fileless malware技術解析及檢測

Fileless Malware新概念惡意軟體，噩夢已至。本文介紹了Fileless malware的基本概念，主要講解fileless惡意軟體的技術以及如何發現此類fileless惡意軟體。

2017年兩個主要的勒索軟體Petya 和WannaCry都使用了fileless技術。Fileless惡意軟體背後的理念非常簡單，如果設備中已安裝有工具完成攻擊者的目標，這些工具要不要標記為惡意軟體呢？如果攻擊者可以接管進程，在其內存空間中運行代碼，然後用代碼來調用設備中已安裝的工具來完成攻擊，那麼此類攻擊就很難檢測。但是，攻擊者如何能在系統重啟後繼續獲取被黑系統的控制權呢？

Misfox：進入受害者網路的fileless網關

2016年4月，微軟的客戶聯繫到微軟應急響應團隊說受到網路勒索。勒索者揚言如果收不到錢就公布該企業的機密信息。微軟應急響應團隊調查了網路中的設備，識別出目標植入物，並進行了映射。該客戶公司使用的第三方的反病毒產品，簽名也是最新的，但是沒有檢測到惡意軟體。

微軟研究人員發現攻擊者嘗試用勒索軟體來加密文件，但是失敗了。因此，威脅攻擊網路只是一個備選方案。微軟團隊同時發現攻擊者通過兩個不同的通道已經在網路中駐留了至少7個月。

第一個通道是叫做Swrort.A的後門，該後門很容易被反病毒產品檢測到。

第二個通道是一款fileless惡意軟體——Misfox，該惡意軟體有很多特定：

· 不感染設備上的任何文件；

· 不在硬碟上留下痕迹；

· 常見的文件掃描技術無法檢測。

一旦Misfox在內存中運行，就會創建一個註冊表，可以運行一行PowerShell命令；啟動註冊表BLOB中保存的混淆過的PowerShell腳本，混淆過的PowerShell腳本含有反射PE載入器，可以載入從註冊表中載入Base64編碼的PE文件。

Misfox不需要任何可執行文件，但是註冊表中的腳本可以確保惡意軟體的長期駐留。

Fileless技術

攻擊者可以用一些fileless技術讓惡意軟體植入物靜默並可以避免被檢測到。這些技術包括：

反射DLL注入

反射DLL注入是手動把惡意的DLLs載入到進程的內存中，而dll不需要在硬碟中。惡意的DLL可以位於攻擊者控制的遠程機器中，並通過網路通道傳播，或嵌入宏、腳本等中。

內存利用

攻擊者利用fileless內存利用在受害者機器中遠程運行任意代碼。比如UIWIX威脅就使用了EternalBlue（永恆之藍）漏洞利用。

基於腳本的技術

腳本語言是傳播只在內存中運行的payload的有效方法。腳本文件可以嵌入編碼的shellcode或者二進位文件，這些文件可以運行時解密並通過.NET框架對象執行，或直接通過API不需要在硬碟中寫操作。腳本還可以隱藏在註冊表中，從網路流中讀取，或者在命令行中運行，這些方法都是不需要在硬碟中寫操作的。

WMI persistence

研究人員同時發現攻擊者使用Windows Management Instrumentation (WMI)庫來儲存惡意腳本，之後用WMI binding周期性引用。

Fileless 惡意軟體發現技術

Windows Defender AV能夠攔截fileless惡意軟體：

使用AMSI檢測腳本技術。即使多層混淆也可以監控PowerShell和其他腳本類型。

通過掃描WMI庫來檢測和補救WMI persistence。

通過增強型的內存掃描技術和行為監控來檢測反射性DLL注入。

Windows Defender Exploit Guard可以通過下面的技術來阻止無文件惡意軟體的攻擊：

用hypervisor code integrity(HVCI)技術解決kernel內存利用漏洞，這讓利用kernel模式軟體漏洞來注入惡意代碼變地很難。

用利用保護模塊（Exploit protection module）來解決用戶模式內存利用的問題，這些利用緩解的辦法可以用於操作系統級和單個應用級。

用攻擊面減少規則（Attack Surface Reduction ，ASR）和其他的技術一起來解決基於腳本的fileless技術。

更多微軟產品關於fileless惡意軟體檢測的內容參見https://cloudblogs.microsoft.com/microsoftsecure/2018/01/24/now-you-see-me-exposing-fileless-malware/?utm_source=securitydailynews.com

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！