抵御無(wú)文件型惡意軟件攻擊的那些事兒

目前，針對(duì)企業(yè)環(huán)境的無(wú)文件型惡意軟件威脅正在日趨增長(zhǎng)。無(wú)文件型惡意軟件所使用的代碼不需要駐留在目標(biāo)Windows設(shè)備上，而普通的Windows安裝程序涉及到很多的東西：PowerShell、WMI、VB、注冊(cè)表鍵和.NET框架等等，但對(duì)于無(wú)文件型惡意軟件來(lái)說(shuō)，它們?cè)趯?shí)現(xiàn)目標(biāo)主機(jī)感染時(shí)，并不需要通過(guò)文件來(lái)調(diào)用上述組件。

這個(gè)過(guò)程通常被稱之為Process Hollowing，在這種機(jī)制下，惡意軟件可以使用一個(gè)特定進(jìn)程來(lái)作為惡意代碼的存儲(chǔ)容器以及分發(fā)機(jī)制。近期，F(xiàn)ireEye的研究人員就發(fā)現(xiàn)有攻擊者將PowerShell、VB腳本和.NET應(yīng)用整合進(jìn)了一個(gè)代碼包中。

利用PowerShell來(lái)實(shí)現(xiàn)攻擊已經(jīng)很常見了，而且大家應(yīng)該也清楚基于PowerShell的漏洞攻擊殺傷力有多么強(qiáng)大，因?yàn)閻阂獯a可以直接在PC內(nèi)存中執(zhí)行。此外，PowerShell還可以用于遠(yuǎn)程訪問(wèn)攻擊或繞過(guò)應(yīng)用白名單保護(hù)等等。

鑒于這類日趨嚴(yán)重的安全威脅，安全團(tuán)隊(duì)可以做些什么來(lái)保護(hù)他們的組織抵御無(wú)文件型惡意軟件呢？

確保公司內(nèi)部環(huán)境的安全

為了抵御無(wú)文件型惡意軟件的攻擊，首先我們要確保組織網(wǎng)絡(luò)系統(tǒng)內(nèi)的計(jì)算機(jī)安裝了最新的補(bǔ)丁程序。很多攻擊者會(huì)利用舊版本系統(tǒng)中未修復(fù)或延遲修復(fù)的漏洞，而“永恒之藍(lán)”漏洞就是一個(gè)很好的例子（該漏洞的補(bǔ)丁要先于漏洞利用程序的發(fā)布）。

接下來(lái)，我們要設(shè)計(jì)一個(gè)強(qiáng)有力的安全意識(shí)培訓(xùn)方案。這并不意味著你要定期進(jìn)行安全練習(xí)，或偶爾向員工發(fā)送釣魚測(cè)試郵件。這里需要我們制定一套安全操作流程，并且讓員工有效地意識(shí)到電子郵件附件的危險(xiǎn)性，防止員工無(wú)意識(shí)地點(diǎn)擊陌生鏈接。因?yàn)楹芏酂o(wú)文件型惡意軟件攻擊都是通過(guò)一封簡(jiǎn)單的網(wǎng)絡(luò)釣魚郵件開始的，因此這樣的安全培訓(xùn)或操作方案是非常重要的。

第三，安全團(tuán)隊(duì)需要了解Windows內(nèi)置代碼的操作行為，這樣我們就可以在第一時(shí)間發(fā)現(xiàn)異常情況。比如說(shuō)，如果你在/TEMP目錄中發(fā)現(xiàn)了隱藏的PowerShell腳本，那你就需要小心了。

更新訪問(wèn)權(quán)限和特權(quán)賬號(hào)

組織應(yīng)該了解無(wú)文件型惡意軟件的攻擊機(jī)制，因?yàn)榫退隳泓c(diǎn)擊了一封郵件中的惡意附件，也并不意味著你的電腦就會(huì)立即感染惡意軟件。因?yàn)楹芏鄲阂廛浖?huì)在目標(biāo)系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境中進(jìn)行橫向滲透，并尋找更加有價(jià)值的攻擊目標(biāo)，比如說(shuō)域控制器或Web服務(wù)器等等。為了防止這種情況的發(fā)生，我們應(yīng)該對(duì)組織內(nèi)的網(wǎng)絡(luò)系統(tǒng)以及相應(yīng)訪問(wèn)權(quán)限進(jìn)行仔細(xì)劃分，尤其是針對(duì)第三方應(yīng)用程序和用戶進(jìn)行劃分。

當(dāng)惡意軟件成功滲透目標(biāo)組織的網(wǎng)絡(luò)系統(tǒng)后，隨著惡意軟件的橫向滲透，攻擊者可以利用PowerShell來(lái)實(shí)現(xiàn)提權(quán)。比如說(shuō)，攻擊者可以發(fā)送反向DNS請(qǐng)求，枚舉出網(wǎng)絡(luò)共享的訪問(wèn)控制列表，并查找出特定域組的成員。

因此，安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)遵循“最少權(quán)限”的原則，及時(shí)檢查已過(guò)期賬戶的訪問(wèn)權(quán)限，并根據(jù)需要限制某些賬號(hào)的特權(quán)。除此之外，組織還要禁用那些不需要的Windows程序，因?yàn)椴⒉皇敲總€(gè)員工都需要在自己的計(jì)算機(jī)上運(yùn)行PowerShell或.NET框架的。當(dāng)然了，你也可以移除像SMBv1這樣的遺留協(xié)議，而這類協(xié)議也是WannaCry能夠?yàn)榉亲鞔醯闹饕颉?/p>

最后，為了確保不被攻擊者利用MS Office惡意宏來(lái)實(shí)現(xiàn)攻擊，我們也應(yīng)該盡可能地禁用宏功能，不過(guò)這并不是一種通用解決方案，因?yàn)楹芏嘤脩羧匀恍枰旯δ軄?lái)完成他們的工作。

抗?fàn)幍降祝?/p>

雖然無(wú)文件攻擊日益猖獗，但微軟方面并沒有停滯不前。實(shí)際上，他們已經(jīng)開發(fā)出了一個(gè)名為“反惡意軟件掃描接口”的開放接口，而且很多供應(yīng)商已經(jīng)開始使用它來(lái)檢測(cè)無(wú)文件型惡意軟件攻擊了，尤其是在分析腳本行為時(shí)，這個(gè)接口的作用就體現(xiàn)得更加明顯了。

此外，任何想要深入了解無(wú)文件型攻擊的研究人員都應(yīng)該去看一看開源項(xiàng)目-AltFS。這是一個(gè)完整的無(wú)文件型虛擬文件系統(tǒng)，可以用來(lái)演示無(wú)文件技術(shù)的工作機(jī)制，而且該項(xiàng)目可以直接在Windows或macOS平臺(tái)上搭建使用。

正如大家所看到的那樣，對(duì)抗無(wú)文件攻擊需要我們?cè)鷮?shí)實(shí)地做好很多細(xì)節(jié)工作，并在各種工具與技術(shù)之間進(jìn)行仔細(xì)協(xié)調(diào)。隨著越來(lái)越多不可預(yù)見的惡意軟件威脅出現(xiàn)，各大組織更應(yīng)該采取措施來(lái)加強(qiáng)自身的安全防御。