0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

应对无文件攻击的原理和措施

如意 来源:IT168 作者:IT168 2020-07-01 11:05 次阅读

近年来,一种被称为无文件攻击的渗透形式与日俱增,逐渐引起人们重视。这类攻击从2016年初的3%上升到了2018年11月的13%, 并且还在持续增长,知名安全公司Carbon Black对超过1000名用户(拥有超过250万个包括服务器和PC在内的主机)进行分析后发现,几乎每个组织都遭到了无文件攻击。平均每3个感染中就有1个是无文件攻击造成的。早在2017年4月,黑客通过新型恶意软件 “ATMitch”,以“无文件攻击”方式,一夜劫持俄罗斯8台ATM机,窃走80万美元。在今年年初,全球40个国家的140多家包括银行、电信和政府机构等组织遭到 “ATMitch”无文件攻击,感染机构遍布美国、法国、厄瓜多尔、肯尼亚、英国和俄罗斯等国家。在全球经济和网络一体化的时代,中国用户同样不能幸免。据悉,国内54%的公司经历过1次或多次破坏了数据或基础设施的成功攻击,其中77%的攻击利用了漏洞或无文件攻击。

无文件攻击并非没有文件

以无文件攻击中最常见的一类(无文件挖矿攻击)举例:如果用户在点开文档之后,电脑瞬间被卡,反应速度缓慢,不能工作。关机重启之后,电脑却照样没反应,散热风扇山响,CPU资源占用了100%……杀毒软件查不到任何异常……一旦出现以上情况,用户电脑十有八九是遭到无文件挖矿攻击。

无文件挖矿攻击并非没有文件基础,只是因为在此类攻击中,系统变得相对干净,传统的防毒产品识别不出,更谈不上及时通知技术人员进行防御了,这就造成了这种攻击好像没有文件基础的假象。这种无文件恶意攻击主要是靠网络的方法,在内存里存上一串恶意代码,没有落地文件,这样一来,杀毒软件就很难发现其踪迹了。

对付无文件攻击,传统安全手段失灵

任何恶意代码,只要重启电脑,内存就清除。可是重启对无文件攻击没有作用。无文件攻击通常采用powershell.exe,cscript.exe,cmd.exe和mshta.exe运行远程脚本,该脚本不落地到本机内,同时将该任务设置为计划任务或者开机启动,重启无效。这些程序都是系统的合法程序,杀毒软件自然无可奈何。无文件攻击在成功潜入内存并安定下来后,便可以为所欲为,或进行挖矿、加密文件进行勒索、连接远程C&C下载更多病毒文件等。一切操作都是披着合法外衣悄悄进行,不仅获得了权限,是合法的,而且也不大,所以几乎不会被杀毒软件发现。

无文件攻击的传播迅猛

无文件攻击的传播极快。以今年4月,杰思安全的某重要用户网内大面积爆发无文件挖矿攻击为例。这次攻击的所有模块功能均加载到内存中执行,没有本地落地文件,攻击内置两种横向传染机制,分别为Mimikatz+WMIExec自动化爆破和MS17-010“永恒之蓝”漏洞攻击,堪称火力全开,极易在内网迅猛扩散。从下图,我们可以感受无文件无文件攻击是有多么凶猛。

攻击顺序如下:

1.首先,挖矿模块启动,持续进行挖矿。

2.其次,Minikatz模块对目的主机进行SMB爆破,获取NTLMv2数据。

3.然后,WMIExec使用NTLMv2绕过哈希认证,进行远程执行操作,攻击成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来,流程结束。

对付无文件攻击,主机防护是关键

截止4月25日,杰思猎鹰主机安全响应系统在该用户已部署安全探针的1426台主机上,共阻止端口扫描行为24813次,发现端口扫描攻击源IP共36个;共阻止暴力破解行为2021585次,发现暴力破解源IP共28个。

不得不说,该用户的内网主机经历了一场有惊无险的围攻,最终化险为夷,安然无恙。该用户的员工在使用中并没有太多异样感觉,殊不知他们在正常工作的时候,杰思猎鹰主机安全响应系统一直在默默地保驾护航。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3155

    浏览量

    59699
  • 网络攻击
    +关注

    关注

    0

    文章

    331

    浏览量

    23444
  • 网络攻击分析

    关注

    0

    文章

    2

    浏览量

    1062
收藏 人收藏

    评论

    相关推荐

    MCU怎么应对攻击与破解?

