无文件形式的恶意软件：了解非恶意软件攻击（2）

 

上篇文章，我们介绍了非恶意软件如何工作？在攻击中使用非文件恶意软件的原因,以及PowerShell,什么是POWERSHELL合法使用？为什么要使用POWERSHELL进行无文件攻击？本篇文章，我们将继续介绍indows管理工具（WMI），以及为什么要使用WMI进行无文件攻击？另外还对.NET框架以及为什么要使用.NET进行无文件攻击都做了介绍。

Windows管理工具（WMI）

Windows Management Instrumentation（WMI）是Microsoft标准，重庆用于访问有关企业环境中设备的管理信息。自Windows NT 4.0和Windows 95以来，WMI已深深嵌入到Windows操作系统中。

WMI的合法用途是什么？

WMI就是关于网络上Windows设备的管理。它可以为你提供有关本地或远程计算机状态的信息，并且可以用于配置安全设置，例如系统属性，用户组，调度进程或禁用错误日志记录。对于需要轻松管理网络上所有计算机的管理员来说，WMI非常有价值-这是企业中经常发生的任务。这种管理对于IT部门的成功至关重要，因为IT部门无法摆脱他们的日常工作。

为什么要使用WMI进行无文件攻击？

WMI最早且最主流的恶意使用目的是在Stuxnet中，震网病毒又名Stuxnet病毒，是一个席卷全球工业界的病毒。震网（Stuxnet）病毒于2010年6月首次被检测出来，是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒，比如核电站，水坝，国家电网。互联网安全专家对此表示担心。作为世界上首个网络“超级破坏性武器”，Stuxnet的计算机病毒已经感染了全球超过 45000个网络，伊朗遭到的攻击最为严重，60%的个人电脑感染了这种病毒。计算机安防专家认为，该病毒是有史以来最高端的“蠕虫”病毒。从那时起，攻击者便经常采用它进行侦察，防病毒检测，代码执行，虚拟机检测，肆意传播，持久性和数据盗窃。

攻击者使用WMI进行无文件攻击的原因很多，包括：

1.默认情况下安装：Windows上默认安装WMI。

2.受信任和频繁使用：系统管理员频繁使用和信任WMI，看到在企业环境中使用WMI并不少见。

3.作为系统运行：任何永久性WMI事件订阅都作为系统运行，从而使它们更具可信度。

4.容易触发：几乎每个操作系统动作都可以触发WMI事件，从而使其与操作系统动作结合使用非常容易。

有关使用WMI进行无文件攻击的深入说明，请阅读“滥用WMI来构建持久，异步和无文件后门程序”。

目前哪些攻击使用了WMI？

1.GandCrab的逃避性感染链：在2019年，Cybereason Nocturnus小组发现并阻止了针对日本跨国公司的运动。该攻击使用恶意宏作为触发来解密有效载荷，并使用WMI对象设置环境变量。这种攻击的最终目标是勒索计算机。目前，GandCrab勒索软件负责全球40％的勒索软件感染。

2.Adobe Worm Faker提供自定义的有效载荷：2019年6月Cybereason发现了一个有趣的恶意软件样本，并将之命名为Adobe Worm Faker，它是一类利用LOLBins进行攻击的蠕虫病毒，能够根据运行的机器动态地改变其行为，以便在每台目标机器上选择最佳的漏洞利用和payload。这种恶意软件潜在的破坏性风险特别高，且能够逃避AV和EDR产品，需要人工检测才能发现一些端倪。该恶意软件根据目标计算机动态更改其行为，该攻击使用WMI方法收集有关目标计算机的信息并收集有关目标计算机上现有杀毒软件产品的信息。攻击的主要目的是窃取客户信息，例如财务数据和密码。

3.Soft Cell攻击：早在2018年，Cybereason的Nocturnus团队发现了针对全球电信提供商的高级持续性攻击，这种攻击的重点是获取特定的高价值目标的数据，并完全接管网络。根据获得的数据，研究人员将这种攻击称为Operation Soft Cell，Operation Soft Cell至少自2017年以来一直活跃。攻击者试图窃取存储在活动目录中的所有数据，以及组织中的每个用户名和密码，以及其他个人身份信息，计费数据，呼叫详细记录，凭据，电子邮件服务器，用户的地理位置。攻击使用WMI命令在网络上横向移动。在被发现之前，这种攻击从电信提供商那里窃取了诸如呼叫详细记录之类的数据。

