揭秘基于注冊(cè)表隱藏的無(wú)文件攻擊
2016-08-01
發(fā)展
一直以來(lái)�,文件是惡意代碼存在的最常見(jiàn)形式��,安全軟件也通常把磁盤上的文件作為重點(diǎn)檢測(cè)對(duì)象�����。然而�,一旦惡意代碼以無(wú)文件形式存儲(chǔ)在系統(tǒng)中,便難以對(duì)其追蹤�����。
早在十幾年前����,紅色代碼、Slammer蠕蟲(chóng)就利用緩沖區(qū)溢出進(jìn)行攻擊�����,通過(guò)網(wǎng)絡(luò)傳播�����,完全存在于內(nèi)存之中,而不以文件作為載體�。不過(guò),這種基于內(nèi)存的無(wú)文件(Fileless)攻擊一旦進(jìn)程或系統(tǒng)關(guān)閉�,也就不復(fù)存在。
為了實(shí)現(xiàn)攻擊持久化����,攻擊者們找到新的突破口——將惡意軟件實(shí)體隱藏在注冊(cè)表的某個(gè)鍵值里,并通過(guò)各種加密手段���,來(lái)逃脫安全軟件的查殺����。最早使用該技術(shù)的是2014年GData公司發(fā)現(xiàn)的點(diǎn)擊欺詐軟件Poweliks��。隨后���,多款惡意程序甚至APT組織使用這種無(wú)文件持久化攻擊技術(shù)。
攻擊流程
1���、初始樣本執(zhí)行
當(dāng)初始樣本通過(guò)釣魚(yú)郵件�、漏洞或其他方式感染系統(tǒng)后,就會(huì)在Windows注冊(cè)表配置單元中以加密形式寫(xiě)入完整的負(fù)載�,為無(wú)實(shí)體惡意代碼執(zhí)行做準(zhǔn)備。
2����、無(wú)實(shí)體惡意代碼注冊(cè)表執(zhí)行
通常,惡意代碼被創(chuàng)建為幾個(gè)注冊(cè)表子鍵���,每個(gè)鍵值中會(huì)分別存儲(chǔ)腳本代碼或者二進(jìn)制數(shù)據(jù)���,自啟動(dòng)后,通過(guò)層層解密�����,最終執(zhí)行核心代碼���。
a)第一階段鍵值A(chǔ)uto-Start
系統(tǒng)啟動(dòng)后會(huì)自動(dòng)讀取某些特殊的鍵值���,這就為惡意代碼自啟動(dòng)創(chuàng)造了條件。一般通過(guò)在rundll32.exe里運(yùn)行RunHTMLApplication來(lái)執(zhí)行一段JS腳本�。引申來(lái)看,任何能加載MSHTML模塊都是潛在的利用對(duì)象���。詳細(xì)了解該原理可以參考鏈接[1]
b)第二階段鍵值Loader
第一階段的代碼會(huì)用來(lái)解密并執(zhí)行第二階段的數(shù)據(jù)�。在調(diào)研的幾個(gè)案例中,第二階段的數(shù)據(jù)通常會(huì)是一段加密腳本�����,例如PowerShell���、VBScript等���,這里主要是為了執(zhí)行第三階段的數(shù)據(jù)。
c)第三階段鍵值Binary
第三階段的鍵值通常用來(lái)存儲(chǔ)Payloads���。通過(guò)階段二的腳本命令來(lái)將其注入到系統(tǒng)合法進(jìn)程之中�����,實(shí)現(xiàn)無(wú)進(jìn)程ShellCode執(zhí)行。
當(dāng)然�����,并不是所有的無(wú)文件惡意軟件都是按照三個(gè)階段執(zhí)行���,像Poweliks則是將二���、三階段的數(shù)據(jù)存放在一個(gè)子鍵中�,通過(guò)PowerShell腳本解密并執(zhí)行對(duì)應(yīng)模塊的數(shù)據(jù)���,其基本原理和目的是一致的��。一旦惡意代碼被注入內(nèi)存之中�,就會(huì)按照攻擊者最初的設(shè)計(jì)來(lái)實(shí)施惡意行為�,比如連接控制服務(wù)器、收集主機(jī)信息�、接受命令執(zhí)行其他操作等。
代碼隱藏
存儲(chǔ)在注冊(cè)表中的腳本和數(shù)據(jù)經(jīng)過(guò)了精心的加密隱藏��,以達(dá)到讓安全軟件和用戶不可見(jiàn)的目的���。
a)撤銷訪問(wèn)權(quán)限:在訪問(wèn)控制列表(ACL)中撤銷用戶對(duì)注冊(cè)表訪問(wèn)權(quán)限���。
b)添加無(wú)效字符:利用Windows注冊(cè)表編輯器無(wú)法顯示包含無(wú)效字符的注冊(cè)表鍵,在注冊(cè)表鍵值中寫(xiě)入一個(gè)或多個(gè)無(wú)效字符���,用戶訪問(wèn)時(shí)會(huì)顯示錯(cuò)誤消息�����。
結(jié)束語(yǔ)
基于注冊(cè)表的無(wú)文件攻擊利用操作系統(tǒng)特性來(lái)達(dá)到數(shù)據(jù)隱藏的意圖�,并將惡意程序運(yùn)行在合法進(jìn)程之中,這種方式能讓基于文件監(jiān)測(cè)的查殺手段失效�����,為此安全廠商們也積極做出響應(yīng)�,然而隨著技術(shù)的進(jìn)一步發(fā)展,惡意代碼的隱藏方式很可能并不只局限于Windows注冊(cè)表���。攻防對(duì)抗�,永無(wú)止境�����。
