LotL攻擊(Living off the Land–type attack)已經(jīng)不算新鮮事了,它指的是利用合法程序或合法的操作系統(tǒng)功能發(fā)起的惡意行為����。然而,隨著網(wǎng)絡(luò)專家對易受LotL攻擊的現(xiàn)代軟件嚴(yán)加管控��,不法分子只能另覓新徑�����。在2021年度RSA大會(huì)上�����,研究員 Jean-Ian Boutin 和 Zuzana Hromcova 提到了網(wǎng)絡(luò)罪犯的新招數(shù)��,即利用合法的 Windows XP 系統(tǒng)組件和程序?qū)嵤┕簟?/span>
█ LotL攻擊與易受攻擊的 Windows XP 組件
通過對間諜軟件 InvisiMole 幕后黑手的研究��,Boutin 和 Hromcova 指出,InvisiMole 工具通過使用早已過時(shí)的操作系統(tǒng)下的文件來隱藏自己的行蹤��。研究人員將這類文件命名為 VULNBins�,與 LOLBins 這一名稱類似,是安全社區(qū)對于在LotL攻擊中使用的一類文件的統(tǒng)稱����。
當(dāng)然,想要將過時(shí)文件下載到受害者的計(jì)算機(jī)上��,需要先獲得計(jì)算機(jī)的訪問權(quán)限��。而 VULNBins 文件常常會(huì)被神不知鬼不覺地植入到目標(biāo)系統(tǒng)中��,用于打入內(nèi)部���,而不是實(shí)際的滲透攻擊�����。
█ 使用過時(shí)程序與系統(tǒng)組件的具體案例
如果攻擊者未能取得管理員權(quán)限,他們就有可能略施小計(jì)以打入內(nèi)部����,比如使用一種舊版本的、帶有緩存溢出漏洞的視頻播放器。不法分子通過任務(wù)計(jì)劃程序�,創(chuàng)建一個(gè)定期的計(jì)劃任務(wù)喚醒播放器,而該播放器的配置文件已被篡改����,利用該漏洞加載惡意代碼,以實(shí)施下一步攻擊���。
然而����,使用 InvisiMole 的攻擊者一旦奪取了管理員權(quán)限�����,就可以采取另一種手段��,如使用合法的系統(tǒng)組件 setupSNK.exe���,Windows XP 庫中的 wdigest.dll��,以及 Rundll32.exe (同樣源自過時(shí)系統(tǒng))用于執(zhí)行該庫���。然后便可操縱從庫中加載到內(nèi)存中的數(shù)據(jù)��。Windows XP 庫是在“地址空間配置隨機(jī)加載”(ASLR)技術(shù)得到應(yīng)用之前創(chuàng)建的�,因此不法分子知道被加載到內(nèi)存中內(nèi)容的確切地址��。
通過使用完全合法的庫和可執(zhí)行文件���,他們將大部分惡意內(nèi)容以加密形式存入注冊表中�。因此�,促成攻擊的罪魁禍?zhǔn)祝褪悄切┌シ牌髟O(shè)定信息的文件�,以及過時(shí)的 Windows 庫中的小小漏洞。通常情況下�,這些行為可以躲過安全系統(tǒng)的眼線。
█ 如何確保安全
為防止不法分子利用舊版本文件和過時(shí)的系統(tǒng)組件發(fā)動(dòng)攻擊(尤其是具有合法簽名的過時(shí)組件)��,這里建議您將此類文件的數(shù)據(jù)庫搞到手�����。這樣一來����,就能使目前的安全防護(hù)程序?qū)ζ渥柚梗辽倏梢愿櫰湫袨椋ㄔ谀承┣闆r下無法阻止)�����。這樣做已經(jīng)算是邁出了一步�。
由于這樣的數(shù)據(jù)庫還沒有整理出來,建議您使用我們的卡巴斯基端點(diǎn)檢測和響應(yīng)��,這樣就能:
檢測并阻止系統(tǒng)文件夾以外 Windows 組件的執(zhí)行�;
識(shí)別沒有簽名的系統(tǒng)文件。某些系統(tǒng)文件沒有唯一的數(shù)字簽名而是使用目錄文件簽名�����,然而對于被移動(dòng)到系統(tǒng)的外部系統(tǒng)文件�����,如果缺少 .cat 文件����,會(huì)被識(shí)別為沒有簽名;
建立一套規(guī)則���,以檢測操作系統(tǒng)版本與每一個(gè)可執(zhí)行文件版本之間的差異�����;
為其他應(yīng)用程序創(chuàng)建一套類似規(guī)則����,比如可以阻止在十多年前編寫的文件。
正如上文所述���,要想把某些內(nèi)容下載到受害者的計(jì)算機(jī)上�,攻擊者需要先獲得訪問權(quán)限��。為防止任何 VULNBins 文件被下載到您的工作站上����,請?jiān)谒薪尤刖W(wǎng)絡(luò)的設(shè)備上安裝安全解決方案,培養(yǎng)員工在現(xiàn)代網(wǎng)絡(luò)攻擊領(lǐng)域的安全意識(shí)����,并密切監(jiān)視遠(yuǎn)程訪問工具。
