無(wú)文件攻擊事件這幾年呈現(xiàn)了高速發(fā)展?fàn)顟B(tài)，成為了網(wǎng)絡(luò)攻擊中的一個(gè)重要力量。不過(guò)，很多人對(duì)“無(wú)文件攻擊”的概念，還不是很了解。雖然此前關(guān)于“無(wú)文件攻擊”的攻擊事件和案例，我們也介紹過(guò)不少，但有些東西還是沒(méi)有講透，今天我們就來(lái)講講無(wú)文件攻擊的4種基本技術(shù)。

“無(wú)文件攻擊”這一術(shù)語(yǔ)往往會(huì)讓人產(chǎn)生歧義，比如無(wú)文件攻擊就代表真的沒(méi)有攻擊文件嗎?沒(méi)有文件又如何實(shí)施攻擊?如何檢測(cè)?如何防御……，其實(shí)“無(wú)文件攻擊”只是一種攻擊策略，其出發(fā)點(diǎn)就是避免將惡意文件放在磁盤(pán)上，以逃避安全檢測(cè)。有一點(diǎn)需要明確，就是無(wú)文件惡意軟件也要使用文件。

最初，“無(wú)文件攻擊”是指沒(méi)有持久駐留在內(nèi)存中的惡意代碼的攻擊，不過(guò)隨著攻擊技術(shù)的迭代，該術(shù)語(yǔ)的指代面越來(lái)越廣了，現(xiàn)在安全行業(yè)已將那些依賴(lài)文件系統(tǒng)，以實(shí)現(xiàn)惡意代碼激活和駐留的惡意軟件也成為“無(wú)文件惡意軟件”。由于在無(wú)文件惡意軟件攻擊中，系統(tǒng)變得相對(duì)干凈，傳統(tǒng)的殺毒軟件很難或根本無(wú)法識(shí)別這種感染并及時(shí)通知技術(shù)人員進(jìn)行防御，所以這種攻擊越來(lái)越普遍。

其實(shí)，“無(wú)文件”這一術(shù)語(yǔ)也在不同的時(shí)間點(diǎn)是有不同含義的，早在2012年，有文章最初就使用了“無(wú)文件惡意軟件”這一詞匯。但是，為了應(yīng)對(duì)無(wú)文件攻擊的挑戰(zhàn)，就需要消除這一術(shù)語(yǔ)的歧義，以了解它涵蓋的各種技術(shù)。因此識(shí)別它如何影響特定的環(huán)境和防御策略就變得非常重要。

據(jù)GoogleTrends的監(jiān)測(cè)結(jié)果顯示，“無(wú)文件惡意軟件”此前有過(guò)很多不同的稱(chēng)呼，比如： “無(wú)形惡意軟件”、“零足跡攻擊”或“無(wú)/宏惡意軟件攻擊”。這些詞早在2012年到2014年之間就零星的出現(xiàn)過(guò)。不過(guò)隨著這一技術(shù)的使用頻率增加，網(wǎng)絡(luò)安全人員對(duì)這一術(shù)語(yǔ)的集中討論卻發(fā)生在2015年，直至2017年隨著網(wǎng)絡(luò)安全的概念深入人心，無(wú)文件惡意軟件”這個(gè)詞也被定了下來(lái)并被大眾所熟知。

盡管存在殺毒軟件和應(yīng)用程序白名單等反惡意軟件的控制措施，但無(wú)文件攻擊也包含各種應(yīng)對(duì)策略，允許攻擊者進(jìn)行有針對(duì)性的攻擊。下面概述了無(wú)文件攻擊所涉及的方法，旨在為無(wú)文件攻擊的防御提供明確的概念和理論指導(dǎo)?，F(xiàn)在，就讓我們來(lái)看看無(wú)文件攻擊所包含的具體技術(shù)，以及它們?yōu)槭裁闯３Ｄ芾眠@些技術(shù)逃避現(xiàn)有的檢測(cè)。

技術(shù)1：惡意文件所發(fā)揮的作用

許多專(zhuān)業(yè)安全分析人員通過(guò)長(zhǎng)期的跟蹤分析，確認(rèn)無(wú)文件的攻擊其實(shí)是包含各種文件的。在這種情況下，攻擊者提供惡意文件通常會(huì)作為電子郵件附件，用于以下其中一種目的：

