搪塞无文件打击,你的主机需要猎鹰掩护!

时间:2022-04-22 22:08:45

近年来,一种被称为无文件打击的渗透形式与日俱增,逐渐引起人们重视。这类打击从2016年初的3%上升到了2018年11月的13%, 并且还在连续增长,知名安适公司Carbon Black对赶过1000名用户(拥有赶过250万个包孕处事器和PC在内的主机)进行分析后发明,几乎每个组织都遭到了无文件打击。平均每3个传染中就有1个是无文件打击造成的。早在2017年4月,黑客通过新型恶意软件 “ATMitch”,以“无文件打击”方法,一夜劫持俄罗斯8台ATM机,窃走80万美元。在本年年初,全球40个国家的140多家包孕银行、电信和当局机构等组织遭到 “ATMitch”无文件打击,传染机构遍布美国、法国、厄瓜多尔、肯尼亚、英国和俄罗斯等国家。在全球经济和网络一体化的时代,中国用户同样不能幸免。据悉,国内54%的公司经历过1次或多次粉碎了数据或根本设施的告成打击,此中77%的打击操作了缝隙或无文件打击。
 
无文件打击并非没有文件
以无文件打击中最常见的一类(无文件挖矿打击)举例:如果用户在点开文档之后,电脑瞬间被卡,反响速度迟缓,不能事情。关机重启之后,电脑却照样没反响,散热风扇山响,CPU资源占用了100%……杀毒软件查不到任何异常……一旦呈现以上情况,用户电脑十有八九是遭到无文件挖矿打击。

无文件挖矿打击并非没有文件根本,只是因为在此类打击中,系统变得相对洁净,传统的防毒产品识别不出,更谈不上及时通知技术人员进行防御了,这就造成了这种打击仿佛没有文件根本的假象。这种无文件恶意打击主要是靠网络的要领,在内存里存上一串恶意代码,没有落地文件,这样一来,杀毒软件就很难发明其踪迹了。
 
搪塞无文件打击,传统安适手段掉灵
任何恶意代码,只要重启电脑,内存就断根。可是重启对无文件打击没有感化。无文件打击凡是给与powershell.exe,cscript.exe,cmd.exe和mshta.exe运行长途脚本,该脚本不落地到本机内,同时将该任务设置为打算任务或者开机启动,重启无效。这些措施都是系统的合法措施,杀毒软件自然无可奈何。无文件打击在告成潜入内存并稳固下来后,便可以为所欲为,或进行挖矿、加密文件进行勒索、连接长途C&C下载更多病毒文件等。一切操纵都是披着合法外衣暗暗进行,不只获得了权限,是合法的,而且也不大,所以几乎不会被杀毒软件发明。
 
无文件打击的流传迅猛
无文件打击的流传极快。以本年4月,杰思安适的某重要用户网内大面积发生发火无文件挖矿打击为例。此次打击的所有模块成果均加载到内存中执行,没有本地落地文件,打击内置两种横向熏染机制,分袂为Mimikatz+WMIExec自动化爆破和MS17-010“永恒之蓝”缝隙打击,堪称火力全开,极易在内网迅猛扩散。从下图,我们可以感应熏染无文件无文件打击是有何等凶猛。

  

搪塞无文件打击,你的主机需要猎鹰掩护!


打击挨次如下:
1.首先,挖矿模块启动,连续进行挖矿。
2.其次,Minikatz模块对目的主机进行SMB爆破,获取NTLMv2数据。
3.然后,WMIExec使用NTLMv2绕过哈希认证,进行长途执行操纵,打击告成则执行shellcode使病原体再复制一份到目的主机并使之运行起来,流程结束。
 
搪塞无文件打击,主机防护是关键
截止4月25日,杰思猎鹰主机安适响应系统在该用户已部署安适探针的1426台主机上,共阻止端口扫描行为24813次,发明端口扫描打击源IP共36个;共阻止暴力破解行为2021585次,发明暴力破解源IP共28个。
 
不得不说,该用户的内网主机经历了一场有惊无险的围攻,最终逢凶化吉,平安无恙。该用户的员工在使用中并没有太多异样觉得,殊不知他们在正常事情的时候,杰思猎鹰主机安适响应系统一直在默默地保驾护航。