在看Awake产品的时候,涉及到一些网络安全知识。下面就是我整理的网络安全知识(哈哈哈,可能不全哦):)
一. 无文件恶意软件
经过观察分析我们发现,无文件恶意软件通过进驻内存来保持自己隐身,以减少被检测到的机会,保持不被发现的时间越长,就越有可能实现自己的目标。在无文件恶意软件攻击中,系统变得相对干净因而没有很多恶意文件可被检测出来去通知安全管理员。正因如此,无文件恶意软件变得很难防御更不易被分析。
什么是无文件恶意软件?
究竟什么是无文件恶意软件,有一点需要明确,就是无文件恶意软件有时候也会使用文件。最初,无文件恶意软件的确指的是那些不使用本地持久化技术、完全驻留在内存中的恶意代码,但后期这个概念的范围逐渐扩大,现在,将那些依赖文件系统的某些功能以实现恶意代码激活和驻留的恶意软件也包括进来,传统的防毒产品无法识别这种感染。
攻击者为什么使用无文件恶意软件?
首先我们要明白黑客攻击的目标是什么:首先是隐形,尽可能避免被安全产品检测到的能力;再者,就是利用漏洞进行特权升级,使自己能够以管理员的身份访问系统,做任何他们想要的;还有就是信息收集,尽可能收集有关受害者和受害者计算机的数据,用于后续其他攻击;最后,就是持久性,即在系统中保持恶意软件的能力,延长被发现的时间。
要知道,不是每种终端解决方案都直接检查内存,写磁盘的操作会触动防御布网,而让恶意软件仅进入内存则可避免该风险,因此内存是一个理想的藏身之所。此外,PowerShell等工具已经存在于系统中,这为攻击者留下了多个好处,能依靠局域网为生,减少因在受害者主机上部署恶意软件而产生的动静。
无文件恶意软件是如何工作的?
那么,无文件恶意软件如何实现隐身的?早前,McAfee还还归属Intel时曾发表过一份威胁报告,介绍了无文件恶意软件如何删除它在受感染系统磁盘中保存的所有文件,在注册表中保存加密数据,注入代码到正在运行的进程,并使用PowerShell、WindowsManagementInstrumentation和其他技术使其难以被检测以及分析。
注册表中保存数据的方式让恶意软件可在启动时运行而不被用户查看或访问,此时攻击者便有更多的时间利用其恶意软件继续执行攻击。实际上,恶意软件也可能会被检测到,但在分析前大多数反恶意软件产品都很难发现和移除无文件恶意软件。
例如Kovter恶意软件,其通过电子邮件或恶意软件网站进行分发,在本地计算机执行最初的恶意软件攻击后,Kovter会编写JavaScript到注册表,调用同样存储在该注册表中加密的PowerShell脚本,由于它并不会保存文件,且利用Powershell进行隐藏很难被检测到。
无文件恶意软件的威力
近期,俄罗斯至少八台ATM取款机,在一夜之间被窃取了80万美元,黑客只是走向ATM,甚至都没有触碰机器就取走了现金,且在ATM机上找不到任何入侵的痕迹,唯一的‘线索’(甚至称不上线索)是ATM机硬盘上发现的两个包含恶意软件日志的文件,kl.txt和logfile.txt,可以理解为“取款”和“取款成功”。
为此,安全员创建YARA识别规则捕获样本(YARA是一款模式识别工具,帮助研究人员识别恶意软件),攻击银行所用的正是一种隐藏在内存中的无文件病毒,而非传统恶意程序驻足在硬盘中.
实际上,无文件病毒正是利用了ATM机上的合法工具,ATM将这些恶意代码识别为正规软件,之后远程操控发送指令,与此同时黑客等在ATM前将钱取走,当所有现金被取出后,黑客就会“注销”,留下非常少的线索。