• 惡意文件可以充當(dāng)其他文件的靈活容器：例如，攻擊者可以在Microsoft Office文件中嵌入JavaScript文件，并對(duì)收件人進(jìn)行社交工程攻擊，當(dāng)受害者打開(kāi)嵌入的文件時(shí)，惡意文件就開(kāi)始執(zhí)行所帶的腳本了。另外，可以攜帶惡意文件的其他文件類(lèi)型包括PDF和RTF。由于此功能是特定應(yīng)用程序才包含的一項(xiàng)功能，因此殺毒軟件的技術(shù)通常不會(huì)干擾這些文件的使用。
• 惡意文件可以攜帶執(zhí)行惡意代碼的漏洞：如今的文件功能越來(lái)越復(fù)雜，不過(guò)功能多的同時(shí)所包含的攻擊面也就增大，比如攻擊者可以利用諸如解析漏洞之類(lèi)的漏洞。在這種情況下，攻擊者就可以在受損應(yīng)用程序的內(nèi)存中觸發(fā)捆綁的shellcode，執(zhí)行攻擊，即使不將代碼保存到文件系統(tǒng)，攻擊者也可以在發(fā)起攻擊。
• 文件可以執(zhí)行傳播過(guò)程中的惡意邏輯，如今的文件都支持強(qiáng)大的腳本功能，例如Microsoft Office執(zhí)行VBA宏的功能。這些功能允許攻擊者在沒(méi)有編譯可執(zhí)行文件的情況下實(shí)現(xiàn)惡意邏輯，這就是利用了許多殺毒工具在區(qū)分惡意腳本和良性腳本方面的弱點(diǎn)。文件腳本功能包括啟動(dòng)程序和下載惡意代碼。

雖然文件駐留在攻擊端的文件系統(tǒng)上，但攻擊者可以不將這些傳統(tǒng)惡意可執(zhí)行文件放置在磁盤(pán)上。在許多情況下，這些文件會(huì)直接在攻擊目標(biāo)的內(nèi)存中執(zhí)行惡意代碼，這也是無(wú)文件攻擊的重要組成環(huán)節(jié)。有關(guān)攻擊者如何使用這些文件發(fā)起攻擊的詳細(xì)案例，請(qǐng)參閱Omri Moyal關(guān)于濫用Microsoft Office支持DDE的文章。還有一篇文章是關(guān)于“攻擊者如何將自己插入對(duì)話以傳播惡意軟件”，請(qǐng)點(diǎn)此查看。

技術(shù)2：惡意腳本所發(fā)揮的作用

為了避免將惡意代碼編譯成傳統(tǒng)可執(zhí)行文件的目標(biāo)，無(wú)文件攻擊的開(kāi)發(fā)者需要在利用無(wú)文件屬性進(jìn)行攻擊時(shí)依賴(lài)惡意腳本。除了文件原來(lái)就支持的腳本之外，如上所述，攻擊者可以直接在Microsoft Windows上運(yùn)行的腳本提供了以下攻擊優(yōu)勢(shì)：

• 這些惡意腳本可以與操作系統(tǒng)進(jìn)行交互，而不受某些應(yīng)用程序(如Web瀏覽器)可能對(duì)腳本施加的限制。
• 與經(jīng)過(guò)編譯的惡意可執(zhí)行文件相比，殺毒軟件更難檢測(cè)和控制這些惡意腳本。
• 這些腳步提供了許多靈活的攻擊機(jī)會(huì)，可以將惡意邏輯分散到多個(gè)進(jìn)程中，以逃避檢測(cè)。
• 這些腳步在被混淆處理后，減緩安全分析師的分析速度，為進(jìn)一步逃避檢測(cè)提供時(shí)間。Microsoft Windows包括PowerShell，VBScript，批處理文件和JavaScript的腳本解釋器，攻擊者調(diào)用并運(yùn)行這些腳本的工具包括powershell.exe，cscript.exe，cmd.exe和mshta.exe。通過(guò)添加適用于Linux的Windows子系統(tǒng)，Microsoft可以在攻擊端上提供更多腳本技術(shù)。有關(guān)企業(yè)在限制這些工具的濫用方面所面臨的挑戰(zhàn)的一個(gè)案例，請(qǐng)參閱Gal Bitensky在討論Invoke-NoShell實(shí)用程序的文章。