4.Exploit Kits（以下简称EK）利用新场景：2019年，Cybereason团队在野外观察到了Spelevo漏洞利用工具包。该攻击使用WMI成功执行了其有效载荷，该攻击用于点击欺诈，这是对其勒索软件功能的一次改变。Spelevo类似于RIG和GrandSoft之类的EK，很可能由俄罗斯黑客组织开发，这些工具包每月的“租金”约为1000美元至1500美元。在2019年7月，攻击攻击者将Spelevo?EK和Shade捆绑在一起，能在受害者难以察觉的情况下完成诈骗，这点与Shade勒索软件的主要用途有点不一样。我们之前有研究过，欺诈点击每年都在以50%的速度在增长，是快速而又隐蔽赚钱的一种方法。奇热

.NET框架

.NET是Microsoft提供的一个开放源代码框架或一组通用，常用和可编辑的功能。它具有两个主要组件，开发人员可以一起使用它们来创建应用程序：公共语言运行库和.NET Framework类库。为.NET框架编写的程序在软件环境“通用语言运行时”中执行。.NET于2000年底首次发布于beta版本。此后，它不仅作为框架而且作为构建Web，移动和桌面应用程序，而且还作为更特定的应用程序模型的开放源代码开发人员平台而受到欢迎。

.NET的合法用途是什么？

.NET是Microsoft构建的框架，用于开发各种应用程序。它提供对开发人员经常使用并可以构建的功能基础结构的访问，它与几种编程语言一起使用，包括C＃，VB.NET Shop，C ++和F＃。它可用于创建基于Windows的应用程序，云应用程序，人工智能应用程序甚至跨平台应用程序。

例如，你可以使用.NET来ping网络上的另一个IP地址，或创建一个新进程。.NET可用于分配内存，创建新线程或编写shellcode，这些只是可以在应用程序中使用.NET数万种方法的几个示例。

为什么要使用.NET进行无文件攻击？

.NET是一个令人印象深刻的框架：.NET应用程序可以在多个平台和体系结构上运行。它为开发人员节省了时间，并使他们可以轻松访问核心机器功能。为了使事情更直观，PowerShell构建在.NET Framework之上。没有.NET，就没有PowerShell。但是，它也经常与无PowerShell无关地用于无文件攻击。

攻击者使用.NET进行无文件攻击的原因很多，包括：

1.默认安装：.NET默认安装在Windows上；

2.受信任和经常使用：.NET专门有一个开发人员社区，可将其用于任何数量的受信任和经常使用的应用程序。

3.节省时间：.NET使人们可能希望更轻松地执行许多常见任务，因为该框架具有成千上万的功能，攻击者可以使用这些功能与系统进行交互。

4.易于实施：.NET易于使用，有大量文档可用于使开发人员能够构建合法的应用程序，信息攻击者可以利用这些信息来实现自己的目的。

哪个攻击使用了.NET？

1.针对日本的新Ursnif变体：Cybereason Nocturnus团队发现了具有增强功能的多功能Ursnif木马的新变体。此变体在PowerShell中使用了无文件技术来检查目标计算机上的语言设置。PowerShell命令由使用.NET Framework的恶意宏执行。该攻击从邮件客户端和浏览器中存储的电子邮件凭据中窃取数据，特别是针对银行客户。

2.Sodinokibi：勒索软件的王储：在2019年，Cybereason Nocturnus团队分析了一种新型勒索软件Sodinokibi。此攻击使用PowerShell和.NET加载和执行恶意软件。该攻击用于部署勒索软件，可能对组织和个人造成严重破坏。

宏

在Microsoft Office中，宏用于自动执行常见任务。它们通常在Word文档或Excel电子表格中创建，作为一系列命令组合在一起以自动完成任务。许多宏都是使用Visual Basic for Applications制作的，并且可以由任何人（包括软件开发人员）编写。

