9月29日消息:微软安全博客最新披露目前在欧洲以及美国发生的无文件攻击,这种攻击技术甚至可以绕过微软的安全防御机制。无文件攻击技术算是比较高超的攻击技术因此会给安全防御带来挑战,事实也确实证明这种攻击方式威胁非常大。目前在欧洲以及美国发生的无文件攻击起初就成功绕过微软的防御,直到最近微软才成功捕获该病毒并进行查杀。
什么是无文件攻击技术:
正常情况下恶意软件有主程序包需要加载到用户计算机上运行,既然有加载那么安全软件就可以检测并进行分析。而无文件攻击技术主要指的是病毒主体始终在内存中运行,这意味着攻击者绝对不会将恶意可执行文件写入磁盘。因此对于杀毒软件来说如何检测这种攻击也是相当困难的事情,同时这种无文件攻击技术看起来也在逐渐增多中。
调用合法软件执行恶意操作:
在这次的攻击案例中黑客使用Node.exe以及WinDivert工具 ,这些软件都是Windows平台非常流行的正规软件。攻击者首先将这些工具加载到用户计算机上,由于这些工具都是正规软件因此微软和其他杀毒软件不会进行拦截。接着开始加载经过加密的脚本然后在内存中执行解密,解密后脚本运行并连接黑客控制的服务器加载不同的命令。这些Powershell命令用来禁用Windows Defender 和Windows Update,攻击者估计是担心后续步骤会被检测。到最后真正的恶意软件其实是个JavaScript 脚本 , 攻击者利用该脚本将用户计算机变成代理寻找新的目标计算机。
源头为HTA格式的打包文件:
微软经过溯源后认为用户受到攻击最初来源于HTA格式的文件,HTA是基于HTML的网络应用程序可携带脚本等。最初攻击者似乎是通过网络广告诱导用户加载这类格式的文件,用户下载后可以通过IE浏览器执行这种应用程序。执行后内置的恶意脚本开始连接黑客控制的服务器加载各种工具和命令,然后绕过安全软件的检测悄悄进行运行。也正是如此微软也强调用户最好不要执行HTA格式的文件 , HTA这类技术现在已很少使用因此突然出现肯定有鬼。
微软也是最近才确定这是恶意攻击:
基于WindowsDefender防御技术微软此前已经检测到这类攻击,但当时微软也无法确定这是恶意活动因此放行。直到最近微软观察到同类型的攻击飙升数百倍后才确定这是恶意活动,随后也通过WindowsDefender进行拦截。微软安全部门研究人员表示黑客使用的这种攻击方式让人难以捉摸,尤其是黑客采用的分布式网络架构非常复杂。这也是为什么起初攻击活动在WindowsDefender监视下可以运行,因为按微软策略无法确定安全性的不会拦截。
