360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器“网络军火套餐”迎合潮流:趋向无文件攻击
- 2019-11-28 10:10:08
大家好,我是零日情报局。
安全圈都知道,漏洞利用工具包(Exploit Kit)是网络犯罪分子最爱使用的一体化工具,间谍软件、勒索病毒,甚至境外APT组织常使用的远程访问工具(RAT)都可能通过漏洞利用工具包(EK)扩散传播。
相比于永恒之蓝/Bluekeep这类无人不晓的漏洞品种,漏洞利用工具包(EK)可能显得不够街知巷闻;但不管怎么说,漏洞利用工具包(EK)是漏洞工具的大合集,在与时俱进,不断升级更新的同时,漏洞利用工具套件甚至还会利用0day。
所以,如果把威力强大的单个漏洞比作“网络核武器”,那么漏洞利用工具包(EK)就可以类比为“网络军火套餐”。
至于漏洞利用工具包(EK)如何工作,大致感染流程具体如下图:
漏洞利用工具包(EK)出现至今,已有些年头,随着时间推移有些漏洞利用工具包(EK)可能会逐渐淡出人们的视线,但威胁依然不容小觑。以下是2016年至今比较流行的EK:
“网络军火套餐”迎合潮流
两天前,Malwarebytes发布最新安全报告,漏洞利用工具包(EK)正在改变策略,试图使用无文件攻击,扩散恶意软件。当前九个活跃漏洞利用工具包中至少有三个正在使用无文件攻击,这也是无文件攻击出现六十年来,漏洞利用工具包首次广泛采用该技术。
这是不是在说明,某些漏洞利用工具包不甘落幕,努力迎合潮流,试图通过“无文件攻击”技术逃避安全产品来提高感染率,保持市场占有率。
就这一有意思的趋势,零日简单对比整理了无文件攻击和漏洞利用工具包(EK)二者的流量热度。我们发现,2017年至今,漏洞利用工具与无文件攻击趋势,大致呈现共振趋势,近乎同高低同频波动,其中不排除存在一定联系。由此推测,相近的搜索流量从侧面证实了,漏洞利用工具包与无文件攻击的趋向。
一些EK与无文件攻击耦合案例
除了热度数据对比之外,零日还从近期活跃的漏洞利用工具包(EK)中,整理了一些应用无文件攻击扩散的攻击案例。
GandCrab(“侠盗”勒索病毒)
此前,盘点2019年度勒索病毒时,零日就提到GandCrab这支今年最富传奇色彩病毒家族。2018年首次上线至今,历经5次版本迭代,波及罗纳尼亚、巴西、印度等数十国家地区,感染全球累计超过150万用户。
引发全球范围的勒索病毒感染,以无文件攻击为代表的多种扩散手段发挥了重要作用。从其最近一次动向来看,通过钓鱼邮件扩散的威胁事件中,GandCrab利用“生存地二进制文件”(LOLBins)获取有效负载以避免检测时,就会触发无文件攻击感染链。
Purple Fox(紫狐)
2018年,紫狐木马在全球范围内爆发,并直接感染30000多用户。近日紫狐再次上线,借助Rig漏洞利用工具包(EK),通过滥用PowerShell,进行无文件攻击。而攻击者为保证攻击有效性,还在无文件攻击感染链中,加入了多重漏洞利用程序。
愈来愈多的“无文件攻击”
那么,无文件攻击是什么?其实,无文件攻击并非字面上说的不使用任何文件,而是一种攻击策略,其出发点就是避免将恶意文件放在磁盘上(例如藏在内存里)。当杀软查杀时却无法发现磁盘上有任何恶意文件,这样恶意攻击就能躲避安全检测引擎的检测。
站在网络攻击的角度,自然优先选择阻力最小的途径实施攻击,所以早在2016年,赛门铁克首席战略官布莱恩也说过:“无文件攻击很难检测,且常常无法进行入侵防御和防病毒程序,未来或将成为一种攻击新趋势。”
也是出于这一原因,主张长久驻留、隐蔽且难以发现的APT攻击,近年也愈来愈多的采用“无文件攻击”技术。例如朝鲜的国家网络间谍活动组织,以及俄国的Turla组织都被安全机构发现使用了“无文件攻击”。
下面将无文件攻击特色总结如下:
*Stealthy:
借助合法工具,致使安全软件无法使用黑名单等方式拦截,进而躲避检测查杀;
*Living-off-the-land:
操作简便,攻击者无需创建或安装任何自定义工具,默认使用常规合法工具即可发起无文件攻击;
*Trustedand Frequented:
使用工具多为常用,且杀毒软件信任的安全工具,隐藏于合法工具扩散。而出于合法目的,在企业环境中运行无文件攻击的工具并不罕见。
零日反思
相比于普通用户,无文件攻击威胁的提升,对国家和企业来说是一个十足的坏消息。
一方面,无文件攻击逃避检测的办法,极可能将多种威胁渗透进公司网络,恐波及企业敏感数据;另一方面,无文件攻击执行后,会长期潜藏计算机进行有效攻击,影响企业内网安全,引发连锁反应。
无文件攻击威胁已足够难缠,而漏洞利用工具包(EK)作为一种实质性威胁,未打补丁的旧漏洞、刚发现的新漏洞,基础漏洞、高危漏洞,随时可能被漏洞利用工具包(EK)盯上,发起一场针对企业个人精准打击。
无文件攻击与漏洞利用工具包(EK)都是有年头的老手段,但在网络空间,攻击有大小,技术手段却没有新旧之分。从上述趋势来看,我们不得不猜测也许在未来,不仅漏洞利用工具包(EK)趋向无文件化,基于无文件攻击的网络犯罪活动会持续增加,并将成为主流的网络攻击方式之一。
京公网安备 11000002000006号