LotL攻擊(Living off the Land–type attack)已(yi)經不(bu)算新鮮事了(le),它(ta)指的是(shi)利用合法(fa)程序或(huo)合法(fa)的操作系統功能發起的惡意行(xing)為。然而,隨著網(wang)絡專家對易(yi)受LotL攻擊的現(xian)代(dai)軟件(jian)嚴(yan)加管控,不(bu)法(fa)分(fen)子只能另覓新徑。在2021年(nian)度RSA大會上,研究員(yuan) Jean-Ian Boutin 和 Zuzana Hromco����va 提到了(le)網(wang)絡罪(zui)犯的新招數,即(ji)利用合法(fa)的 Windows XP 系統組件(jian)和程序實施(shi)攻擊。
█ LotL攻擊(ji)與易受(shou)攻擊(ji)的 Windows XP 組件
通過對(dui)間諜軟(ruan)������件 InvisiMole 幕后黑(hei)手(shou)的研究,Boutin 和 Hromcova 指出(chu),InvisiMole 工(gong)具通過使(shi)用早已過時的操作系統(tong)下(xia)的文件來隱藏自己的行蹤。研究人員將這類文件命名為 VULNBins,與�������(yu) LOLBins 這一名稱(cheng)類似,是(shi)安(an)全社區對(dui)于在LotL攻擊中使(shi)用的一類文件的統(tong)稱(cheng)。
當然,想要將過時文件下載到受害者的(de)(de)計算機上,需要先(xian)獲得計算機的(de)(de)訪問權限(xian)。而(er) VULNBins 文件常常會(hui)被神(shen)不知鬼不覺地(di)植入(ru)到目標系統中,用于打(da)入(ru)內(nei)部,而(er)不是實際的(d����e)(de)滲透(tou)攻擊(ji)。
█ 使用過時程序與系統(tong)組件的具(ju)體(ti)案例
如果攻擊(ji)(ji)者未能取得(de)管理員權限,他們就有可能略施小計以(yi)打入(ru)內部,比如使用(yong)一(yi)種舊版本的(de)(de)、帶(dai)有緩存溢出漏洞(dong)的(de)(de)視(shi)頻播(bo)放(fang)器。不法分子(zi)通過任務(wu)計劃程序,創建一(yi)個定(ding)期的(de)(de)計劃任務(wu)喚(huan)醒播(bo)放(fang)器,而該播(bo)������放(fang)器的(de)(de)配置(zhi)文(wen)件已被篡改,利用(yong)該漏洞(dong)加載惡意(yi)代碼,以(yi)實施下一(yi)步�������(bu)攻擊(ji)(ji)。
然而,使用 InvisiMole 的�������攻擊(ji)者(zhe)一旦奪(duo)取了管理員權限(xian),就可以采取另一種手段,如使用合法(fa)(fa)的系(xi)統組件 setupSNK.exe,Windows XP 庫(ku)中(zhong)的 wdigest.dll,以及 Rundll32.exe (同樣源(yuan)自(zi)過(guo)時系(xi)統)用于執行該庫(ku)。然后便可操縱從庫(ku)中(zhong)加載(zai)到(dao)(dao)內存中(zhong)的數據(ju)。Windows XP 庫(ku)是在“地址(zhi)空間配置隨機加載(zai)”(ASLR)技(ji)術得到(dao)(dao)應用之前創建的,因此不法(fa)(fa)分子知(zhi)道(dao)被(bei)加載(zai)到(dao)(dao)內存中������(zhong)內容的確切地址(zhi)。
通(tong)過使用完全(quan)合法的(de)庫和(he)可(ke)執行文件(jian),他們將大部(bu)分惡意(yi)內容以(yi)加密(mi)形�������式存入注冊表中(zhong)。因此,促成(cheng)攻擊的(de)罪魁禍(huo)首,就(jiu)是那些包(bao)含播(bo)放器設(she)定信息的(de)文件(jian),以(yi)及過時的(de) Windows 庫中(zhong)的(de)小(xiao)小(xiao)漏洞。通(tong)常(chang)情況(kuang)下,這些行為可(ke)以(yi)躲(duo)過安(an)全(quan)系統(tong)的(de)眼(yan)線。
█ 如何確保安全
為防止不(bu)法分子利用舊版本(ben)文件和過時(shi)(shi)的(de)系統組(zu)件發動攻擊(尤其(qi)是具有合法簽名的(de)過時(shi)(shi)組(zu)件),這里建議您將(jiang)此類文件的(de)數據庫(ku)搞到手。這樣一來,就能使目(mu)前(qian�����)的(de)安全防護程(cheng)序對其(qi)阻止,至少可以跟(gen)蹤其(qi)行為(在某些情況下無法阻止)。這樣做已經算是邁(mai)出了一步。
由于(yu)這樣的數據庫(ku)還(huan)沒有整(zheng)理出來,建議������您使用(yong)我們(men)的卡巴(ba)斯基(ji)端點檢測和響�������(xiang)應(ying),這樣就能:
檢�������(ji������an)測并阻止系統文件(jian)夾(jia)以外 Windows 組(zu)件(jian)的執行;
識(shi)別沒有簽(qian)名(ming)的(de)系(xi)統(tong)文(wen)件。某些系(xi)統(tong)文(wen)件沒有唯一的(de)數字(zi)簽(qian)名(ming)而是使(shi)用目錄文(wen)件��������簽(qian)名(ming),然而對于被移動(dong)到系(xi)統(tong)的(de)外部系(xi)統(tong)文(wen)件,如果(guo)缺少(sha�����o) .cat 文(wen)件,會(hui)被識(shi)別為沒有簽(qian)名(ming);
建立一套規則,以(yi)檢(jian)測�����(ce)操������作系(xi)統(tong)版(ban)本與(yu)每(mei)一個可(ke)執行文(wen)件版(ban)本之間的差異;
為其(qi)他應(ying)用程(cheng)序(xu)創建一(yi)套類似規則(ze),比(bi)如可(ke)以(yi)阻止在十多年(nian)前(qian)編寫(������xi������e)的文件(jian)。
正如上(shang)文所述,要想把某些內容下載到受害(hai)者(zhe)的(de)計(ji)算機上(shang)������,攻擊(ji)者(zhe)需要先(xian)獲得訪問權限。為防止任何 VULNBins 文件(jian)被下載到您的(de)工作站上(shang),請在所有接(jie)入(ru)網絡的(de)設(she)備上(shang)安(an)裝安(an)全解決(jue)方案,培養員工在現(xian)代(dai)網絡攻擊(ji)領域的(de)安(an)全意識,并密切監視遠程訪問工具。
