研究人员发现了一个恶意活动,攻击者使用一种前所未见的攻击技术悄悄地对目标机器恶意软件进行无文件攻击。该技术是将shell代码直接注入Windows事件日志。根据卡巴斯基周三发布的一份研究报告,这允许攻击者使用Windows事件日志作为恶意特洛伊木马的掩护。研究人员在2月发现了该活动,并认为身份不明的攻击者在过去一个月一直在运行该活动。“我们相信这种前所未见的事件日志攻击技术是这次活动中最具创新性的部分,”卡巴斯基全球研究与分析团队的一位高级安全研究员写道。该活动背后的攻击者使用了一系列注入工具和反检测技术来传递恶意软件负载。Legezo写道,攻击者在该活动中使用了至少两种商业产品,再加上数个末级RAT和反检测壳,本次活动背后的攻击者相当有能力。隐藏在事件日志中的用于无文件攻击的恶意软件攻击的第一阶段是将目标引诱到合法网站并诱使目标下载一个压缩的.RAR文件,该文件实际上是CobaltStrike和SilentBreak网络渗透生成的后门文件测试工具。这两个工具在黑客中很受欢迎,他们使用它们来生成针对目标机器的攻击工具。CobaltStrike和SilentBreak使用单独的反间谍AES加密,并使用VisualStudio编译。但是,CobaltStrike模块的数字证书不同。根据卡巴斯基的说法,从包装器到最终阶段共有15个不同的阶段使用数字证书进行签名。接下来,攻击者可以使用CobaltStrike和SilentBreak向任意进程注入代码,还可以向Windows系统进程或DLP等受信任的应用程序注入额外的模块。他们说通过解密这层感染链,就可以映射到内存中,启动代码。由于它可以将恶意软件注入系统内存,我们将其归类为无文件攻击。顾名思义,进行无文件攻击的恶意软件在感染目标计算机时不会在本地硬盘上留下任何文件痕迹,因此很容易逃避传统的基于签名的安全取证工具的检测。攻击者将他们的活动隐藏在计算机的随机存取存储器中,并使用PowerShell和WindowsManagementInstrumentation(WMI)等本机Windows工具,这种技术并不新鲜。然而,这种攻击最典型的特征是将包含恶意负载的加密shellcode嵌入到Windows事件日志中。为了避免被研究人员检测到,代码被分解成每个8KB的块并保存在事件日志中。Legezo说,植入程序不仅将启动器放在磁盘上进行加载,还将带有shellcode的消息写入现有的WindowsKMS事件日志。他接着说,被丢弃的wer.dll是一个加载程序,如果shellcode没有隐藏在Windows事件日志中,它不会造成任何伤害,它会在其中搜索类0x4142(“ASCII中的AB”)并且源代码是密钥管理服务的记录。如果未找到,则通过ReportEvent()WindowsAPI函数(lpRawData参数)将8KB的shellcode写入记录信息。接下来,一个启动器被放入Windows任务目录。研究人员写道,此时,一个单独的线程将所有上述8KB片段组装成一个完整的shellcode并运行它。研究人员补充说,该活动中的事件日志不仅能够存储shellcode,dropper模块还具有修补Windows原生API的功能,这与事件跟踪(ETW)和反恶意软件扫描接口(AMSI)有关,可以使感染过程更加隐蔽。使用有效载荷的攻击者的身份尚不清楚。使用这种隐蔽的方法,攻击者可以使用他们的两个远程访问木马(RAT)中的任何一个,每个木马都使用自定义的复杂代码以及公开可用的s组件。总的来说,由于他们能够使用特洛伊木马将代码注入任何进程,攻击者可以自由地广泛使用此功能将下一个模块注入Windows系统进程或受信任的应用程序。网络空间中的资产归属具有挑战性。对此,分析师可以做的是深入挖掘攻击者的策略、技术和应用程序(TTP),以及他们编写的代码。如果这些TTP或代码与已知参与者之前的活动重叠,这可能会导致攻击者的身份。在这种情况下,研究人员的搜索过程将很困难。这是因为,除了在Windows事件日志中注入shellcode的前所未有的技术外,攻击者还拥有此活动的一个非常独特的组件:代码本身。虽然攻击者使用商业产品来投放恶意文件,但与它们配对的反侦察包装器和RAT是自定义的(但是,研究人员警告说,我们认为是自定义模块的一些内容,例如包装器和最终处理程序,也可能是商业产品的一部分)。根据报告,该代码非常独特,与已知的恶意软件没有任何相似之处。因此,研究人员尚未确定攻击者的身份。如果出现新模块并且我们能够将活动链接到某些参与者,我们将相应地更新名称。本文翻译自:https://threatpost.com/attackers-use-event-logs-to-hide-fileless-malware/179484/如有转载请注明出处。
