首页
社区
课程
招聘
[原创]揭密无文件勒索病毒攻击,思考网络安全新威胁
发表于: 2019-11-3 22:37 3569

[原创]揭密无文件勒索病毒攻击,思考网络安全新威胁

2019-11-3 22:37
3569
最近几年基于无文件攻击的网络犯罪活动越来越多,一些网络犯罪团伙开发了各种基于无文件攻击的恶意软件攻击套件,这些恶意软件攻击套件可用于勒索病毒、挖矿病毒、RAT远控、僵尸网络等恶意软件,在过去的几年时间里,无文件感染技术已经成为了终端安全新威胁,同时无文件技术也被广泛应用于各类APT攻击活动

可以预见,在未来基于无文件攻击的网络犯罪活动依然会持续增加,并将成为主流的网络攻击方式之一,网络攻击犯罪团队可以通过这种方式,在受害者主机上留下最少的犯罪痕迹,受害者主机上无落地的PE恶意软件,恶意软件作者通过采用这种无文件攻击的方式逃避或推迟一些安全厂商安全产品的检测,因为不管是传统的PE杀毒检测引擎,还是现在流行的AI人工智能PE检测引擎针对这类无文件的攻击样本的检测,基本上是没有什么效果的,笔者给大家介绍一些基于无文件攻击的网络犯罪活动中传播勒索病毒的案例,这类型的勒索病毒都是使用无文件类型的攻击方式勒索加密受害者主机上的文件,这些无文件类型的勒索病毒不管是传统的PE文件检测或基于AI的PE文件检测,都是没办法第一时间检测出来的,目前也有一些安全厂商开发了一些基于非PE文件检测的引擎,可以检测一些Office(漏洞)、PDF漏洞、Flash漏洞、JS、VBS、BAT脚本等,不过大多数这类检测引擎效果不太好,非PE类的文件变种实在太多了,新的漏洞利用技术,新的脚本混淆技术层出不穷,无法做到第一时间有效的检测,而且还需要专业的安全分析人员提取相应的特征


GandCrab勒索病毒

GandCrab勒索病毒大家已经非常熟悉了,此勒索病毒是全球危害最大扩散最广的勒索病毒,该勒索病毒此前利用无文件的形式发起网络攻击活动,主要的攻击流程,如下:


GandCrab勒索病毒恶意JS脚本代码,如下所示:

JS脚本运行之后解密调用PowerShell脚本,如下所示:

PowerShell调用执行另外一个加密的PowerShell脚本,加密的PowerShell脚本最后加载GandCrab的核心Payload代码到内存中执行,勒索加密主机

GandCrab勒索病毒PowerShell脚本内容,如下所示:



Sobinokibi勒索病毒

Sodinokibi勒索病毒在国内首次被发现于2019年4月份,2019年5月24日首次在意大利被发现,在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人,在GandCrab勒索病毒运营团队停止更新之后,就马上接管了之前GandCrab的传播渠道,经过近半年的发展,这款勒索病毒使用了多种传播渠道进行传播扩散,包含利用各种WEB漏洞、Flash漏洞、钓鱼邮件、水坑攻击,漏洞利用工具包下载执行脚本等方式,此勒索病毒利用钓鱼邮件发起无文件网络攻击活动,主要的攻击流程,如下:


Sobinokibi勒索病毒恶意JS脚本代码,如下:

JS脚本运行之后调用PowerShell脚本,如下:

PowerShell调用执行另外一个加密的PowerShell脚本,加密的PowerShell脚本最后加载一个恶意加载程序到内存,内存中的恶意加载程序解密出Sobinokibi的核心Payload代码,勒索加密受害者主机


FTCode勒索病毒

FTCode勒索病毒是一款基于PowerShell脚本的勒索病毒,主要通过垃圾邮件进行传播,此勒索病毒攻击流程,如下:


FTCode勒索病毒PowerShell代码,如下所示:

从以上几个无文件勒索病毒攻击案例中,我们可以发现这种类型的网络攻击行业都是没有落地的PE文件的,大多数利用漏洞或恶意非PE脚本加载恶意软件,事实上不仅仅是勒索病毒,笔者发现近期一大批不同类型的恶意软件都会采用这种无文件的攻击形式,这些恶意样本攻击活动都是通过连接相关的服务器网站,读取网站上的内容,然后在内存中解密出代码进行执行,核心的恶意代码功能全部都是直接在内存中运行的,没有落地文件的存在,例如下面两个比较流行的恶意远控样本


NanoCoreRAT远控软件,相应的PowerShell样本加密字符串,如下所示:


在内存中解密出PE文件,加载执行,如下所示:

njRAT远控软件,相应的PowerShell样本加密字符串,如下所示:

上面的字符串解密出来也是一个PE文件,如下所示:

上面两个案例都是通过非PE混淆脚本直接读取远程服务器数据内存加载执行,现在越来越多的恶意软件犯罪团伙,使用这种无文件的攻击方式加载勒索、远控,挖矿、僵尸网络等恶意软件,不像以前释放一个恶意PE文件到受害者机器上执行恶意行为,一些杀毒检测引擎或AI检测引擎如果只是基于PE文件进行扫描的,利用这种无文件的攻击方式,这些杀毒引擎基本是没有效用的,因为主机上没有可执行的PE文件,自然就扫描不到了,同时笔者发现很多流行的恶意软件或最新的恶意软件都在慢慢转变为使用这种无文件的攻击方式进行网络犯罪攻击活动


从上面的这些案例,我们可以看到现在整个安全环境已经跟十年前的终端安全环境大不一样,十年以前,我们做杀毒软件,主要清除主机上基于PE文件类型的病毒、木马等,十年后的今天,终端安全新威胁不在是单一的PE恶意软件,我们需要更加关注的是安全分析与威胁情报收集能力,这才是未来终端安全的关键,终端安全产品需要有强大的威胁情报能力,不仅仅是单一的杀毒类安全软件或者安全管控类软件

现在一些公司还在大力投入PE文件的杀毒引擎,做AI检测PE文件,追求检出率,想去通过这种类型的检测引擎识别恶意样本或未知威胁,未来Windows系统上可能更多的新型恶意样本都是非PE类型的样本,通过混淆的JS、VBS脚本直接连接恶意服务器下载解密数据然后内存加载执行,没有PE文件落地了,没有落地的PE文件,这种纯PE的杀毒引擎根本无法检测的

一些传统引擎可以检测一些非PE的文件,然而非PE的样本变化太快,也没办法做到及时有效的检测,而且需要安全分析人员不断提取相应的规则和特征,像上面几类无文件勒索病毒,如果仅仅依靠基于PE文件的杀毒引擎的方式去检测,基本上很难检测到,随着网络攻击的复杂,杀毒检测引擎已经无法满足现在的安全市场需求了

未来的安全一定是基于威胁情报的,谁掌握了更多的高级威胁情报信息,谁就能在第一时间阻止安全事件的爆发,但是从哪里可以获取到高级的威胁情报呢?这就需要专业的安全研究人员,时刻不断的跟踪国内外最新的安全动态,黑产组织活动信息,分析研究最新的样本,提取最新的网络安全攻击技术,将这些样本转化为高级威胁情报,将这些高级威胁情报应用到产品中,才能第一时间有效的阻止安全事件的发生


如果一家专业的网络安全公司的安全研究人员去不去跟踪黑产,深入研究黑产,分析最新的安全技术、攻击手法以及最新的样本,从中获取更多的威胁情报信息,那开发出来的产品,基本是防不住未来真正的黑产活动的,现在网络安全战已经开始了,未来高级安全威胁分析、高级威胁情报的收集将是安全的重点方向,网络安全形势越来越严重,现在一些安全产品的开发人员,对安全其实未不了解,也不会去跟踪最新的安全动态以及安全威胁,对真正的黑产组织活动使用的技术也不清楚,导致开发出来的产品无法满足最新的安全需求,黑产很容易就攻陷进来了,这也就是为啥需要专业的安全研究人员去提高公司的安全产品的安全能力

网络安全是一场永不停止的战争,十年前终端安全产品基本都是以杀毒软件为主,那个时候安全对抗就是各种基于文件免杀技术的研究,做黑产的每天都是研究各种PE文件免杀技术,免杀技术也从最原始的基本特征码的免杀,发展到后面基于启发式扫描,基本主动防御的免杀,十年后的今天,安全环境已经发生了很大的变化,传统的杀毒引擎或现在一些新型的AI杀毒引擎都没办法满足现在的安全需求了,现在的黑产团伙在研究威胁情报,真正的APT组织一定有一支高级的威胁情报收集团队,他们时刻在关注在全球收集各种可用的威胁情报信息,通过收集到的这些威胁情报信息再去研究开发一些新的攻击技术,并且具有很强的攻击性和目的性

十年前,我们谈杀毒软件,研究杀毒引擎,十年后,我们需要去研究最新的黑产活动,最新的安全技术,最新的威胁情报,才能做好安全,而不仅仅是依靠一个杀毒引擎,可以说在未来杀毒引擎的作用会越来越小,我们需要更多的去研究黑产,研究威胁情报,从网络安全攻击的整体层面去掌握第一手威胁情报信息,才能更好的阻止安全事件的发生

传统的杀毒引擎,还有一些AI检测引擎事实上已经无法满足现代化的网络安全战争,杀毒引擎发展到现在已经发展了几十年了,最近几年又开始流行AI检测引擎,通过一些AI算法去检测PE文件,检测未知样本,其实不管是传统的杀毒检测引擎,还是现在的AI引擎都已经都无法满足现在网络安全的需求了,也无法有效的阻止网络安全攻击行为

