《孙子兵法·虚实篇》有云,“兵无常势,水无常形,能因敌变化而取胜者,谓之神”。网络安全,没有一劳永逸的银弹现在人们已经认可,没有100%安全的防御。如果认为可以通过充分的准备,就能应对未来的各种攻击,那真真是心存侥幸,太过轻敌了。“兵无常势,水无常形”,在主机安全防御中也是如此。传统攻击已经转向为高级攻防,边界侧的安全产品很容易就被轻松绕过,仅靠边界侧防御+特征库比对的方式已然无法防御高级攻防。而在端侧,终端形态多样、应用场景多元,尤其是云化背景下,终端的攻击面更多,主机被入侵的不稳定性也变得更大。真正的高手,总是在不断地观察,不断地发现问题、定义问题,再解决问题。无文件攻击,神出鬼没的进攻标配正所谓“道高一尺、魔高一丈”,面对传统的防病毒软件、防火墙、IPS等安全产品,无文件攻击另辟蹊径,根本不会复制PE(Portable Executable)文件到磁盘上,以此来绕过防病毒引擎的检测。在没有恶意文件的前提下,攻击者只需劫持其他合法的系统工具或是利用受信任的应用程序,就可以继续开展本地提权、信息收集、横向移动、利用系统脚本语言加密文件等攻击行动。这所有的一切都在合法的程序中进行,完美躲过了杀毒软件的侦查,甚至连重启电脑清除内存都无法规避。
对于杀软的完美躲避,加上进入目标后的操作多样化,让无文件攻击成为网络安全攻防中攻击者常用的利器之一。虽然无文件攻击具有隐藏性,但并非无迹可寻,无法防御。无文件攻击并不是指不通过任何文件。相反,它必须借助文件或漏洞才能完成攻击,如内嵌到office文档的宏代码、使用powershell加密文件、利用漏洞直接注入到内存执行等行为。用行为检测解锁无文件攻击的多种姿势杰思打造的新一代主机安全响应系统——杰思猎鹰,并不把目标局限在恶意文件,而是着眼整个主机环境。虽然攻击的手段变了,方式变了,甚至攻击的小目标都变了,但是异常行为的本质不会变。从杰思猎鹰在多次攻防实战中的亮眼表现来看,行为检测可以有效阻止无文件攻击。某世界500强能源企业:Web漏洞利用-powershell↓无文件攻击绕过防火墙和杀毒软件,利用web漏洞进入目标主机;↓在目标主机向rundll32.exe注入恶意代码;↓远程加载powershell;↓反弹连接到C&C服务器。在重要攻防演练中,杰思猎鹰及时向防守方发出告警,提示某业务主机存在异常访问及端口扫描可疑行为。同时,通过监测系统命令,及时阻断系统cmd程序调用powershell的异常行为,并一键隔离风险主机,防止威胁在内网的进一步扩散。某大型互联网企业:钓鱼攻击-office漏洞利用↓攻击者通过鱼叉式钓鱼攻击(SpearPhishing),将一段恶意代码嵌入word文档;↓将该文档以附件方式发送给企业HR;↓ HR打开邮件附件word文档;↓利用office漏洞自动加载恶意vbs代码;↓加密文档,实施勒索。整个攻击过程均无文件落地,难以被杀软检测。杰思猎鹰通过Office漏洞检测功能,对入侵过程中利用Office应用本身产生的异常活动进行监测分析,从而实现精准判断,使Office应用漏洞作为无文件攻击手段的攻击方式难以遁形。某新能源汽车企业:灰色工具-注册表持久化↓攻击者构造一个恶意CHM格式帮助文档附加到运维工具;↓发布到第三方网站提供下载服务;↓受害者下载文档,打开该软件的帮助文档;↓触发恶意JScript代码,加载注册表实现持久化;↓注入系统进程与C&C建立连接。杰思猎鹰通过恶意脚本检测功能联动系统注册表监测功能,快速定位触发恶意Jscript代码主机,并实现对恶意代码的实时阻断。同时通过下发响应脚本,清除恶意代码为保证持久化而建立的注册表信息,彻底解决恶意代码入侵建立持久化的检测和防护问题。由于漏洞利用工具的存在,导致了攻击的高效性和易创建性,无文件攻击将会愈演愈烈。无论是恶意文档、恶意脚本,还是与本地程序交互,或是恶意代码注入,这些隐蔽的技术会给主机安全造成太多出其不意的影响。兵来将挡,水来土掩。面对不同类型的无文件攻击,杰思猎鹰聚焦主机安全内部,从系统活动通过不同的安全策略,结合应用程序清单、漏洞利用阻断、攻击向量指标、托管狩猎等多元化的检测与响应,灵活应对无文件攻击。