揭密无文件勒索病毒攻击,思考网络安全新威胁

前言

最近几年基于无文件攻击的网络犯罪活动越来越多,一些网络犯罪团伙开发了各种基于无文件攻击的恶意软件攻击套件,这些恶意软件攻击套件可用于勒索病毒、挖矿病毒、RAT远控、僵尸网络等恶意软件,在过去的几年时间里,无文件感染技术已经成为了终端安全新威胁,同时无文件技术也被广泛应用于各类APT攻击活动。

可以预见,在未来基于无文件攻击的网络犯罪活动依然会持续增加,并将成为主流的网络攻击方式之一,网络攻击犯罪团队可以通过这种方式,在受害者主机上留下最少的犯罪痕迹,受害者主机上无落地的PE恶意软件,恶意软件作者通过采用这种无文件攻击的方式逃避或推迟一些安全厂商安全产品的检测,因为不管是传统的PE杀毒检测引擎,还是现在流行的AI人工智能PE检测引擎针对这类无文件的攻击样本的检测,基本上是没有什么效果的,笔者给大家介绍一些基于无文件攻击的网络犯罪活动中传播勒索病毒的案例,这类型的勒索病毒都是使用无文件类型的攻击方式勒索加密受害者主机上的文件,这些无文件类型的勒索病毒不管是传统的PE文件检测或基于AI的PE文件检测,都是没办法第一时间检测出来的,目前也有一些安全厂商开发了一些基于非PE文件检测的引擎,可以检测一些Office(漏洞)、PDF漏洞、Flash漏洞、JS、VBS、BAT脚本等,不过大多数这类检测引擎效果不太好,非PE类的文件变种实在太多了,新的漏洞利用技术,新的脚本混淆技术层出不穷,无法做到第一时间有效的检测,而且还需要专业的安全分析人员提取相应的特征

GandCrab勒索病毒

GandCrab勒索病毒大家已经非常熟悉了,此勒索病毒是全球危害最大扩散最广的勒索病毒,该勒索病毒此前利用无文件的形式发起网络攻击活动,主要的攻击流程,如下:

GandCrab勒索病毒恶意JS脚本代码,如下所示:

JS脚本运行之后解密调用PowerShell脚本,如下所示:

PowerShell调用执行另外一个加密的PowerShell脚本,加密的PowerShell脚本最后加载GandCrab的核心Payload代码到内存中执行,勒索加密主机

GandCrab勒索病毒PowerShell脚本内容,如下所示:

Sobinokibi勒索病毒

Sodinokibi勒索病毒在国内首次被发现于2019年4月份,2019年5月24日首次在意大利被发现,在意大利被发现使用RDP攻击的方式进行传播感染,这款病毒被称为GandCrab勒索病毒的接班人,在GandCrab勒索病毒运营团队停止更新之后,就马上接管了之前GandCrab的传播渠道,经过近半年的发展,这款勒索病毒使用了多种传播渠道进行传播扩散,包含利用各种WEB漏洞、Flash漏洞、钓鱼邮件、水坑攻击,漏洞利用工具包下载执行脚本等方式,此勒索病毒利用钓鱼邮件发起无文件网络攻击活动,主要的攻击流程,如下:

Sobinokibi勒索病毒恶意JS脚本代码,如下:

JS脚本运行之后调用PowerShell脚本,如下:

PowerShell调用执行另外一个加密的PowerShell脚本,加密的PowerShell脚本最后加载一个恶意加载程序到内存,内存中的恶意加载程序解密出Sobinokibi的核心Payload代码,勒索加密受害者主机

FTCode勒索病毒

FTCode勒索病毒是一款基于PowerShell脚本的勒索病毒,主要通过垃圾邮件进行传播,此勒索病毒攻击流程,如下:

FTCode勒索病毒PowerShell代码,如下所示:

从以上几个无文件勒索病毒攻击案例中,我们可以发现这种类型的网络攻击行业都是没有落地的PE文件的,大多数利用漏洞或恶意非PE脚本加载恶意软件,事实上不仅仅是勒索病毒,笔者发现近期一大批不同类型的恶意软件都会采用这种无文件的攻击形式,这些恶意样本攻击活动都是通过连接相关的服务器网站,读取网站上的内容,然后在内存中解密出代码进行执行,核心的恶意代码功能全部都是直接在内存中运行的,没有落地文件的存在,例如下面两个比较流行的恶意远控样本

NanoCoreRAT远控软件,相应的PowerShell样本加密字符串,如下所示:

在内存中解密出PE文件,加载执行,如下所示:

njRAT远控软件,相应的PowerShell样本加密字符串,如下所示:

上面的字符串解密出来也是一个PE文件,如下所示:

上面两个案例都是通过非PE混淆脚本直接读取远程服务器数据内存加载执行,现在越来越多的恶意软件犯罪团伙,使用这种无文件的攻击方式加载勒索、远控,挖矿、僵尸网络等恶意软件,不像以前释放一个恶意PE文件到受害者机器上执行恶意行为,一些杀毒检测引擎或AI检测引擎如果只是基于PE文件进行扫描的,利用这种无文件的攻击方式,这些杀毒引擎基本是没有效用的,因为主机上没有可执行的PE文件,自然就扫描不到了,同时笔者发现很多流行的恶意软件或最新的恶意软件都在慢慢转变为使用这种无文件的攻击方式进行网络犯罪攻击活动。

从上面的这些案例,我们可以看到现在整个安全环境已经跟十年前的终端安全环境大不一样,十年以前,我们做杀毒软件,主要清除主机上基于PE文件类型的病毒、木马等,十年后的今天,终端安全新威胁不在是单一的PE恶意软件,我们需要更加关注的是安全分析与威胁情报收集能力,这才是未来终端安全的关键,终端安全产品需要有强大的威胁情报能力,不仅仅是单一的杀毒类安全软件或者安全管控类软件。

现在一些公司还在大力投入PE文件的杀毒引擎,做AI检测PE文件,追求检出率,想去通过这种类型的检测引擎识别恶意样本或未知威胁,未来Windows系统上可能更多的新型恶意样本都是非PE类型的样本,通过混淆的JS、VBS脚本直接连接恶意服务器下载解密数据然后内存加载执行,没有PE文件落地了,没有落地的PE文件,这种纯PE的杀毒引擎根本无法检测的。

一些传统引擎可以检测一些非PE的文件,然而非PE的样本变化太快,也没办法做到及时有效的检测,而且需要安全分析人员不断提取相应的规则和特征,像上面几类无文件勒索病毒,如果仅仅依靠基于PE文件的杀毒引擎的方式去检测,基本上很难检测到,随着网络攻击的复杂,杀毒检测引擎已经无法满足现在的安全市场需求了。

未来的安全一定是基于威胁情报的,谁掌握了更多的高级威胁情报信息,谁就能在第一时间阻止安全事件的爆发,但是从哪里可以获取到高级的威胁情报呢?这就需要专业的安全研究人员,时刻不断的跟踪国内外最新的安全动态,黑产组织活动信息,分析研究最新的样本,提取最新的网络安全攻击技术,将这些样本转化为高级威胁情报,将这些高级威胁情报应用到产品中,才能第一时间有效的阻止安全事件的发生。

如果一家专业的网络安全公司的安全研究人员去不去跟踪黑产,深入研究黑产,分析最新的安全技术、攻击手法以及最新的样本,从中获取更多的威胁情报信息,那开发出来的产品,基本是防不住未来真正的黑产活动的,现在网络安全战已经开始了,未来高级安全威胁分析、高级威胁情报的收集将是安全的重点方向,网络安全形势越来越严重,现在一些安全产品的开发人员,对安全其实未不了解,也不会去跟踪最新的安全动态以及安全威胁,对真正的黑产组织活动使用的技术也不清楚,导致开发出来的产品无法满足最新的安全需求,黑产很容易就攻陷进来了,这也就是为啥需要专业的安全研究人员去提高公司的安全产品的安全能力。

网络安全是一场永不停止的战争,十年前终端安全产品基本都是以杀毒软件为主,那个时候安全对抗就是各种基于文件免杀技术的研究,做黑产的每天都是研究各种PE文件免杀技术,免杀技术也从最原始的基本特征码的免杀,发展到后面基于启发式扫描,基本主动防御的免杀,十年后的今天,安全环境已经发生了很大的变化,传统的杀毒引擎或现在一些新型的AI杀毒引擎都没办法满足现在的安全需求了,现在的黑产团伙在研究威胁情报,真正的APT组织一定有一支高级的威胁情报收集团队,他们时刻在关注在全球收集各种可用的威胁情报信息,通过收集到的这些威胁情报信息再去研究开发一些新的攻击技术,并且具有很强的攻击性和目的性。

十年前,我们谈杀毒软件,研究杀毒引擎,十年后,我们需要去研究最新的黑产活动,最新的安全技术,最新的威胁情报,才能做好安全,而不仅仅是依靠一个杀毒引擎,可以说在未来杀毒引擎的作用会越来越小,我们需要更多的去研究黑产,研究威胁情报,从网络安全攻击的整体层面去掌握第一手威胁情报信息,才能更好的阻止安全事件的发生。