攻擊者可以使用現(xiàn)成的混淆腳本的框架，而不必自己來(lái)實(shí)現(xiàn)這種復(fù)雜的逃避策略。這些措施包括Daniel Bohannon開(kāi)發(fā)的適用于PowerShell和Invoke-DOSfuscation框架的Invoke-Obfuscation。具體案例，請(qǐng)參考Minerva對(duì)Emotet的腳本混淆的分析。

技術(shù)3：與本地程序交互

關(guān)于無(wú)文件攻擊的討論通常包括濫用Microsoft Windows中內(nèi)置的眾多實(shí)用程序，這些工具允許對(duì)手從攻擊的一個(gè)階段轉(zhuǎn)移到另一個(gè)階段，而無(wú)需依賴(lài)編譯的惡意可執(zhí)行文件。這種經(jīng)營(yíng)方式有時(shí)被稱(chēng)戲稱(chēng)為“靠土地為生(living off the land)”。

一旦攻擊者的惡意代碼可以與本地程序交互，那么文件感染程序就開(kāi)始啟動(dòng)，此時(shí)攻擊者就可以開(kāi)始濫用操作系統(tǒng)內(nèi)置的實(shí)用程序來(lái)下載其他惡意控件，啟動(dòng)程序和腳本，進(jìn)而竊取數(shù)據(jù)，大肆感染，保持持久性攻擊等。攻擊者為了與本地程序交互，調(diào)用了許多工具，其中包括regsvr32.exe，rundll32.exe，certutil.exe和schtasks.exe。關(guān)于攻擊者如何以這種方式濫用內(nèi)置二進(jìn)制文件、庫(kù)和腳本描述，請(qǐng)參閱Oddvar Moe的LOLBAS項(xiàng)目。

內(nèi)置于操作系統(tǒng)中的Windows Management Instrumentation(WMI)為攻擊者提供了更多與本地程序交互的機(jī)會(huì)。WMI允許攻擊者在wmic.exe可執(zhí)行文件(以及其他一些文件)的幫助下使用腳本(例如PowerShell)并與攻擊端的大多數(shù)程序功能進(jìn)行交互。由于這些操作僅涉及受信任的內(nèi)置Windows功能，因此殺毒軟件技術(shù)難以進(jìn)行檢測(cè)和限制。有關(guān)WMI如何協(xié)助無(wú)文件攻擊的解釋?zhuān)?qǐng)參閱Matt Graeber撰寫(xiě)的濫用WMI構(gòu)建持久、異步和無(wú)文件后門(mén)的文章。

攻擊者通過(guò)利用這種良性和可信賴(lài)的實(shí)用程序，大大增加了逃避檢測(cè)的概率。有關(guān)此類(lèi)技術(shù)的其他示例，請(qǐng)參閱Matthew Dunwoody對(duì)APT29使用WMI和PowerShell構(gòu)建無(wú)文件后門(mén)的概述。

技術(shù)4：內(nèi)存中的惡意代碼

雖然檢查磁盤(pán)上的文件是許多殺毒軟件產(chǎn)品的優(yōu)勢(shì)，但它們經(jīng)常會(huì)被僅駐留在內(nèi)存中的惡意代碼所難道，由于內(nèi)存是不穩(wěn)定的和動(dòng)態(tài)變化的，這就使惡意軟件有機(jī)會(huì)改變其攻擊方式或以其他方式逃避殺毒檢測(cè)。

一旦攻擊者開(kāi)始在攻擊端上執(zhí)行惡意代碼，那攻擊者就可以將惡意軟件解壓縮到內(nèi)存中，而不會(huì)將惡意控件保存到文件系統(tǒng)中，這可能涉及到將代碼提取到進(jìn)程本身的內(nèi)存空間中的技術(shù)。在其他情況下，惡意軟件會(huì)將代碼注入受信任的流程和其他良性流程中。

