研究人員發(fā)現(xiàn)了一個(gè)惡意攻擊活動(dòng)，攻擊者利用了一種以前從未見過的攻擊技術(shù)在目標(biāo)機(jī)器上悄悄地植入了進(jìn)行無文件攻擊的惡意軟件。

該技術(shù)是將shell代碼直接注入到了Windows事件日志中?？ò退够苋l(fā)布的一份研究報(bào)告顯示，這使得攻擊者可以利用Windows事件日志為惡意的木馬程序做掩護(hù)。

研究人員在2月份發(fā)現(xiàn)了這一攻擊活動(dòng)，并認(rèn)為這個(gè)身份不明的攻擊者在過去的一個(gè)月里一直在進(jìn)行攻擊活動(dòng)。

卡巴斯基全球研究和分析團(tuán)隊(duì)的高級安全研究員寫道，我們認(rèn)為這種以前從未見過的事件日志攻擊技術(shù)是這個(gè)攻擊活動(dòng)中最有創(chuàng)新的部分。

該攻擊活動(dòng)背后的攻擊者使用了一系列的注入工具和反偵測技術(shù)來傳遞惡意軟件的有效載荷。Legezo寫道，攻擊者在活動(dòng)中至少使用了兩種商業(yè)產(chǎn)品，再加上幾種最后階段的RAT和反檢測殼，這個(gè)攻擊活動(dòng)背后的攻擊者相當(dāng)有能力。

進(jìn)行無文件攻擊的惡意軟件隱藏在事件日志內(nèi)

攻擊的第一階段是要將目標(biāo)引誘到一個(gè)合法的網(wǎng)站，并誘使目標(biāo)下載一個(gè)壓縮的.RAR文件，該文件其實(shí)是Cobalt Strike和SilentBreak網(wǎng)絡(luò)滲透測試工具生成的后門文件。這兩個(gè)工具在黑客中很受歡迎，他們用其生成針對目標(biāo)機(jī)器進(jìn)行攻擊的工具。

Cobalt Strike和SilentBreak利用了單獨(dú)的反偵測AES加密器，并用Visual Studio進(jìn)行編譯。

然而Cobalt Strike模塊的數(shù)字證書是各不相同的。根據(jù)卡巴斯基的說法，從包裝器到最后一個(gè)階段總共15個(gè)不同的分階段都有數(shù)字證書進(jìn)行簽署。

接下來，攻擊者就可以利用Cobalt Strike和SilentBreak來向任何進(jìn)程注入代碼，并可以向Windows系統(tǒng)進(jìn)程或可信的應(yīng)用程序（如DLP）注入額外的模塊。

他們說，通過這層感染鏈解密，就可以映射到內(nèi)存中并啟動(dòng)代碼。

由于它可以將惡意軟件注入到系統(tǒng)內(nèi)存內(nèi)，所以我們將其歸類為無文件攻擊。顧名思義，進(jìn)行無文件攻擊的惡意軟件感染目標(biāo)計(jì)算機(jī)時(shí)，它們不會(huì)在本地硬盤上留下任何文件痕跡，這使得它很容易避開傳統(tǒng)的基于簽名進(jìn)行檢測的安全取證工具。攻擊者將其攻擊活動(dòng)隱藏在了計(jì)算機(jī)的隨機(jī)訪問內(nèi)存中，并使用了PowerShell和Windows Management Instrumentation（WMI）等本地Windows工具，其實(shí)這種攻擊技術(shù)并不新鮮。

然而，此次攻擊最有特點(diǎn)的是將包含惡意有效載荷的加密shellcode嵌入到了Windows事件日志中。為了避免被研究人員發(fā)現(xiàn)，該代碼被分成了多塊，每塊8KB，并將其保存在了事件日志中。

Legezo說，投放者不僅將啟動(dòng)器放在了磁盤上進(jìn)行加載，而且還將帶有shellcode的信息寫到了現(xiàn)有的Windows KMS事件日志中。

他繼續(xù)說，被丟棄的wer.dll是一個(gè)加載器，如果shellcode沒有隱藏在Windows事件日志中，就不會(huì)造成任何傷害，該加載器在事件日志中會(huì)搜索類別為0x4142（ASCII中的 "AB"）并且來源為密鑰管理服務(wù)的記錄。如果沒有找到，8KB的shellcode就會(huì)通過ReportEvent() Windows API函數(shù)（lpRawData參數(shù)）寫入到所記錄的信息中。

接下來，一個(gè)啟動(dòng)器會(huì)被投放到Windows任務(wù)目錄中。研究人員寫道，此時(shí)，一個(gè)單獨(dú)的線程會(huì)將上述所有的8KB的碎片組合成一個(gè)完整的shellcode并運(yùn)行它。

研究人員補(bǔ)充說，攻擊活動(dòng)中的事件日志不僅僅能夠存儲(chǔ)shellcode，Dropper模塊還具有修補(bǔ)Windows本地API的功能，這與事件追蹤（ETW）和反惡意軟件掃描接口（AMSI）有關(guān)，這樣可以使得感染過程更加隱蔽。

使用載荷的攻擊者身份尚不明確

利用這種隱蔽的方法，攻擊者可以使用他們的兩個(gè)遠(yuǎn)程訪問特洛伊木馬（RAT）中的任何一個(gè)，其中每一個(gè)都使用了定制的復(fù)雜的代碼以及公開可用的組件。

總的來說，由于他們有能力使用特洛伊木馬向任何進(jìn)程注入代碼，攻擊者可以自由地大量的使用這一功能，向Windows系統(tǒng)進(jìn)程或受信任的應(yīng)用程序注入下一個(gè)模塊。

網(wǎng)絡(luò)空間中的資產(chǎn)歸屬劃分是很有挑戰(zhàn)性的。對此分析師能做的就是深入挖掘攻擊者的戰(zhàn)術(shù)、技術(shù)和應(yīng)用程序（TTPs），以及他們編寫的代碼。如果這些TTPs或代碼與以前的已知行為者的攻擊活動(dòng)相重疊，我們可能會(huì)因此找到攻擊者的身份。

在這種情況下，研究人員的查找過程會(huì)很難的。

這是因?yàn)?，攻擊者除了使用了在Windows事件日志中注入shellcode這一前所未有的技術(shù)外，這次攻擊活動(dòng)還有一個(gè)非常獨(dú)特的組成部分：代碼本身。雖然攻擊者使用了商業(yè)產(chǎn)品來投放惡意文件，但與他們配對的反偵測包裝器和RATs卻是定制的（不過，研究人員警告說，一些我們所認(rèn)為是定制的模塊，如包裝器和最后處理程序，也可能是商業(yè)產(chǎn)品的一部分）。

根據(jù)該報(bào)告，代碼是非常獨(dú)特的，并且與已知的惡意軟件沒有相似之處。由于這個(gè)原因，研究人員目前還沒有確定攻擊者的身份。

如果出現(xiàn)了新的模塊，并且我們將該活動(dòng)與某些行為者能夠聯(lián)系起來，我們將會(huì)相應(yīng)地更新名稱。

本文翻譯自： https://threatpost.com/attackers-use-event-logs-to-hide-fileless-malware/179484/如若轉(zhuǎn)載，請注明原文地址。