前言

無文件攻擊通常包括對 Microsoft Windows 眾多內建工具的濫用。這些工具使得攻擊者輕松地從一個階段“跳轉”到另一個階段，無需執行任何編譯的二進制可執行文件，這種攻擊方式被稱為“離地攻擊”。 

什么是離地攻擊?

“離地攻擊”是網絡犯罪分子用來進行網絡攻擊的策略之一，一旦攻擊者的惡意代碼能與本地程序進行交互，那么攻擊者就有可能利用系統的原生工具進行下一步攻擊，包括下載附帶的其他惡意代碼，啟動程序，執行腳本，竊取數據，橫向擴展，維持訪問等等。

[[258762]]

攻擊者為達到這些目的而調用的工具包括 regsvr32.exe、rundll32.exe、certutil.exe和schtasks.exe。Windows 管理規范(WMI)，是 Windows 系統內建工具，為攻擊者提供了“平地起飛”的絕好機會。WMI 借助運行 wmic.exe 程序和執行腳本(如，PowerShell )，使得攻擊者可以操作設備的絕大部分配置。

這些工具都是系統自帶的、受信任的，所以反惡意軟件技術也難以偵測和限制。

“離地攻擊”策略利用以下方面：

• 使用兩用工具
• 無文件持久性
• 僅使用內存威脅

為什么使用離地攻擊?

攻擊者利用常用工具對目標進行攻擊，這就是離地攻擊。使用預先安裝在目標計算機上的工具的攻擊者越來越多。使用無文件威脅、第三方工具或簡單腳本可幫助攻擊者逃避防病毒程序的檢測。

使用什么工具?

離地攻擊廣泛使用的工具包括：

• Mimikatz
• 微軟的PS Exec工具
• Windows Management Instrumentation (WMI)
• Windows Secure Copy
• PowerShell腳本
• VB腳本

攻擊模式

攻擊者直接在內存中使用運行簡單腳本和shellcode工具，如PowerShell腳本或VB腳本。

攻擊者利用Mimikatz工具獲得的密碼，并將其與PS Exec一起使用，以橫向移動到另一個系統。

攻擊者使用包含帶有嵌入式惡意宏的Microsoft Office文檔附件的網絡釣魚電子郵件，誘騙用戶在打開Office文檔附件時啟用宏。

使用系統工具作為后門來繞過身份驗證。

使用列入白名單的合法工具來逃避檢測。

攻擊示例

1.Petya/NotPetya勒索軟件

2018年6月，Ransom.Pety襲擊烏克蘭和其他國家的組織，這種正是利用了離地攻擊的策略。

Petya/ NotPetya勒索軟件使用軟件供應鏈攻擊作為其初始感染載體，以破壞軟件計算程序的更新過程。

Petya還在感染過程中使用了系統命令。一旦執行，它就會從Mimikatz工具中刪除重新編譯的LSADump版本，該工具用于竊取Windows內存中的帳戶憑據。然后使用被盜憑證將威脅復制到網絡的任何計算機。最后使用已刪除的PsExec.exe實例和Windows Management Instrumentation(WMI)命令行工具遠程啟動。

[[258763]]

2.Thrip威脅

2018年，研究人員通過利用離地攻擊的策略，觀察了針對電信提供商、衛星和國防公司的網絡間諜活動----Thrip。在此攻擊活動中，網絡犯罪分子使用Windows實用程序PsExec來安裝Catchamas信息竊取程序惡意軟件。

[[258764]]

3.Separ惡意軟件會通過離地攻擊策略感染公司

最近，研究人員觀察到一起網絡釣魚活動，該活動用Separ惡意軟件感染了東南亞、中東和北美的組織。惡意軟件使用非常短的腳本或批處理文件與合法可執行文件的組合來逃避檢測。

網絡釣魚電子郵件包含一個惡意PDF附件，據稱是一個自解壓可執行文件。PDF文件偽裝成虛假報價單、運貨單和設備規格詳情。

打開惡意PDF附件后，自解壓程序調用wscript.exe來運行名為adobel.vbs的Visual Basic腳本(VB腳本)。一旦VB腳本開始運行，它就會執行一系列具有各種惡意功能的短批處理腳本。

如何保護自己?

• 為避免此類攻擊，最好監控網絡內部兩用工具的使用情況。
• 最好及時更新所有系統、應用程序、軟件和操作系統。
• 最好安裝一個強大的防病毒程序。
• 建議使用強密碼并定期輪換密碼。
• 建議在登錄時使用雙因素身份驗證，并在會話完成后注銷。
• 始終建議謹慎使用提示用戶啟用宏的Microsoft Office附件。
• 建議永遠不要打開來自匿名發件人的任何附件。
• 最好創建列入白名單的應用程序列表并監視日志文件。