随着攻防双方的技术博弈,流量分析、EDR、蜜罐、白名单等专业监控防护手段被防御方广泛使用。传统的通过文件上传的webshel??l可能需要以文件的形式持续驻留目标服务器的恶意后门方式逐渐失效,攻击难度逐渐增加。0Day/nDAY漏洞攻击、身份欺骗、钓鱼WiFi、鱼叉邮件、水坑攻击等攻击方式也经常被攻防双方用于攻防演练。记忆马的使用场景。内存马,又称无文件马,是一种常见的无文件攻击手段。虽然历史悠久,但在此之前一直没有“流行”过。近年来,攻防演练在攻防演练中大行其道。攻防演练从2016年的几个参赛单位扩大到2020年的数百个参赛单位,记忆马也被越来越多的提及,逐渐成为进攻方的主力。作为“必备武器”,对记忆马的防护也越来越受到重视。什么是记忆马?前面说到内存马是无文件攻击的一种技术手段,所以我们先简单介绍一下无文件攻击。无文件攻击可以有效规避传统安全软件的检测。它们可以在系统内存中远程加载和执行,驻留在注册表中,或滥用常见的白名单工具,例如PowerShell、WindowsManagementInstrumentation(WMI)和PsExec。.无文件攻击技术允许攻击者获得对系统的访问权限,从而启用后续的恶意活动。通过操纵漏洞、合法工具、宏和脚本,攻击者可以破坏系统、提升??权限或在网络中横向传播恶意代码。此外,无文件威胁在执行后不会留下任何痕迹,因此很难检测和删除。Webshel??l内存木马是一种内存木马,将恶意后门程序和木马程序写入内存并执行,从而远程控制Web服务器。针对企业的对外窗口:网站和应用。但是,传统的webshel??l是基于文件类型的。黑客可以利用上传工具或网站漏洞植入木马。不同的是webshel??l内存马是无文件马。中间件进程用于执行某些恶意代码,不会有任何文件落地。给检测带来很大难度。内存攻击者利用软件安全漏洞构造恶意输入,使软件在处理输入数据时产生意外错误,并将输入数据写入内存中某些特定的敏感位置,从而劫持软件的控制流、执行流和传输执行从外部输入的命令代码使目标系统被远程控制,从而实现记忆马的攻击。内存马的攻击原理如果你对内存马有一个概念上的了解,那么你一定知道它的攻击原理,这将有助于你找到解决方案。在介绍内存马的攻击原理之前,先说一下web服务器的工作原理。众所周知,web服务器运行着很多中间件,比如Tomcat、Weblogic等。这些中间件由多个独立的组件组成,包括:Listener、Filter、Servlet。我们以JAVA为例。一个网页请求会被Servlet容器调用并执行,而Filter程序是一个实现了特殊接口的Java类,一般用于请求过滤。当一个请求需要读取、写入或执行内存中的数据时,需要经过Filter的判断和过滤,Filter判断这些请求是否有权限执行这些操作。内存马利用这种机制动态注册一个新的过滤器或者向过滤器中注入恶意的shellcode,使得过滤器允许攻击者访问web服务器内存中的数据。只要有可用的Filter,攻击者就可以进行远程攻击,无论是shellcode的注入过程,还是访问web服务器数据的过程,都会在内存中发生异常行为。另外,由于web服务器连接了网络中的数据库和权限系统,攻击者可以更容易地进行水平渗透,入侵后获取多台主机的权限。而且,无文件记忆马相比于通常的Webshel??l木马还有以下三点难以检测:1.记忆马可以注入多种shellcode和payload(冰蝎加密马、菜刀一句话木马等).),比较短小,容易混淆,加密后的数据无法被WAF等安全产品检测到,是攻击者非常好的隐藏工具。2、内存马只存在于内存中,没有文件登陆。局限于系统层的检测方案几乎完全检测不到。3、Filter本身与应用系统强绑定,是管理和运维难度较高的组件。非企业高层管理人员无法访问到Filter中的代码片段,因此即使察觉到Filter可能被恶意注入,也很难发现具体问题。内存马检测和查杀?当攻击者利用内存马对企业发起攻击时,及时发现和发现是最好的防御手段。目前,有两种有效的记忆马检测方法。第一种是通过企业服务器高级管理员的人工检测。这种人工检测是将内存中的Filters一个一个拆分检测。由于攻击者会对内存马进行混淆处理,因此检测起来非常困难。在要求安全管理员具备高权限、高运维能力、了解底层业务的同时,大量的时间和精力会花在分析和检测上。二是通过监控中间件在内存中的动作来观察恶意shellcode的注入,或者在与中间件交互和执行命令的过程中拦截攻击者。虽然内存马没有文件,难以检测,且流量加密,但内存保护系统仍会通过内存数据访问行为的细粒度检测和数据状态、数据的观察来检测内存马。流状态和内存中的行为。裸露。安信网盾的安信神甲智能内存防护系统可以帮助巡检人员深入内存,检测异常行为,实现更高的检出率和更低的误报率,并在应用层、系统层、硬件层形成三者的有机结合——维保护。避免因病毒窃取和漏洞触发而受到攻击,有效保护客户核心业务不被阻塞,只按预期运行。此外,内存马被检测识别后,首先考虑的是如何对其进行查杀,从根本上解决出现的安全威胁漏洞。方法一:清除内存马中Filter的恶意代码。这种方法比较通用简单,直接适配所有中间件。方法二:模拟中间件注销Filter。这种方法比较复杂,因为每个中间件退出Filter的逻辑都不一样,需要一个一个适配。写在最后在攻防演练中,先进的攻击手段不断涌现,能够更好地帮助红队有组织地发起针对性攻击。类比现实,企业服务器都与外部网络相连,面临的安全问题也越来越普遍。那么,提前采取有效的威胁解决方案就成为企业防御无文件攻击、内存马攻击、漏洞攻击、APT攻击的首要任务。内存保护无疑是最好的保护手段。