传统的杀毒引擎,还有一些AI检测引擎事实上已经无法满足现代化的网络安全战争,杀毒引擎发展到现在已经发展了几十年了,最近几年又开始流行AI检测引擎,通过一些AI算法去检测PE文件,检测未知样本,其实不管是传统的杀毒检测引擎,还是现在的AI引擎都已经都无法满足现在网络安全的需求了,也无法有效的阻止网络安全攻击行为。

威胁情报在最近几年被应用到安全中,国内外都有很多威胁情报平台,如果全球爆发网络战争,威胁情报能力将占据重要的位置,通过跟踪最近一些最新的样本和黑客攻击活动,就会发现全球网络安全战已经开始了,全球网络安全环境也不像十年前的那样了,安全研究人员需要全面的思考研究网络安全攻防技术,要多去关注和研究最新的安全攻击手法,分析最新的攻击样本,深入研究黑产组织活动信息,掌握更多更有效的威胁情报信息,才能第一时间阻止网络安全攻击行为,网络安全攻防是一场永远停止的战争,未来的黑客攻击行为将来越来越有目的性和隐藏性,真正的网络安全攻击行为才刚刚开始,安全研究人员一定要去多研究这些最新的黑客攻击行为,最新的恶意样本利用方式,安全研究人员一定要提高自己的安全研究能力,不断去跟踪分析最新的安全技术以及黑产动态,因为未来要面对的可能是一些技术成熟,经验丰富的有组织有目标的黑产组织团伙,这些黑产团伙拥有很强的安全技术能力,以及威胁情报获取能力,而且这些人是在暗,安全研究人员在明,现在是网络安全发展的大好机会,不管是国家、还是政府、企事业单位,不同的组织机构都比以往更加重视网络安全,同时网络安全事件的不断爆发,专业的安全研究人员一定要做好长期的准备,网络安全攻防需要新的突破,以对应新的安全威胁,现有的安全攻防已经无法满足新的安全威胁,高端成熟的黑客组织可以很轻而易举的攻破,全球主流的APT组织都在不断研究最新的安全攻击技术和方案,获取收集最新的威胁情报信息,以应对网络安全战争。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/738139.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

L1-8 静静的推荐(Python)

天梯赛结束后,某企业的人力资源部希望组委会能推荐一批优秀的学生,这个整理推荐名单的任务就由静静姐负责。企业接受推荐的流程是这样的: 只考虑得分不低于 175 分的学生;一共接受 K 批次的推荐名单;同一批推荐名单上…

Day35:安全开发-JavaEE应用原生反序列化重写方法链条分析触发类类加载

目录 Java-原生使用-序列化&反序列化 Java-安全问题-重写方法&触发方法 Java-安全问题-可控其他类重写方法 思维导图 Java知识点: 功能:数据库操作,文件操作,序列化数据,身份验证,框架开发&…

pandas plot函数:数据可视化的快捷通道

一般来说,我们先用pandas分析数据,然后用matplotlib之类的可视化库来显示分析结果。而pandas库中有一个强大的工具--plot函数,可以使数据可视化变得简单而高效。 1. plot 函数简介 plot函数是pandas中用于数据可视化的一个重要工具&#xff0…

凌鲨本地接口架构

本地API通过监听本地端口,提供http服务,让本地应用可以获取信息和操作凌鲨客户端。 本地API架构 #mermaid-svg-seodZa6VsI4Qc8Cj {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-seodZa6VsI4…

辽宁博学优晨教育:视频剪辑培训的安全正规之路

在当今数字化时代,视频剪辑已成为一项炙手可热的技能。为满足广大学习者的需求,辽宁博学优晨教育推出了一系列专业的视频剪辑培训课程。本文将重点介绍辽宁博学优晨教育的视频剪辑培训如何在保障学员安全和学习效果方面做出了卓越的努力。 一、正规资质&…

Linux操作系统-06-进程与服务管理

使用ps命令查看进程。包括过滤进程信息 使用systemctl命令管理和运行Linux服务 进程(Process):操作系统正在运行的应用程序。任意一个进程,都会消耗CPU和内存资源, 服务(Service)&#xff1a…

Word中解决插入脚注导致的分页位置错误问题

先放一个截图: 上面的截图中,样式为标题3的段落“四、固执的念头”前插入了连续型分节符,并且该分节符的样式为正文,前后的正文段落中有脚注,结果在分页时,标题3段落“四、固执的念头”后的正文段落自动进入…