    都能提供。即使文件中没有烧写的规格,用低成本的示波器几个小时就可以套出需要的波形。如果微控制器不被特殊通用烧写器所支持,仍然可以通过从制造商购买开发板来获得直接完整的协议。 二、时序攻击(Timing
    发表于 12-21 18:12

    针对非接触式安全微控制器的攻击方式及防范措施

    复存在。因此,这些芯片也需要被保护,以防止对鉴权密钥的非法读取。 总体而言,芯片制造商的目标是采取经过测试和验证的有效防范措施,来应对多方面的威胁。这些威胁主要可被分为三类:故障诱导攻击、物理
    发表于 12-05 09:54

    对高级持久性威胁(APT)有什么应对措施

    高级持久性威胁(APT)的特点是什么?对高级持久性威胁(APT)有什么应对措施
    发表于 05-24 06:40

    示波管常见故障分析及其应对措施

    示波管常见故障分析及其应对措施
    发表于 05-05 11:12 9次下载

    CIO防止或减轻网络攻击措施

    越来越复杂的网络犯罪开始出现在人们的视线中,网络攻击者比以往更具组织性和复杂性。对于企业来说应对网络安全威胁,他们需要负责并改变运营方式。但还是会存在某些脆弱状态,本文将讨论CIO如何应对网络
    发表于 02-11 09:05 935次阅读

    如何应对针对自动驾驶汽车的网络攻击案件

    日本警方计划研究如何应对可能发生的针对自动驾驶汽车的网络攻击案件。
    的头像 发表于 12-27 14:02 3354次阅读

    工业物联网中如何采取措施应对网络攻击

    IIoT正在将一切从风力涡轮机和工厂自动化转变为关键基础设施。但是,在这个智能、互联的世界中,网络攻击的威胁日益增加,而且非常真实。虽然需要建立对此类攻击的防御,但组织本身可能没有开发安全措施的工具
    发表于 08-11 17:01 832次阅读
    工业物联网中如何采取<b class='flag-5'>措施</b><b class='flag-5'>应对</b>网络<b class='flag-5'>攻击</b>

    服务器遭到DDoS攻击应对方法

    DDoS攻击是目前最常见的网络攻击手段。攻击者通常使用客户端/服务器技术将多台计算机组合到攻击平台中,对一个或多个目标发起DDoS攻击,从而
    的头像 发表于 12-02 15:56 3437次阅读

    揭秘LDO的噪音类型及应对措施

    揭秘LDO的噪音类型及应对措施
    发表于 02-09 17:05 7次下载

    DDoS攻击原理 DDoS攻击原理及防护措施

    DDoS攻击原理是什么DDoS攻击原理及防护措施介绍
    发表于 10-20 10:29 1次下载

    那些应对APT攻击的最新技术

    电子发烧友网站提供《那些应对APT攻击的最新技术.pdf》资料免费下载
    发表于 11-10 10:42 0次下载
    那些<b class='flag-5'>应对</b>APT<b class='flag-5'>攻击</b>的最新技术

    MOS管开通过程的米勒效应及应对措施

    MOS管开通过程的米勒效应及应对措施
    的头像 发表于 11-27 17:52 3282次阅读
    MOS管开通过程的米勒效应及<b class='flag-5'>应对</b><b class='flag-5'>措施</b>

    云服务器被攻击应对方法

    当云服务器受到攻击时,采取适当的应对策略是关键,以确保系统的安全和可用性。下面,小编给大家简单总结一下云服务器被攻击应对方法: 1、监控和检测:部署实时监控系统,定期审查日志,以便及时
    的头像 发表于 12-06 17:44 807次阅读

    EMI(电磁干扰):原理、影响与应对措施

    EMI(电磁干扰):原理、影响与应对措施?|深圳比创达电子EMC
    的头像 发表于 03-26 11:22 2283次阅读
    EMI(电磁干扰):原理、影响与<b class='flag-5'>应对</b><b class='flag-5'>措施</b>?

    极限失控的大模型使电力系统面临的跨域攻击风险及应对措施

    分析大规模生成式预训练模型(以下简称为大模型)发生极限失控、使电力系统面临的跨域攻击风险及相关的应对措施,以期引起业内对这一风险的重视、讨论与行动。基于大模型的现状、发展趋势以及它与人工智能反叛之间
    发表于 07-22 12:09 0次下载