前言

無文件攻擊通常包括對 Microsoft Windows 眾多內(nèi)建工具的濫用。這些工具使得攻擊者輕松地從一個階段“跳轉(zhuǎn)”到另一個階段，無需執(zhí)行任何編譯的二進制可執(zhí)行文件，這種攻擊方式被稱為“離地攻擊”。 

什么是離地攻擊?

“離地攻擊”是網(wǎng)絡(luò)犯罪分子用來進行網(wǎng)絡(luò)攻擊的策略之一，一旦攻擊者的惡意代碼能與本地程序進行交互，那么攻擊者就有可能利用系統(tǒng)的原生工具進行下一步攻擊，包括下載附帶的其他惡意代碼，啟動程序，執(zhí)行腳本，竊取數(shù)據(jù)，橫向擴展，維持訪問等等。

[[258762]]

攻擊者為達到這些目的而調(diào)用的工具包括 regsvr32.exe、rundll32.exe、certutil.exe和schtasks.exe。Windows 管理規(guī)范(WMI)，是 Windows 系統(tǒng)內(nèi)建工具，為攻擊者提供了“平地起飛”的絕好機會。WMI 借助運行 wmic.exe 程序和執(zhí)行腳本(如，PowerShell )，使得攻擊者可以操作設(shè)備的絕大部分配置。

這些工具都是系統(tǒng)自帶的、受信任的，所以反惡意軟件技術(shù)也難以偵測和限制。

“離地攻擊”策略利用以下方面：

• 使用兩用工具
• 無文件持久性
• 僅使用內(nèi)存威脅

為什么使用離地攻擊?

攻擊者利用常用工具對目標(biāo)進行攻擊，這就是離地攻擊。使用預(yù)先安裝在目標(biāo)計算機上的工具的攻擊者越來越多。使用無文件威脅、第三方工具或簡單腳本可幫助攻擊者逃避防病毒程序的檢測。

使用什么工具?

離地攻擊廣泛使用的工具包括：

• Mimikatz
• 微軟的PS Exec工具
• Windows Management Instrumentation (WMI)
• Windows Secure Copy
• PowerShell腳本
• VB腳本

攻擊模式

攻擊者直接在內(nèi)存中使用運行簡單腳本和shellcode工具，如PowerShell腳本或VB腳本。

攻擊者利用Mimikatz工具獲得的密碼，并將其與PS Exec一起使用，以橫向移動到另一個系統(tǒng)。

攻擊者使用包含帶有嵌入式惡意宏的Microsoft Office文檔附件的網(wǎng)絡(luò)釣魚電子郵件，誘騙用戶在打開Office文檔附件時啟用宏。

使用系統(tǒng)工具作為后門來繞過身份驗證。

使用列入白名單的合法工具來逃避檢測。

攻擊示例

1.Petya/NotPetya勒索軟件

2018年6月，Ransom.Pety襲擊烏克蘭和其他國家的組織，這種正是利用了離地攻擊的策略。

Petya/ NotPetya勒索軟件使用軟件供應(yīng)鏈攻擊作為其初始感染載體，以破壞軟件計算程序的更新過程。

Petya還在感染過程中使用了系統(tǒng)命令。一旦執(zhí)行，它就會從Mimikatz工具中刪除重新編譯的LSADump版本，該工具用于竊取Windows內(nèi)存中的帳戶憑據(jù)。然后使用被盜憑證將威脅復(fù)制到網(wǎng)絡(luò)的任何計算機。最后使用已刪除的PsExec.exe實例和Windows Management Instrumentation(WMI)命令行工具遠程啟動。

[[258763]]

2.Thrip威脅

2018年，研究人員通過利用離地攻擊的策略，觀察了針對電信提供商、衛(wèi)星和國防公司的網(wǎng)絡(luò)間諜活動----Thrip。在此攻擊活動中，網(wǎng)絡(luò)犯罪分子使用Windows實用程序PsExec來安裝Catchamas信息竊取程序惡意軟件。

[[258764]]

3.Separ惡意軟件會通過離地攻擊策略感染公司

最近，研究人員觀察到一起網(wǎng)絡(luò)釣魚活動，該活動用Separ惡意軟件感染了東南亞、中東和北美的組織。惡意軟件使用非常短的腳本或批處理文件與合法可執(zhí)行文件的組合來逃避檢測。

網(wǎng)絡(luò)釣魚電子郵件包含一個惡意PDF附件，據(jù)稱是一個自解壓可執(zhí)行文件。PDF文件偽裝成虛假報價單、運貨單和設(shè)備規(guī)格詳情。

打開惡意PDF附件后，自解壓程序調(diào)用wscript.exe來運行名為adobel.vbs的Visual Basic腳本(VB腳本)。一旦VB腳本開始運行，它就會執(zhí)行一系列具有各種惡意功能的短批處理腳本。

如何保護自己?

• 為避免此類攻擊，最好監(jiān)控網(wǎng)絡(luò)內(nèi)部兩用工具的使用情況。
• 最好及時更新所有系統(tǒng)、應(yīng)用程序、軟件和操作系統(tǒng)。
• 最好安裝一個強大的防病毒程序。
• 建議使用強密碼并定期輪換密碼。
• 建議在登錄時使用雙因素身份驗證，并在會話完成后注銷。
• 始終建議謹慎使用提示用戶啟用宏的Microsoft Office附件。
• 建議永遠不要打開來自匿名發(fā)件人的任何附件。
• 最好創(chuàng)建列入白名單的應(yīng)用程序列表并監(jiān)視日志文件。