內(nèi)存攻擊技術(shù)的案例包括：

• 內(nèi)存注入利用Microsoft Windows的功能與操作系統(tǒng)進(jìn)行交互，而不會(huì)利用漏洞。例如，經(jīng)常被注入惡意軟件進(jìn)行濫用的API調(diào)用包括VirtualAllocEx和WriteProcessMemory，它們?cè)试S用一個(gè)進(jìn)程將代碼寫(xiě)入另一個(gè)進(jìn)程。要了解這些技術(shù)的實(shí)際應(yīng)用，請(qǐng)閱讀Gal Bitensky對(duì)AZORult攻擊的概述，AZORult是一個(gè)功能強(qiáng)大的信息竊取程序和下載程序。
• 攻擊者可以將已編譯的可執(zhí)行文件包裝成腳本，以便在運(yùn)行時(shí)將惡意載荷提取到內(nèi)存中，PowerSploit就是這樣的工具包的一個(gè)例子，你可以通過(guò)閱讀Asaf Aprozper和Gal Bitensky的GhostMiner分析來(lái)看到它的運(yùn)行，而Chris Truncer的Veil框架又是另一個(gè)案例，感興趣可以讀一下。
• Process Doppelgänging是一種繞過(guò)殺軟檢測(cè)的新技術(shù)，這種新的攻擊方式對(duì)所有windows平臺(tái)都有效，并且能夠攻擊目前可見(jiàn)的大部分安全產(chǎn)品。Doppelgänging利用兩種特性來(lái)掩蓋加載修改版可執(zhí)行文件的過(guò)程。通過(guò)使用NTFS，攻擊者可以在不寫(xiě)入磁盤(pán)的情況下修改可執(zhí)行文件。這意味著，攻擊可以為修改版的可執(zhí)行文件建立進(jìn)程，而殺毒軟件的安全機(jī)制檢測(cè)不到。這種方法很像進(jìn)程中空技術(shù)，但是更加高級(jí)。攻擊者可以在沒(méi)有可以進(jìn)程和內(nèi)存操作(如SuspendProcess和NtUnmapViewOfSection)的情況下，讓惡意軟件在正常軟件的進(jìn)程中執(zhí)行任意代碼。SynAck惡意軟件就使用了這種逃避技術(shù)，以試圖終止與虛擬機(jī)、辦公應(yīng)用程序、腳本解釋器、數(shù)據(jù)庫(kù)應(yīng)用程序、備份系統(tǒng)以及游戲應(yīng)用程序等相關(guān)的程序。研究人員認(rèn)為，SynAc這樣做的目的在于授予自身能夠訪問(wèn)這些進(jìn)程所使用的有價(jià)值文件的權(quán)限。如同其他勒索軟件一樣，SynAck也會(huì)收集一些關(guān)于受感染主機(jī)的基本信息，如計(jì)算機(jī)和用戶(hù)名、操作系統(tǒng)版本信息等，然后使用隨機(jī)生成的256位AES密鑰對(duì)目標(biāo)文件進(jìn)行加密。在文件被加密后，將會(huì)被附加一個(gè)隨機(jī)生產(chǎn)的擴(kuò)展名。除此之外，SynAck還會(huì)清除系統(tǒng)存儲(chǔ)的事件日志，并且可以通過(guò)修改注冊(cè)表中的LegalNoticeCaption和LegalNoticeText鍵將自定義文本添加到Windows登錄屏幕。

內(nèi)存攻擊技術(shù)允許攻擊者繞過(guò)許多殺毒檢測(cè)技術(shù)，包括應(yīng)用程序白名單。雖許多殺毒工具試圖捕獲內(nèi)存注入，但攻擊者的攻擊技術(shù)明顯技高一籌，Asaf Aprozper的CoffeeShot工具通過(guò)在Java中實(shí)現(xiàn)注入方法來(lái)演示這種檢測(cè)嘗試的脆弱性。

總結(jié)

如今，無(wú)文件攻擊已經(jīng)常態(tài)化了。雖然一些攻擊和惡意軟件家族在其攻擊的各個(gè)方面都企圖實(shí)現(xiàn)無(wú)文件化，但只有一些功能才能實(shí)現(xiàn)無(wú)文件化。對(duì)于攻擊者來(lái)說(shuō)，無(wú)文件化只是試圖繞過(guò)攻擊的一種手段，至于是否有文件，都只是表象。往后攻擊者可能會(huì)將所有攻擊技術(shù)進(jìn)行組合，包括使用惡意文件、惡意腳本、與本地程序交互和內(nèi)存注入。具有無(wú)文件屬性的攻擊是基于應(yīng)用程序和操作系統(tǒng)功能的，利用了殺毒工具在嘗試檢測(cè)和防止各種濫用時(shí)的盲點(diǎn)。

本文翻譯自：https://blog.minerva-labs.com/deconstructing-fileless-attacks-into-4-underlying-techniques