1???????? 一張圖片讓你的電腦被非法遠(yuǎn)程控制

很多用戶認(rèn)為計(jì)算機(jī)病毒都是可執(zhí)行類型的文件，但其實(shí)一張看似安全的圖片就可能導(dǎo)致你的計(jì)算機(jī)被黑客遠(yuǎn)程控制，敏感數(shù)據(jù)被竊取。

在安天CERT之前披露的一起攻擊活動(dòng)中，攻擊者正是利用將Shellcode隱寫到圖片中，誘導(dǎo)用戶下載并瀏覽。當(dāng)用戶查看該圖片時(shí)會(huì)運(yùn)行文件中的惡意代碼，運(yùn)行后從該黑產(chǎn)團(tuán)伙控制的服務(wù)器中獲取加密壓縮包或者加密文件，利用指定的解壓密碼或自定義的解密方法進(jìn)行解密，從而加載最終的遠(yuǎn)控木馬。攻擊流程如下圖：

攻擊過(guò)程中惡意程序?qū)嶓w并沒(méi)有落到本地磁盤，而是在內(nèi)存中完成釋放、加載和惡意行為的執(zhí)行，這一手段就是現(xiàn)在攻擊者常用的“無(wú)文件攻擊”技術(shù)，也正是因?yàn)槭褂昧藷o(wú)文件攻擊技術(shù)使得在該攻擊活動(dòng)中讓一些防病毒軟件未能對(duì)惡意代碼進(jìn)行查殺。

?

2???????? 無(wú)文件攻擊技術(shù)解析

所謂無(wú)文件攻擊是指不向磁盤寫入可執(zhí)行病毒程序，而是利用合法程序或者系統(tǒng)漏洞將惡意程序加載至內(nèi)存運(yùn)行來(lái)攻擊計(jì)算機(jī)。無(wú)文件攻擊常見的利用手法包括：

1.????? 調(diào)用Powershell、WMI、PsExec等系統(tǒng)自有工具遠(yuǎn)程下載執(zhí)行惡意命令；

2.????? 利用office文檔的宏功能下載并執(zhí)行惡意代碼；、

3.????? 利用系統(tǒng)的計(jì)劃任務(wù)或注冊(cè)表，創(chuàng)建自啟動(dòng)項(xiàng)，調(diào)用系統(tǒng)可信程序執(zhí)行惡意腳本；

4.????? 利用緩沖區(qū)溢出漏洞，將惡意代碼注入到目標(biāo)進(jìn)程的內(nèi)存中執(zhí)行。

目前較為流行的一種攻擊方式是“釣魚郵件+無(wú)文件攻擊”，通過(guò)向目標(biāo)發(fā)送釣魚郵件，誘導(dǎo)用戶運(yùn)行混淆文件、圖片或者文檔，用戶運(yùn)行后文件后從C2服務(wù)器下載惡意文件并在內(nèi)存中執(zhí)行，整個(gè)過(guò)程用戶可能毫無(wú)感知。

?

3??????? 無(wú)文件攻擊讓常規(guī)防病毒手段難以生效

https://www.bilibili.com/video/BV1yc411P7iS/

（視頻）

常規(guī)防病毒手段主要是對(duì)磁盤中文件實(shí)體進(jìn)行病毒掃描或者行為監(jiān)控，但是在無(wú)文件攻擊惡意代碼直接在內(nèi)存中運(yùn)行，并不會(huì)在本次磁盤落盤，這就導(dǎo)致很多防病毒產(chǎn)品無(wú)法防御無(wú)文件攻擊。

面對(duì)無(wú)文件攻擊，安天智甲終端防御系統(tǒng)（以下簡(jiǎn)稱“智甲”）基于內(nèi)核級(jí)防御模塊，建立了針對(duì)內(nèi)存的主動(dòng)防御與檢測(cè)手段。無(wú)論惡意文件實(shí)體是否在本地落盤，但只要執(zhí)行就會(huì)在內(nèi)存中進(jìn)行解密、內(nèi)存改寫、加載惡意代碼等行為，智甲內(nèi)存檢測(cè)功能會(huì)實(shí)時(shí)感知內(nèi)存的改寫，以及對(duì)應(yīng)模塊的映射，從而能夠準(zhǔn)確定位出惡意代碼的出處，并通過(guò)棧回溯、堆檢測(cè)等機(jī)制快速準(zhǔn)確識(shí)別惡意攻擊行為，配合著內(nèi)存檢測(cè)引擎可以快速識(shí)別加密或解密后的內(nèi)存特征碼，實(shí)現(xiàn)快速感知惡意行為，有效防御無(wú)文件攻擊。

?????? 智甲產(chǎn)品家族系列產(chǎn)品是基于UES（統(tǒng)一端點(diǎn)安全）理念研發(fā)，將病毒查殺、主動(dòng)防御、安全加固、可信環(huán)境驗(yàn)證、分布式防火墻/HIPDS、介質(zhì)管控、WEB SERVER防護(hù)等能力，進(jìn)行模塊積木化組合，覆蓋包括桌面辦公機(jī)、工作站、服務(wù)器、虛擬化、容器和移動(dòng)智能設(shè)備等場(chǎng)景的安全需求，為 Windows、Linux、Android 以及歐拉、麒麟、統(tǒng)信等國(guó)產(chǎn)操作系統(tǒng)提供內(nèi)核層防御以實(shí)現(xiàn)有效防護(hù)的安全目標(biāo)。