曲速未来：无文件恶意软件与SandBlast代理无匹配

区块链安全实验室WF曲速未来提醒：无文件恶意软件攻击正在上升。因此，在这种复杂的攻击形式上已经写了很多文章，因为它们不需要安装任何恶意软件来感染受害者的机器，所以能够避开传统的反病毒解决方案。相反，它们利用每台计算机中存在的漏洞，并使用常用的系统工具(如Windows Management Table(WMI)或PowerShell)将恶意代码注入到通常安全和可信的进程中。

最近在SandBlast Agent上发布的Behavioral Guard功能已被证明非常有效地增加了对无回避文件的恶意软件的检测。简而言之，SandBlast Agent的行为保护是一种行为检测引擎，可检测并修复所有形式的恶意行为，利用取证来有效且唯一地识别未知的恶意软件行为，并准确地将恶意软件归类到其恶意软件系列。这种强大的保护功能可以适应恶意软件随时间的演变，可用于检测和防止无限类型的攻击，包括那些恶意使用合法脚本 工具 的攻击。

自从引入Behavioral Guard以来，然后发现了许多高度回避的无文件攻击。最近的一个案例，在客户的PC上疯狂地捕获，是一个隐藏的无文件有效负载，隐藏在WMI的文件系统内部，只有在特定事件时被Windows系统巧妙地调用并在后台运行，检测到系统启动等。

这是通过创建一个永久的WMI事件消费者对象来完成的，该对象将运行PowerShell，这是一个由Microsoft提供的受信任和签名的进程，已在所有Windows操作系统上可用，并使用内联脚本检测并将Windows凭据上载到公共云计算上的服务器服务。与传统的基于签名的恶意软件不同，此攻击深入到系统中，没有将文件写入磁盘，并且没有在操作系统上运行任何恶意或非法进程。然而，尽管脚本具有混淆性，但我们的行为分析系统有效地检测到了它，有助于检测它。

实际上，攻击者越来越多地使用脚本语言，因为它们比基于文件的全面恶意软件更快，更容易生成。此外，脚本为安全供应商提供了更多困难。

脚本的详细介绍

WINDOWS SCRIPTING概述

PowerShell是命令行的演变 -  DOS shell和脚本环境的组合。它主要服务于系统和网络管理员，便于本地和远程管理任务。管理员将其用于同时处理多个文件的进程，自动执行和调度任务，以及配置Windows组件和服务。它支持复杂的决策制定，并允许访问各种数据源。它甚至可以构建图形用户界面。

PowerShell现在是IT和服务器管理员的基本技能，通常在整个组织中部署maintenance脚本时使用。

那么黑客可以用PowerShell做些什么呢？

攻击者可以像管理员一样使用它：他们可以更改安全策略和代理设置，创建备份，分发软件和工具，创建执行任务，控制远程计算机，访问和控制数据中心等等。

但PowerShell给予他们的远不止于此 - 它充分利用了它。网络环境可用。对于脚本编写者。他可以实现与经验丰富的C＃甚至C ++开发人员相同的功能。它可以实现Win32操作，例如文件操作，网络操作，运行可执行文件的内存注入，加密操作等。这些是其他语言本身不提供的出色的远程管理工具。

PowerShell还允许base 64混淆。攻击者可以将混淆的代码直接写入内存，它将由PowerShell自动解码并从内存中执行，无需单个文件操作。

在过去几年中，Windows PowerShell很少用于攻击。这已发生巨大变化。

恶意软件越来越多地使用Windows PowerShell和WMI。

无档案的恶意软件

在为链中越来越多的节点使用脚本之后，恶意软件开始完全依赖脚本语言。

入口点或渗透仍然在Web级别处理，主要由Java Script处理。这一变化始于侦察阶段，该阶段展示了大量采用WMI和PowerShell等脚本语言。后来，他们还提供持久性，特权升级，横向移动，与C＆C服务器的通信以及数据泄露。

到2015年第三季度，我们的客户受到完全无文件，基于注册表脚本的攻击，如Poweliks，Powesploit，Empire，PowerWarm（Crigent）以及完全无文件的勒索软件CoinVault的攻击。这种现象始于2014年底，但仅在2015年底出现了大规模的比例。

无文件恶意软件测试用例1

在图1中，我们看到了PowerWarm（也称为Crigent）的示例，作为新脚本无文件趋势的示例。

图1.PowerWarm（Crigent）

恶意软件由文档启动，执行a.vbs脚本，攻击中使用的唯一文件。在大多数情况下，此脚本文件不会从光盘执行，它在完全嵌入在文档中的VBA上运行并由MS Office执行。这使得恶意软件与用于渗透的第一个文档完全无文件分开，通常是在网络钓鱼邮件中。

至于PowerShell，我们看到一个带参数的模糊脚本。

这解释为：

这里采取的行动包括：

1. 持久性；

2. 隐藏DNS记录中的通信。

3. 从两个着名的在线匿名项目下载两个额外的组件：Tor网络和Polipo，一个个人网络缓存/代理。它们是从合法存储域下载的（例如DropBox）

4. 更改功能名称并下载新代码

5. 向攻击者发送有关系统的信息。此信息包括：IP地址，国家/地区，城市，邮政编码，操作系统详细信息，语言，域和已安装的Office应用程序。

无文件恶意软件测试用例2

另一个例子是Kovter的演变。这个恶意软件始于2013年，作为假警察通知勒索软件。它使用可执行文件来运行和请求勒索。图4说明了Kovter使用的简单规避技术。恶意软件会创建自己的实例链，最终是last.instance实际执行恶意活动的实例。

图4.Kovter 2013

图5.Kovter 2015年第1季度

2015年中期，使用类似于脚本恶意软件Poweliks使用的技术，出现了新版本的Kovter。

在这个版本中，Kovter启动了一个几乎无文件的注册表驻留版本。

图6.File-Less Kovter2015年第3季度

我们可以看到它只使用注入的Windows二进制文件来执行，这与旧式恶意软件不同，后者具有自己的内置可执行文件。这仅在最后阶段，在引导之后以及来自C＆C服务器的命令的结果中发生。

脚本功能

1.PowerShell和WMI工具及其强大的远程执行选项为对手提供了“内置横向移动”功能。它们取代了PSexec等远程执行工具，PSexec在过去几年中被广泛用于此目的，并且可以通过签名轻松检测到。

2.脚本语言中的多态性非常容易实现。这使恶意软件能够逃避静态签名。

建议：

WF曲速区提醒：创建真实且可操作的自动智能，一方面足够详细，另一方面足够概括，以克服多态性是唯一能够快速反应以阻止大型活动的方法。广告系列拦截需要足够快，以触发其开发的成本评估。

因此，当在野外发现越来越多的无文件攻击时，重要的是组织要了解这些类型的攻击的性质，以及通过传统的反病毒保护检测它们的难度。区块链安全公司WF曲速未来表示：事实上，传统的端点保护对于对这些产品完全抵抗的复杂方法毫无用处，甚至所谓的“下一代防病毒（NGAV）”解决方案也无法识别这些高度规避的攻击。 SandBlast Agent中的行为守卫在上述情况下证明了其目的，并将继续这样做，所有已知和未知的攻击尚待发现。