檔案掃描程式的加強讓惡意軟體作者選擇跳脫原本傳統惡意軟體的安裝行為。惡意軟體將自己複製到惡意程式碼內所指定的位置,再利用持續性策略(像是加入自動啟動功能以確保自己持續運作)的做法已經不再足夠。檔案掃描程式可以輕易地封鎖和偵測這些威脅。
趨勢科技注意到的一個手法是利用無檔案惡意軟體。跟大多數惡意軟體不同,無檔案惡意軟體將自己隱藏在難以掃描或偵測的位置。無檔案惡意軟體只存在於記憶體中,並直接寫入記憶體而非目標電腦的硬碟上。POWELIKS是一個無檔案惡意軟體的例子,它可以將惡意程式碼隱藏在Windows註冊表中。利用一個傳統惡意軟體將惡意程式碼加入註冊表內。
在2014年8月,POWELIKS 的閃躲技術及使用Windows PowerShell 讓它被視為可能出現在未來攻擊的危險工具。
無檔案感染技術的成功(可以從2014年後期出現的POWELIKS感染高峰看出)讓其他惡意軟體作者也想要跟著仿效。在本文中,我們將討論另一個知名的惡意軟體也具備無檔案感染行為。
Phasebot,源自Solarbot
另一個無檔案惡意軟體的例子是「Phasebot」,趨勢科技發現它出現在販賣惡意軟體和其他惡意線上工具的網站上,被自稱是惡意軟體的創造者加以兜售。我們將 Phasebot偵測為TROJ_PHASE.A。Phasebot 同時具備 rootkit和無檔案執行能力。
趨勢科技注意到這個惡意軟體和Solarbot有著相同的功能,這個舊「Botnet傀儡殭屍網路」程式第一次出現是在2013年底左右。當我們比較販賣這兩個惡意軟體的網站後就可以看得更加清楚。
圖1、比較Solarbot(上)和Phasebot(下)網站
Phasebot可以被視作Solarbot的更新版本。它除了具備跟Solarbot相同的功能外,它還具備一些其他的功能,像是虛擬機器(VM)偵測和外部模組載入。後者讓惡意軟體可以在受感染電腦上新增移除功能。
相較於Solarbot,Phasebot更加強調其隱蔽和閃躲的機制。每次要連到C&C伺服器時,它都會透過隨機密碼來加密其通訊連線。
該惡意軟體被設計用來檢查以下程式是否安裝在受影響系統上:
- .NET Framework 3.5
- Windows PowerShell
圖2、Phasebot查詢註冊表以找到特定程式
這兩個程式都有整合到Windows的現行版本上。確認受影響系統上有這些程式後,Phasebot建立下列註冊機碼來寫入加密過的shell code:
- HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{Bot GUID}
它建立Rc4Encoded32和Rc4Encoded64註冊值用來儲存加密過的32-bit和64-bit的shell code。最後,它建立另一個註冊值JavaScript,用來解密和執行Rc4Encoded32/64的值。
圖3、Rc4Encoded32和Rc4Encoded64註冊表值
如果在系統內沒有發現這些程式,Phasebot會將自己複製到%User Startup%資料夾中。然後hook API來進行user-level rootkit好讓一般使用者無法看見。它hook NtQueryDirectoryFile API以隱藏檔案,hook NtReadVirtualMemory以隱藏病毒程序。
Phasebot可以根據殭屍管理者的指示來動作,如透過formgrabbers來竊取資料,進行分散式阻斷服務(DDoS)攻擊,自我更新,下載並執行檔案及存取網址。
Phasebot和PowerShell
我們會認為Phasebot很有意思是因為它利用了Windows PowerShell,這是正常的Windows內建系統管理工具,被用來閃躲安全軟體的偵測。它使用PowerShell來執行它隱藏在Windows註冊表內的組件。
使用Windows PowerShell也可能有策略上的用意,因為該工具包含在Windows 7及更新作業系統的預設安裝內。因為有越來越多使用者使用Windows 7及更新的版本,就讓網路犯罪份子有了更多的潛在受害者。(而且並非巧合,其針對的.NET Framework 3.5也出現在Windows 7及更新的版本內)。