合法使用了哪些宏？

宏非常有用，尤其是在Microsoft Excel文档中使用时，可以使用宏将需要重复执行的任何任务自动化。例如，每个月，会计师都需要对所有过期的客户帐户进行报告。宏可以自动执行此任务，以便宏自动列出并标记过期的帐户。这节省了应自动进行的会计时间和精力。此示例经常在企业环境中发生。

为什么使用宏进行无格式攻击？

使用宏进行无文件攻击很方便，因为宏可以轻松地与网络钓鱼活动和社会工程技术相结合，以欺骗用户。在企业中，经常会收到Microsoft Word或Excel文档。对于从公司某人处打开Microsoft Word文档或潜在的潜在客户，大多数人不会三思而后行。

恶意宏还能够执行各种任务，包括运行PowerShell实例。从那里，攻击者可以使用PowerShell执行各种任务，包括下载恶意负载。

攻击者使用宏进行无文件攻击的原因有很多，包括：

1.默认情况下安装：默认情况下，Microsoft Office可以使用宏。但是，默认情况下不启用宏。

2.受信任和频繁使用：企业频繁使用和信任Microsoft Office。在企业环境中接收Microsoft Word或Excel文档并不罕见。

3.易于实现：关于如何编写宏，有大量可用的文档，Microsoft故意使它们易于实现，因此任何人（无论技术背景如何）都可以使用它们。

4.操作系统不可知：宏是在考虑到特定应用程序的情况下实现的，通常是Microsoft Word或Excel，这意味着它们在很大程度上与操作系统无关，并感染运行任何操作系统的计算机。

恶意软件都分别使用了什么样的宏？

1.针对日本的新Ursnif变体：CCybereason Nocturnus团队发现了具有增强功能的多产Ursnif木马的新变体。此变体在PowerShell中使用无文件技术来检查目标计算机上的语言设置。PowerShell命令由使用.NET Framework的恶意宏执行。该攻击从邮件客户端和浏览器中存储的电子邮件凭据中窃取数据，特别是针对银行客户。

2.三重威胁：Emotet部署TrickBot窃取数据并传播Ryuk：2019年，Cybereason Nocturnus团队发现了一种威胁，该威胁影响了使用三种不同主要恶意软件的多个客户：Emotet，TrickBot和Ryuk。此变体使用恶意宏执行下载Emotet有效载荷的PowerShell命令。这种攻击不仅会泄漏一系列敏感数据，还会使Ryuk勒索软件进一步安装，从而造成进一步的破坏。

3.TA505以金融企业为目标：TA505是Proofpoint一致追踪的网络犯罪组织，主要针对全球金融机构进行攻击活动，进行以窃密资金为目的经济犯罪活动，以传播Dridex、Locky等恶意样本而臭名昭著。2019年，Cybereason Nocturnus团队发现了针对金融机构的精心策划的行动。此变体使用恶意宏执行Windows进程以连接到远程命令和控制服务器，这种攻击在用来悄悄窃取尽可能多数据的系统上植入了后门。

4.GandCrab的逃避性感染链：在2019年，Cybereason Nocturnus小组发现并阻止了针对日本跨国公司的运动。该攻击使用恶意宏对有效载荷进行解密，并使用WMI对象设置环境变量。这种攻击最终将目标计算机勒索了。 GandCrab勒索软件负责全球40％的勒索软件感染。

为什么检测和预防无格式恶意软件具有挑战性？

无文件恶意软件取决于企业专业人员日常工作流程中包含的工具，攻击者知道他们可以依靠每台Windows设备上预先安装的一组工具，这些工具对于企业的日常运营至关重要。无文件恶意软件还会减少磁盘上的文件数量，这意味着基于签名的预防和检测方法将无法识别它们。这使得分析人员或安全产品难以识别该工具是用于恶意目的还是常规的日常操作。分析人员必须对自己的环境有深刻的了解，才能识别工作中的LOLBins。

如果你对本文感兴趣，可点此查看详细的分析报告。