作者 John E Dunn
網路攻擊者藉由濫用作業系統中常見的合法管理工具,成功地在 Windows 電腦上躲避偵測。
這是 SophosLabs 2019 威脅報告的重要發現。它追蹤發現了這種手法如何從不起眼的網路犯罪劇本升級成更多網路攻擊的一個共同特點。
在安全領域,將這種手法稱之為「離地攻擊」(“living off the land”) 或 “LoL”,因為它不用下載專用工具。而最受偏好的目標是 PowerShell,這是一個功能強大的命令列命令介面,內建在所有近期的 Windows 電腦中 (即使只有少數使用者聽說過它)。
其他目標還有 Windows Scripting Host (WScript.exe)、Windows Management Instrumentation Command Line (WMIC) 以及常見的外部工具,如 PsExec 和 WinSCP。
這個簡單的策略就使我們難以偵測到攻擊。報告指出,雖然刪除工具是一種選擇,但大多數系統管理員不會這麼做。
PowerShell 也是可以幫助系統管理員管理各種網路的一個組成元件,因此必須存在並啟用,以便系統管理員能夠執行如推送群組政策變更之類的操作。
當然,攻擊者知道這一點,並會毫不客氣地將一系列指令碼和命令介面串接在一起,讓每個指令碼在不同的 Windows 處理序中運作。
根據 SophosLabs 的說法,攻擊一開始可能是執行惡意 JavaScript,接著叫用wscript.exe,最終才會下載一個自訂的 PowerShell 指令碼。系統管理員面對的挑戰:
當包含多個「純文字」指令碼的各種檔案類型,以沒有特定順序且不具可預測性的方式串接時,如何區分電腦的正常操作與惡意軟體感染的異常行為就成了一項難題。
巨集攻擊 2.0
與此同時,攻擊者仍沒有放棄使用變種的 Microsoft Office 巨集攻擊,這是另一種不需要傳統的可執行檔就能發動攻擊的手法。
近年來,諸如在文件中停用巨集或使用預覽模式等保護措施,已經有效減輕了這種攻擊的威力。
不幸的是,攻擊者又利用新方法來說服人們使用巨集建立器工具來停用巨集,這些工具會將 Office、Flash 和其他漏洞打包成一個文件,以便產生更精準的社交工程提示訊息。
更複雜的是,網路犯罪分子已經從老舊的軟體漏洞轉向到更危險和更新的目標 – SophosLabs 對惡意檔案的分析發現,只有 3% 的漏洞利用攻擊鎖定 2017 年之前的漏洞。
由於端點安全產品現在會阻止或監視經常使用的檔案類型,因此犯罪分子偏好使用更特別的檔案類型來發動攻擊,尤其是可以從 Windows 命令介面呼叫的的無害檔案類型,例如 .cmd (命令檔案)、.cpl (主控台)、HTA (Windows 指令碼主機)、LNK (Windows 捷徑) 和 .PIF (程序資訊檔)。
橫向移動
雖然 Microsoft 在 2017 年 5 月 WannaCry 出現 之前就釋出修補檔案,但EternalBlue 漏洞利用攻擊(CVE–2017-0144) 令人驚訝地成為惡意軟體作者的熱門標的。
加密貨幣挖礦軟體一直是 EternalBlue 的愛用者,利用它透過網路橫向移動以感染盡可能多的機器。
有了這些新手法 (Windows LoL 工具、巨集攻擊、新型漏洞利用和加密挖礦),攻擊者會成為的一大挑戰,因為他們常常會使系統管理員不知所措。
諷刺的是,網路安全業界在遏制傳統惡意軟體方面的成功,促使犯罪分子採用了這些更複雜和更深奧的方法。Sophos 技術長 Joe Levy 總結道:
我們認為,最終我們面對的是更少,但更聰明、更強大的對手。
閱讀 SophosLabs 2019 威脅報告中的更多內容。
(本博文為翻譯本,內容以英文原文為準)