2020年无文件病毒攻击分析.docx

>101O1Ijol11。1001o02020年无文件攻击防护分析11OIIlB口'1111101011I.2020庄恶意病毒综述1101(Oi010110101Oo1o10100目录2020年恶意病毒综述01无文件勒索病毒分析03无文件攻击WindOWS平台特定攻击技术无文件攻击1.inUX平台特定攻击技术勒索病毒的无文件攻击技术新趋势05待分析样本类型介绍06SOdinOkibi家族勒索无文件攻击技术分析EWindows平台Phobos家族勒索无文件攻击技术攻击匚WindOWS平台RansomEXX勒索无文件攻击分析口1.inux平台BOtnet无文件攻击分析口1.inux平台无文件攻击勒索病毒的有效解决方案23总结252020年恶意病毒综述20次量公司内网节点被暴露在公网之中，攻击面被人为放大，公司外部链接增多，企业不得不重新考虑内网信息的保护方式。在上述背景之下，2020年威胁趋势也与往年有很大不同。亚信安全威胁情报团队收集了历年的威胁样本数据，并且对威胁样本数据深入分析。从威胁样本数据分析报告来看，我们总结以下几点:1.2020年的攻击造成经济和名誉损失最大的是勒索病毒，图1描述勒索病毒造成的直接损失趋势，2020年上升了50%左右，年总损失高达400亿，平均每个月都会发生一起严重的勒索病毒攻击事件。勒索软件造成的匕接经济损失图1勒索软件历年估算损失2 .病毒软件呈现了多平台的趋势，不光WindOWS勒索病毒呈现井喷趋势，1.inux平台的勒索病毒的数量也逐步呈现指数级增长。3 .病毒攻击方式产生了很大的变化，2020年新增的勒索样本大多数采用无文件攻击技术，据不完全统计，2020年成功入侵的攻击事件中，80%都是通过无文件攻击完成，传统的防病毒工具对此攻击收效甚微。勒索病毒从2017年的WannaCry事件之后，迅速进入我们的视野,在2020年达到新的高度，它们不断变换新的攻击技术，如无文件攻击技术，同时也在不停尝试转换攻击目标，从之前的个人勒索转向企业平台勒索，主要用于企业服务器的1.inUX平台也顺理成章成为了勒索攻击的重要目标。综合上述的数据，以及威胁情报团队的总结报告，本次年报的重心将主要集中在分析勒索病毒在WindoWS平台和UnUX平台下，无文件攻击技术攻击趋势，最后提供有效的安全防御解决方案。数量图2历年勒索病毒样本分布无文件勒索病毒分析工文件攻击介绍什么是无文件攻击。无文件'一词，是在探讨绕过恶意文件检测技术的方法B施生的术语。无文件攻击技术属于一种影响力非常大的安全威胁，攻击者在利用这种技术实施攻击时，大多数不会在目标主机的磁盘上写入任何的恶意PE或者E1.F文件，而是通过各种脚本，例如POWerSheII、VBS脚本、PhP脚本等，因此而得名“无文件攻击二为了更好地应对“无文件攻击二我们必须对样本深刻分析理解无文件攻击技术的底I层实现,才能帮助我们实施更好的防御方案。今年非常著名的FireEye红客武器库泄漏，被攻击时所采用的攻击方式就是无文件攻击，FieEye作为全球领先的安全公司都能被无文件攻击攻陷，这也从侧面反映了该技术的难以被检测，需要被好好分析。无文件攻击WindoWS平台特定攻击技术：恶意文档无文件攻击并非真正的没有任何文件,相反,该攻击方式实际上是会涉及到文档文件。这些恶意文档是被植入特定威胁代码的WOrd文档、PDF文档等。0恶意脚本无文件攻击为了绕开二进制检测方法，故意不将恶意代码编译执行，而是通过脚本行,运例如POWerSheII、JS脚本.VBS脚本等，利用本地白名单程序，达到绕开防病毒检测的目的。©病毒执行体代码混淆无文件攻击非常依赖脚本执行，并且脚本执行体被各种私有的混淆技术改造，即使脚本被收录，专家分析团队大多数也无法回溯其工作方式。(4)无须依赖其他组件无文件攻击非常擅长利用本地环境的各种组件，例如WMlJegSVr32.exe等白名单工具,实现持久化脚本、启动脚本、横向移动攻击等。恶意文档恶意脚本内建工具内存执行图3历年勒索病毒样本分布无文件攻击1.inUX平台特定攻击技术1)通过漏洞进行感染1.inUX下的无文件病毒会通过利用1.inUX系统及其相关软件本身的漏洞进行渗透，包括网络协议本身或是浏览器的FlaSh插件的漏洞。0修改1.inUX进程通常使用PtraCe()等系统调用来修改并使某个正在运行的1.inUX进程处于异常状态，然后通过异常状态实施攻击。®将恶意代码注入内存当恶意软件成功使指定的1.inllX进行处于异常状态后，恶意软件便可以通过将恶意代码注入至该进程的内存空间中，从而避免将恶意代码写到磁盘上。且执行内存中的恶意代码大多数的1.inUX发行版本都预装了一系列的程序软件解释器，如Python,Perl或PhP等。无文件攻击病毒通过利用这些解释器运行注入至内存中的恶意代码。通过将恶意代码放至devshm或runshm文件夹下，它也可以直接将恶意代码当作文件在内存中直接运行。