服务器 , 攻击者可以从该服务器向受损系统发送进一步的指令 。 所有这些操作 , 都可以在没有任何文件写入磁盘的情况下进行 。
推荐阅读
- 科技边角料Pro|优酷员工私自下载数百个工作文件遭开除,索赔7.5万遭拒
- FreeBuf|前微软工程师窃取千万美元:自己买车买房,同事做替罪羊
- IT之家|苹果 iOS 14.3 Beta 增加全新 ProRAW 照片格式:每个文件约 25MB
- 互联网|腾讯发布 PC TIM 3.3.0 测试版:网盘云存储聊天文件
- 斗鱼|虎牙斗鱼三季度营收净利均增长,斗鱼透露已向SEC递交私有化文件
- 新能源汽车|未来15年新能源汽车“怎么跑”?这份文件指明发展新路径
- 平台|让无数商家头疼的“二选一”,国家出文件了!
- FreeBuf|MontysThree工业间谍软件分析
- FreeBuf|DamnVulnerableCryptoApp:一款功能强大的弱加密实现检测工具
- 杳无音讯|华为美国再上诉 要求公开孟晚舟案相关文件,此前一年多杳无音讯