抵御無文件型惡意軟件攻擊的那些事兒

劉詢

目前，針對企業(yè)環(huán)境的無文件型惡意軟件威脅正在日趨增長。無文件型惡意軟件所使用的代碼不需要駐留在目標Windows設備上，而普通的Windows安裝程序涉及到很多的東西，如：PowerShel、WMI、VB、注冊表鍵以及.NET框架等。但對于無文件型惡意軟件來說，它們在實現(xiàn)目標主機感染時，并不需要通過文件來調(diào)用上述組件。

這個過程通常被稱之為Process Hollowing，在這種機制下，惡意軟件可以使用一個特定進程來作為惡意代碼的存儲容器及分發(fā)機制。近期，F(xiàn)ireEye的研究人員發(fā)現(xiàn)有攻擊者將PowerShell、VB腳本和.NET應用整合進一個代碼包中。

利用PowerShell來實現(xiàn)攻擊已經(jīng)很常見了，而且大家也清楚基于PowerShell的漏洞攻擊殺傷力有多么強大，因為惡意代碼可以直接在PC內(nèi)存中執(zhí)行。此外，PowerShell還可以用于遠程訪問攻擊或繞過應用白名單保護等。

鑒于這類日趨嚴重的安全威脅，安全團隊可以做些什么來保護他們的組織抵御無文件型惡意軟件呢？

確保公司內(nèi)部環(huán)境的安全

為了抵御無文件型惡意軟件的攻擊，首先要確保組織網(wǎng)絡系統(tǒng)內(nèi)的計算機安裝了最新的補丁程序。很多攻擊者會利用舊版本系統(tǒng)中未修復或延遲修復的漏洞，“永恒之藍”漏洞就是一個很好的例子（該漏洞的補丁要先于漏洞利用程序的發(fā)布）。

接下來，要設計一個強有力的安全意識培訓方案。這并不意味著要定期進行安全練習，或偶爾向員工發(fā)送釣魚測試郵件。這里需要制定一套安全操作流程，并且讓員工意識到電子郵件附件的危險性，防止員工無意識地點擊陌生鏈接。因為很多無文件型惡意軟件攻擊都是通過一封簡單的網(wǎng)絡釣魚郵件開始的，因此這樣的安全培訓或操作方案是非常重要的。

最后，安全團隊需要了解Windows內(nèi)置代碼的操作行為，這樣就可以在第一時間發(fā)現(xiàn)異常情況。比如說，如果在/TEMP目錄中發(fā)現(xiàn)了隱藏的PowerShell腳本，那就需要小心了。

更新訪問權(quán)限和特權(quán)賬號

組織應該了解無文件型惡意軟件的攻擊機制，因為就算點擊了一封郵件中的惡意附件，也并不意味著電腦就會立即感染惡意軟件。因為很多惡意軟件會在目標系統(tǒng)所處的網(wǎng)絡環(huán)境中進行橫向滲透，并尋找更加有價值的攻擊目標，比如說域控制器或Web服務器等。為了防止這種情況的發(fā)生，應該對組織內(nèi)的網(wǎng)絡系統(tǒng)以及相應訪問權(quán)限進行仔細劃分，尤其是針對第三方應用程序和用戶進行劃分。

當惡意軟件成功滲透目標組織的網(wǎng)絡系統(tǒng)后，隨著惡意軟件的橫向滲透，攻擊者可以利用PowerShell來實現(xiàn)提權(quán)。比如，攻擊者可以發(fā)送反向DNS請求，枚舉出網(wǎng)絡共享的訪問控制列表，并查找出特定域組的成員。

因此，安全團隊應當遵循“最少權(quán)限”的原則，及時檢查已過期賬戶的訪問權(quán)限，并根據(jù)需要限制某些賬號的特權(quán)。除此之外，組織還要禁用那些不需要的Windows程序，因為并不是每個員工都需要在自己的計算機上運行PowerShell或.NET框架。當然了，也可以移除像SMBv1這樣的遺留協(xié)議，而這類協(xié)議也是WannaCry能夠為非作歹的主要原因。

最后，為了確保不被攻擊者利用MS Office惡意宏來實現(xiàn)攻擊，應該盡可能禁用宏功能，不過這并不是一種通用解決方案，因為很多用戶仍然需要宏功能來完成他們的工作。

抗爭到底

雖然無文件攻擊日益猖獗，但微軟方面并沒有停滯不前。他們已經(jīng)開發(fā)出了一個名為“反惡意軟件掃描接口”的開放接口，而且很多供應商已經(jīng)開始使用它來檢測無文件型惡意軟件攻擊了，尤其是在分析腳本行為時，這個接口的作用就體現(xiàn)得更加明顯了。

此外，任何想要深入了解無文件型攻擊的研究人員都應該去看一看開源項目———AltFS。這是一個完整的無文件型虛擬文件系統(tǒng)，用來演示無文件技術(shù)的工作機制，而且該項目可以直接在Windows或MacOS平臺上搭建使用。

正如大家所看到的那樣，對抗無文件攻擊需要扎扎實實地做好很多細節(jié)工作，并在各種工具與技術(shù)之間進行仔細協(xié)調(diào)。隨著越來越多不可預見的惡意軟件威脅出現(xiàn)，各大組織更應該采取措施來加強自身的安全防御。