漏洞感染修改1.inUX进程内存执行代码注入图4历年勒索病毒样本分布勒索病毒的无文件攻击技术新趋势从亚信安全威胁情报团队收集的数据分析来看，截止到2020年年底一共获取到的各个家族样本总数是18,158,720个，接近完整的2020年统计总体勒索样本的总和，如图4,我们罗列了样本家族的分布，如图5:勒索家族占比Sodinokibi,GIobeImPoster,Dharma,Phobos,Nemty分别位列第一、二三区五，其中Sodinokibi的样本一共收集了403万个左右，接近15%,GIobeImPoster样本一共收集了290万个左右，接近11%,Dharmal1%,Phobos7%,Nemty6%,这些高占比的病毒家族能够在众多的勒索病毒家族中脱颖而出，大量传播，他们的攻击方式值得我们深入分析，通过重点分析，发现其攻击方式中本质，能够提出更加有效的防御方案。待分析样本类型介绍SOdinOkibi家族勒索无文件攻击技术分析本文中选择的样本包括WindOWS平台五大勒索病毒家族的样本的两大类家族SodinOkibi家族和PhobOS,1.inux平台的RanSOmEXX家族、Botnet家族样本，这些样本在对应平台下的占比比较高，都使用无文件攻击技术作为主要的攻击方式，在各自对应的WindoWS平台和1.inUX平台的具有代表性。WindOWS平台SodinOkibi勒索病毒在国内首次被发现于2019年4月份，2019年5月24日首次在意大利被>,在意大利被发现时，该病毒使用RDP攻击的方式进行传播感染，这款病毒被称为GandCrab勒索病毒的接班人，在GandCrab勒索病毒运营团队停止更新之后，就马上接管了之前GandCrab的传播渠道，经过近一年的发展，这款勒索病毒使用了多种传播渠道进行传播扩散，包含利用各种WEB漏洞、FiaSh漏洞、钓鱼邮件、水坑攻击，漏洞利用工具包下载执行脚本等无文件攻击方式，主要的攻击流程见图6。Q一O潮宽骁取调求访问谪求注入执行</>加比勒索Ea图6SodinOkibi勒索病毒执行流程(1) 无文件攻击方式分析根据亚信安全最新截获的Sodinokibi勒索病毒多个变种样本显示，其利用恶意网站伪装成游戏辅助工具欺骗用户下载。当用户点击下载辅助的工具的链接后，该病毒通过一系列的无文件攻击手段，最终直接在内存中运行，进行传播和勒索。该病毒利用了无文件攻击中多个特征的技术： 内存执行 POWerShelI脚本等执行 多层的脚本间接混淆加密真正的病毒执行体0SOdinOkibi勒索病毒样本分析一旦用户浏览了植入该恶意病毒的网站，点击特定的链接，则触发该病毒执行，该病毒会通过在磁盘中创建白名单文件或者感染白名单文件的无文件攻击方式，防止被防病毒软件查杀，然后该病毒即将磁盘中的重要文件将被加密，加密后的文件扩展名为.qv05z0总的来说，该病毒试图在内存中执行病毒攻击主体或者执行一个多级高模糊PoWerSheIl脚本，试图规避各种防病毒软件和安全解决方案。此外，它使用先进的技术来躲避沙箱，像这样的无文件攻击自2017年以来一直在显著发展，对基于签名和行为安全工具都提出了严峻挑战。在我们的调查中，我们发现了以下信息：tIUlKNrwrttIUlUlWfF>rwnrroc<<cCQflAMl>MtNUir4f*Mt*rw*MHUW*FmE”<r*CMaeM根据进程树关系显示，一个叫WINWORD.EXE的可执行程序打开了一个名为“info_17.07.doc，的文件，然后该文档病毒载体启动了攻击点中的POWerShelI脚本,我们在另一个名为“VolontariDipendentiaddestamentocongiunto8-121.ugli.doc':½Word文档中也发现了相同的被植入脚本的攻击行为，所以我们有理由相信有更多的恶意OffiCe文件实例,他们仅仅具有不同的名称/哈希而已。wyUtVmdfloffoo.e信U3ZD*4m'8*t"s"3ag僮Cy-'ll"lMier*tHM'FfWv*4CW"s(M八CMc'JM9ffe¼>NC40IHC,Mrtcoc'*该勒索病毒被启动后，会通过白名单工具PoWerShelI执行base64编码的命令。这是一种典型的无文件攻击方式，采用各种混淆技术，混淆病毒代码，只有指定的脚本能够解密代码执行，给反病毒引擎造成了极大的检测困难。C:XVlndowsSyOM4VindwsPotrShellVl.epMftell.xYnCXAMCAAlQACcAb9BAMcAj1.rACc1.QBPAElAArACcAagAnAClJUMeIACIUdAAnACkAIAAgAFMAiQeTAFa"81AGeAYAAUjkGutMe9AC4AOPAEeABSAGAPQ9AHRAUMepAE3A80ACUZA81AGYAbAB8FQAZQ9AHUVAftSAeUAQQeUCgAgZAMal>3Ab(MuAkATMM0Aft6NAEUC90ZAH>UM8yAGuAQoBWeMheMFkWweUAGUATOAaf>UTe(UFYAZQeyM(MXQMAOoA29SAGMTQBCAGUcYUO心gAHQJkgBPAGwtWAoAUNAfiMElAZgBhU>gASQe3AYATQYGYAQgAyUMAT81A3AUBJAGMBPAOAe1AECAZ9yMUVQe3AkAbQS"XA9BUDMZAeiAEMABG8ATABlMAaeo8NOMWWeTADC3血£8ANQeFADMMAZAMJaA%W"yAC"063FAVjVAASAMAfUAb*嫉EAeQetMMBgBZAaUZ«6hNaQAMV0eKF3g8MEWm&GtU>ue"FaCeeME"XAewcAUQeGMAANgeEMWWAHOAYgBFj1.EumeHGINweTAaAb0e3AM9AZ00H9A>USWkAUQA1MIAftweUFM