【JAVA】我和“JAVA“的细水长流,输入输出

🌈个人主页: Aileen_0v0 🔥热门专栏: 华为鸿蒙系统学习|计算机网络|数据结构与算法|MySQL| ​💫个人格言:“没有罗马,那就自己创造罗马~” #mermaid-svg-Ck59fYFNNdpuGmVT {font-family:"trebuchet ms",verdana,arial,sans-serif;f…

JVM-3

HotSpot虚拟机对象 我在网上看了很多相关的文章,发现在创建对象和对象的结构中内容都不太一样,一些关键字也很不同,于是我通过参考《深入理解Java虚拟机》这本书,自己总结了一篇。 1.对象的创建 当JVM收到一条创建对象的字节码…

全面的 DevSecOps 指南:有效保护 CI/CD 管道的关键注意事项

数字化转型时代带来了对更快、更高效、更安全的软件开发流程的需求。DevSecOps:一种将安全实践集成到 DevOps 流程中的理念,旨在将安全性嵌入到开发生命周期的每个阶段 - 从代码编写到生产中的应用程序部署。DevSecOps 的结合可以带来许多好处&#xff0…

交叉编译x264 zlib ffmpeg以及OpenCV等 以及解决交叉编译OpenCV时ffmpeg始终为NO的问题

文章目录 环境编译流程nasm编译x264编译zlib编译libJPEG编译libPNG编译libtiff编译 FFmpeg编译OpenCV编译问题1解决方案 问题2解决方案 总结 环境 系统:Ubutu 18.04交叉编译链:gcc-arm-10.2-2020.11-x86_64-aarch64-none-linux-gnu 我的路径/opt/toolch…

Java零基础入门-Comparable vs Comparator(上)

哈喽,各位小伙伴们好,我是喵手。 今天我要给大家分享一些自己日常学习到的一些知识点,并以文字的形式跟大家一起交流学习,互相学习,才能成长的更快,对吧。 我是一名java开发,所以日常接触到最多…

System是什么?为什么不能直接输出null?

在看学习下面的知识前,得先对java核心类库有个大致的了解,详情可参考链接 java基本概念-扩展点-CSDN博客 1、System 1.1 System是什么? System是一个类,它包含了一些有用的属性和方法。 1.2 System实现的功能 (1&…

【深度学习】换脸新科技,InstantID: Zero-shot Identity-Preserving Generation in Seconds

论文:https://arxiv.org/abs/2401.07519 代码:https://github.com/InstantID/InstantID demo:https://huggingface.co/spaces/InstantX/InstantID 文章目录 1 引言2 相关工作2.1 文本到图像扩散模型2.2 主题驱动的图像生成2.3 保持ID的图像生成 3 方法3.…

zabbix5监控tomcat

zabbix tomcat客户端配置 1、配置tomcat catalina.sh文件 CATALINA_OPTS"$CATALINA_OPTS -Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.port12345 -Dcom.sun.management.jmxremote.authenticatefalse -Dcom.sun.management.jmxremote.sslfalse -Djav…

smart-doc 社区 Committer 晋升公告

我们非常荣幸地宣布,经过 PMC 委员会的提名和讨论,社区成员李星志(GitHub ID: netdied)、陈琪(GitHub ID: chenqi146)和李兵(GitHub ID: abing22333)正式晋升为同程旅行 smart-doc 开…

Vue3全家桶 - Vue3 - 【3】模板语法(指令+修饰符 + v-model语法糖)

一、模板语法 主要还是记录一些指令的使用和vue2的区别;vue3指令导航; 1.1 v-text 和 v-html 指令的区别: v-text: 更新元素的文本内容;v-text 通过设置元素的 textContent 属性来工作,因此它将覆盖元素…

数据结构:静态链表(编程技巧)

链表的元素用数组存储, 用数组的下标模拟指针。 一、理解 如果有些程序设计语言没有指针类型,如何实现链表? 在使用指针类型实现链表时,我们很容易就可以直接在内存中新建一块地址用于创建下一个结点,在逻辑上&#x…

3、设计模式之工厂模式

工厂模式是什么?     工厂模式是一种创建者模式,用于封装和管理对象的创建,屏蔽了大量的创建细节,根据抽象程度不同,主要分为简单工厂模式、工厂方法模式以及抽象工厂模式。 简单工厂模式 看一个具体的需求 看一个…

面向对象(精髓)变继承关系为组和关系(_Decorator模式)

在软件开发中,设计模式是解决常见问题的可重用解决方案。在面向对象编程中,继承和组合是两种常用的代码复用方式。然而,随着软件需求的不断变化,我们需要更灵活的设计方式来应对不断变化的需求。在本文中,我们将讨论从…