前言

無(wú)文件攻擊通常包括對(duì) Microsoft Windows 眾多內(nèi)建工具的濫用。這些工具使得攻擊者輕松地從一個(gè)階段“跳轉(zhuǎn)”到另一個(gè)階段，無(wú)需執(zhí)行任何編譯的二進(jìn)制可執(zhí)行文件，這種攻擊方式被稱為“離地攻擊”。 

什么是離地攻擊?

“離地攻擊”是網(wǎng)絡(luò)犯罪分子用來(lái)進(jìn)行網(wǎng)絡(luò)攻擊的策略之一，一旦攻擊者的惡意代碼能與本地程序進(jìn)行交互，那么攻擊者就有可能利用系統(tǒng)的原生工具進(jìn)行下一步攻擊，包括下載附帶的其他惡意代碼，啟動(dòng)程序，執(zhí)行腳本，竊取數(shù)據(jù)，橫向擴(kuò)展，維持訪問(wèn)等等。

[[258762]]

攻擊者為達(dá)到這些目的而調(diào)用的工具包括 regsvr32.exe、rundll32.exe、certutil.exe和schtasks.exe。Windows 管理規(guī)范(WMI)，是 Windows 系統(tǒng)內(nèi)建工具，為攻擊者提供了“平地起飛”的絕好機(jī)會(huì)。WMI 借助運(yùn)行 wmic.exe 程序和執(zhí)行腳本(如，PowerShell )，使得攻擊者可以操作設(shè)備的絕大部分配置。

這些工具都是系統(tǒng)自帶的、受信任的，所以反惡意軟件技術(shù)也難以偵測(cè)和限制。

“離地攻擊”策略利用以下方面：

• 使用兩用工具
• 無(wú)文件持久性
• 僅使用內(nèi)存威脅

為什么使用離地攻擊?

攻擊者利用常用工具對(duì)目標(biāo)進(jìn)行攻擊，這就是離地攻擊。使用預(yù)先安裝在目標(biāo)計(jì)算機(jī)上的工具的攻擊者越來(lái)越多。使用無(wú)文件威脅、第三方工具或簡(jiǎn)單腳本可幫助攻擊者逃避防病毒程序的檢測(cè)。

使用什么工具?

離地攻擊廣泛使用的工具包括：

• Mimikatz
• 微軟的PS Exec工具
• Windows Management Instrumentation (WMI)
• Windows Secure Copy
• PowerShell腳本
• VB腳本

攻擊模式

攻擊者直接在內(nèi)存中使用運(yùn)行簡(jiǎn)單腳本和shellcode工具，如PowerShell腳本或VB腳本。

攻擊者利用Mimikatz工具獲得的密碼，并將其與PS Exec一起使用，以橫向移動(dòng)到另一個(gè)系統(tǒng)。

攻擊者使用包含帶有嵌入式惡意宏的Microsoft Office文檔附件的網(wǎng)絡(luò)釣魚(yú)電子郵件，誘騙用戶在打開(kāi)Office文檔附件時(shí)啟用宏。

使用系統(tǒng)工具作為后門來(lái)繞過(guò)身份驗(yàn)證。

使用列入白名單的合法工具來(lái)逃避檢測(cè)。

攻擊示例

1.Petya/NotPetya勒索軟件

2018年6月，Ransom.Pety襲擊烏克蘭和其他國(guó)家的組織，這種正是利用了離地攻擊的策略。

Petya/ NotPetya勒索軟件使用軟件供應(yīng)鏈攻擊作為其初始感染載體，以破壞軟件計(jì)算程序的更新過(guò)程。

Petya還在感染過(guò)程中使用了系統(tǒng)命令。一旦執(zhí)行，它就會(huì)從Mimikatz工具中刪除重新編譯的LSADump版本，該工具用于竊取Windows內(nèi)存中的帳戶憑據(jù)。然后使用被盜憑證將威脅復(fù)制到網(wǎng)絡(luò)的任何計(jì)算機(jī)。最后使用已刪除的PsExec.exe實(shí)例和Windows Management Instrumentation(WMI)命令行工具遠(yuǎn)程啟動(dòng)。

[[258763]]

2.Thrip威脅

2018年，研究人員通過(guò)利用離地攻擊的策略，觀察了針對(duì)電信提供商、衛(wèi)星和國(guó)防公司的網(wǎng)絡(luò)間諜活動(dòng)----Thrip。在此攻擊活動(dòng)中，網(wǎng)絡(luò)犯罪分子使用Windows實(shí)用程序PsExec來(lái)安裝Catchamas信息竊取程序惡意軟件。

[[258764]]

3.Separ惡意軟件會(huì)通過(guò)離地攻擊策略感染公司

最近，研究人員觀察到一起網(wǎng)絡(luò)釣魚(yú)活動(dòng)，該活動(dòng)用Separ惡意軟件感染了東南亞、中東和北美的組織。惡意軟件使用非常短的腳本或批處理文件與合法可執(zhí)行文件的組合來(lái)逃避檢測(cè)。

網(wǎng)絡(luò)釣魚(yú)電子郵件包含一個(gè)惡意PDF附件，據(jù)稱是一個(gè)自解壓可執(zhí)行文件。PDF文件偽裝成虛假報(bào)價(jià)單、運(yùn)貨單和設(shè)備規(guī)格詳情。

打開(kāi)惡意PDF附件后，自解壓程序調(diào)用wscript.exe來(lái)運(yùn)行名為adobel.vbs的Visual Basic腳本(VB腳本)。一旦VB腳本開(kāi)始運(yùn)行，它就會(huì)執(zhí)行一系列具有各種惡意功能的短批處理腳本。

如何保護(hù)自己?

• 為避免此類攻擊，最好監(jiān)控網(wǎng)絡(luò)內(nèi)部?jī)捎霉ぞ叩氖褂们闆r。
• 最好及時(shí)更新所有系統(tǒng)、應(yīng)用程序、軟件和操作系統(tǒng)。
• 最好安裝一個(gè)強(qiáng)大的防病毒程序。
• 建議使用強(qiáng)密碼并定期輪換密碼。
• 建議在登錄時(shí)使用雙因素身份驗(yàn)證，并在會(huì)話完成后注銷。
• 始終建議謹(jǐn)慎使用提示用戶啟用宏的Microsoft Office附件。
• 建議永遠(yuǎn)不要打開(kāi)來(lái)自匿名發(fā)件人的任何附件。
• 最好創(chuàng)建列入白名單的應(yīng)用程序列表并監(jiān)視日志文件。