威胁情报在最近几年被应用到安全中,国内外都有很多威胁情报平台,如果全球爆发网络战争,威胁情报能力将占据重要的位置,通过跟踪最近一些最新的样本和黑客攻击活动,就会发现全球网络安全战已经开始了,全球网络安全环境也不像十年前的那样了,安全研究人员需要全面的思考研究网络安全攻防技术,要多去关注和研究最新的安全攻击手法,分析最新的攻击样本,深入研究黑产组织活动信息,掌握更多更有效的威胁情报信息,才能第一时间阻止网络安全攻击行为,网络安全攻防是一场永远停止的战争,未来的黑客攻击行为将来越来越有目的性和隐藏性,真正的网络安全攻击行为才刚刚开始,安全研究人员一定要去多研究这些最新的黑客攻击行为,最新的恶意样本利用方式,安全研究人员一定要提高自己的安全研究能力,不断去跟踪分析最新的安全技术以及黑产动态,因为未来要面对的可能是一些技术成熟,经验丰富的有组织有目标的黑产组织团伙,这些黑产团伙拥有很强的安全技术能力,以及威胁情报获取能力,而且这些人是在暗,安全研究人员在明,现在是网络安全发展的大好机会,不管是国家、还是政府、企事业单位,不同的组织机构都比以往更加重视网络安全,同时网络安全事件的不断爆发,专业的安全研究人员一定要做好长期的准备,网络安全攻防需要新的突破,以对应新的安全威胁,现有的安全攻防已经无法满足新的安全威胁,高端成熟的黑客组织可以很轻而易举的攻破,全球主流的APT组织都在不断研究最新的安全攻击技术和方案,获取收集最新的威胁情报信息,以应对网络安全战争


最后欢迎大家关注此微信公众号,专注全球恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息


如果对恶意样本分析技术感兴趣,可以加入知识星球进行学习,加入星球的朋友可以加入《安全分析与研究》专业群,与群里的各位安全研究员一起交流,讨论,研究各种安全技术,让你在学习成长的路上多一个伙伴,共同学习,共同成长


安全的路很长,贵在坚持......



[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (9)
雪    币: 3496
活跃值: (749)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
js脚本是啥?能够像vbs一样脱离浏览器运行,如何调用power shell?
2019-11-4 05:38
0
雪    币: 3496
活跃值: (749)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
js脚本是啥?能够像vbs一样脱离浏览器运行,如何调用power shell?
2019-11-4 05:38
0
雪    币: 2151
活跃值: (12654)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
4
kxzpy js脚本是啥?能够像vbs一样脱离浏览器运行,如何调用power shell?
js脚本是需要依赖浏览器解析,一般会是一个网页加载js病毒。另一种通过漏洞或者可执行文件,内存中调用第三方接口加载js。如果受害者电脑有node.js等类似的环境,病毒也是可以单独运行。所以说一般病毒投放之前都要做好信息收集,才能保证病毒可靠运行。
最后于 2019-11-4 06:04 被一半人生编辑 ,原因:
2019-11-4 06:03
0
雪    币: 2250
活跃值: (180)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
一半人生 kxzpy js脚本是啥?能够像vbs一样脱离浏览器运行,如何调用power shell? js脚本是需要依赖浏览器解析,一般会是一个网页加载js病毒。 ...
WSH了解一下 运行JS脚本不一定需要浏览器
2019-11-4 11:13
1
雪    币: 2151
活跃值: (12654)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
6
岁月别催 WSH了解一下 运行JS脚本不一定需要浏览器
嗯嗯,WSH有环境就好,依赖于 wscript.exe与cscript.exe系统组件。
最后于 2019-11-4 13:51 被一半人生编辑 ,原因:
2019-11-4 13:40
1
雪    币: 2250
活跃值: (180)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
一半人生 岁月别催 WSH了解一下 运行JS脚本不一定需要浏览器 嗯嗯,WSH有环境就好,依赖于 wscript.exe与cscript.exe系统组件。
win98开始就自带了
2019-11-4 14:23
0
雪    币: 2151
活跃值: (12654)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
8
岁月别催 win98开始就自带了
对的,办公与正常的环境下电脑一定会有的,多数内网环境下不会有Windows Scripting Host环境包括PowerShell 2.0, 安装时候都已经进行了卸载与注册表禁用, 我自己电脑也卸载了WSH,但通常会有环境去解析,运行的业务程序需要格外的组件来支撑服务正常运行(包含解析js的环境), 大佬这个话题就此打住了呢
最后于 2019-11-4 15:42 被一半人生编辑 ,原因:
2019-11-4 15:24
0
雪    币: 3496
活跃值: (749)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
岁月别催 WSH了解一下 运行JS脚本不一定需要浏览器
谢谢分享,的确是wsh
2019-11-5 07:38
0
雪    币: 3496
活跃值: (749)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
一半人生 岁月别催 WSH了解一下 运行JS脚本不一定需要浏览器 嗯嗯,WSH有环境就好,依赖于 wscript.exe与cscript.exe系统组件。
谢谢分享,以前只知道可以执行.vbs,现在知道.js也能执行的
2019-11-5 07:39
0
游客
登录 | 注册 方可回帖
返回
//