無檔案惡意軟體的未來
趨勢科技預計會有更多惡意軟體作者很快地採用無檔案概念。而且很有可能並不會侷限在只用Windows註冊表隱藏惡意軟體。他們會利用其他更先進的技術去執行惡意行為而無需將檔案植入到受影響系統上。
無檔案惡意軟體的出現對於那些不熟悉此類病毒感染的使用者來說可能會造成嚴重的威脅。使用者往往被建議去找可疑的檔案或資料夾,而非Windows註冊表這樣被無檔案惡意軟體感染的地方。
無檔案惡意軟體的發展也讓安全廠商面臨了挑戰,特別是那些嚴重依賴於檔案偵測的廠商。安全廠商將不得不加緊腳步,跳脫一般傳統基於檔案的偵測模式,而去研究其他方式,例如行為監控。
因為無檔案惡意軟體很難被偵測,它們也很難移除。就跟rootkit很像,這惡意軟體所在位置讓偵測和移除都比處理一般病毒/惡意軟體更為困難。
趨勢科技的解決方案
無檔案惡意軟體的目的是讓安全解決方案偵測更加困難。為了解決這個問題,趨勢科技的端點解決方案,如趨勢科技PC-cillin雲端版,OfficeScan 和 Worry-Free Business Security都包含行為監控以偵測這類型的惡意軟體;這會偵測惡意行為,並且在惡意行為執行前就先封鎖惡意軟體。這甚至可以在新病毒碼出來前先保護使用者。
使用者需要持續了解惡意軟體作者用來躲避偵測和攻擊受害者的新技術。如果使用者想保護自己對抗最新威脅,傳統做法已經遠遠的不夠。
當然,任何威脅環境的資訊都應該用安全實作來補全。例如,使用者在處理電子郵件、檔案或網址時都要保持謹慎。在打開或點擊之前都要再三確認這些物件是否安全。使用者也可以利用趨勢科技的Site Safety Center來檢查要連上的網站是否安全。
相關檔案的雜湊值:
- 100d0d0286b536951af410116ec9de7bcb27bd8a
- 181a018652de15b862df4ccac4189ced00a4a35e
- 291528630bc5e69a0ea5ab23cd56c13da1780a22
- 3a9ebe71b21209335d094385f8845ec745a12177
- 3cec86976816e62f978572f22dd6692efda6e574
- 46d47ba7ad687527392304813a1ca68669ecfb5e
- 475a182e7ca538a697f76ff8031c2407e1f98824
- 4791067a88333f4b9ad67449152f168a29b4a684
- 52efb07af3a1c05d777000c8af2e2f71ae983041
- 592ac60ee3c3f34d7e77f3ff25a9216c461db169
- 6c6c443afc7b3d385aded4a75df680a62e9f6232
- 6cb74b4e309d80efbe674d3d48376ee1f7e2edda
- 76f934e162405ac4c39bcac2af998b00eaaee756
- 7b5eec8c1e3f08f3a54477a6a81b6bd5e8aa53b2
- 891989a3b78a52da247c8e2c33e88760c16b9113
- 8d54c588b1f199fcef28c4d6eba3c88421476565
- b57288f641cc5f25d74ff45c06a5ff0e1114e627
- bdc2d54e765802dc093a9ec37d53299f800b0b18
- c184bbecee796cbf6f1f200ca37108aaf4397368
- c4d2f6de337dc64be5fd5e09480ac4d6096ee5ed
- d9a0f101bddb7e46e4dcff75ab93a8266b91a618
- fe77578097fb5532a0702cae67a199a73480a218
@原文出處:Without a Trace: Fileless Malware Spotted in the Wild作者:Michael Marcos(威脅回應工程師)
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接