丁香婷婷激情俺也去俺来也,吃奶呻吟打开双腿做受视频,婷婷综合久久中文字幕蜜桃三电影,免费无线乱码不卡一二三四

揭秘基于注冊(cè)表隱藏的無(wú)文件攻擊

2016-08-01

發(fā)展

一直以來(lái),文件是惡意代碼存在的最常見(jiàn)形式,安全軟件也通常把磁盤上的文件作為重點(diǎn)檢測(cè)對(duì)象。然而,一旦惡意代碼以無(wú)文件形式存儲(chǔ)在系統(tǒng)中,便難以對(duì)其追蹤。 

早在十幾年前,紅色代碼、Slammer蠕蟲(chóng)就利用緩沖區(qū)溢出進(jìn)行攻擊,通過(guò)網(wǎng)絡(luò)傳播,完全存在于內(nèi)存之中,而不以文件作為載體。不過(guò),這種基于內(nèi)存的無(wú)文件(Fileless)攻擊一旦進(jìn)程或系統(tǒng)關(guān)閉,也就不復(fù)存在。

為了實(shí)現(xiàn)攻擊持久化,攻擊者們找到新的突破口——將惡意軟件實(shí)體隱藏在注冊(cè)表的某個(gè)鍵值里,并通過(guò)各種加密手段,來(lái)逃脫安全軟件的查殺。最早使用該技術(shù)的是2014年GData公司發(fā)現(xiàn)的點(diǎn)擊欺詐軟件Poweliks。隨后,多款惡意程序甚至APT組織使用這種無(wú)文件持久化攻擊技術(shù)。

攻擊流程


1、初始樣本執(zhí)行

當(dāng)初始樣本通過(guò)釣魚(yú)郵件、漏洞或其他方式感染系統(tǒng)后,就會(huì)在Windows注冊(cè)表配置單元中以加密形式寫(xiě)入完整的負(fù)載,為無(wú)實(shí)體惡意代碼執(zhí)行做準(zhǔn)備。

2、無(wú)實(shí)體惡意代碼注冊(cè)表執(zhí)行

通常,惡意代碼被創(chuàng)建為幾個(gè)注冊(cè)表子鍵,每個(gè)鍵值中會(huì)分別存儲(chǔ)腳本代碼或者二進(jìn)制數(shù)據(jù),自啟動(dòng)后,通過(guò)層層解密,最終執(zhí)行核心代碼。

a)第一階段鍵值A(chǔ)uto-Start

系統(tǒng)啟動(dòng)后會(huì)自動(dòng)讀取某些特殊的鍵值,這就為惡意代碼自啟動(dòng)創(chuàng)造了條件。一般通過(guò)在rundll32.exe里運(yùn)行RunHTMLApplication來(lái)執(zhí)行一段JS腳本。引申來(lái)看,任何能加載MSHTML模塊都是潛在的利用對(duì)象。詳細(xì)了解該原理可以參考鏈接[1]

b)第二階段鍵值Loader

第一階段的代碼會(huì)用來(lái)解密并執(zhí)行第二階段的數(shù)據(jù)。在調(diào)研的幾個(gè)案例中,第二階段的數(shù)據(jù)通常會(huì)是一段加密腳本,例如PowerShell、VBScript等,這里主要是為了執(zhí)行第三階段的數(shù)據(jù)。

c)第三階段鍵值Binary

第三階段的鍵值通常用來(lái)存儲(chǔ)Payloads。通過(guò)階段二的腳本命令來(lái)將其注入到系統(tǒng)合法進(jìn)程之中,實(shí)現(xiàn)無(wú)進(jìn)程ShellCode執(zhí)行。

當(dāng)然,并不是所有的無(wú)文件惡意軟件都是按照三個(gè)階段執(zhí)行,像Poweliks則是將二、三階段的數(shù)據(jù)存放在一個(gè)子鍵中,通過(guò)PowerShell腳本解密并執(zhí)行對(duì)應(yīng)模塊的數(shù)據(jù),其基本原理和目的是一致的。一旦惡意代碼被注入內(nèi)存之中,就會(huì)按照攻擊者最初的設(shè)計(jì)來(lái)實(shí)施惡意行為,比如連接控制服務(wù)器、收集主機(jī)信息、接受命令執(zhí)行其他操作等。

代碼隱藏

存儲(chǔ)在注冊(cè)表中的腳本和數(shù)據(jù)經(jīng)過(guò)了精心的加密隱藏,以達(dá)到讓安全軟件和用戶不可見(jiàn)的目的。

a)撤銷訪問(wèn)權(quán)限:在訪問(wèn)控制列表(ACL)中撤銷用戶對(duì)注冊(cè)表訪問(wèn)權(quán)限。

b)添加無(wú)效字符:利用Windows注冊(cè)表編輯器無(wú)法顯示包含無(wú)效字符的注冊(cè)表鍵,在注冊(cè)表鍵值中寫(xiě)入一個(gè)或多個(gè)無(wú)效字符,用戶訪問(wèn)時(shí)會(huì)顯示錯(cuò)誤消息。

結(jié)束語(yǔ)

基于注冊(cè)表的無(wú)文件攻擊利用操作系統(tǒng)特性來(lái)達(dá)到數(shù)據(jù)隱藏的意圖,并將惡意程序運(yùn)行在合法進(jìn)程之中,這種方式能讓基于文件監(jiān)測(cè)的查殺手段失效,為此安全廠商們也積極做出響應(yīng),然而隨著技術(shù)的進(jìn)一步發(fā)展,惡意代碼的隱藏方式很可能并不只局限于Windows注冊(cè)表。攻防對(duì)抗,永無(wú)止境。