我赌你的服务器里没有恶意文件

admin 2021年11月30日11:52:31安全文章评论28 views4303字阅读14分20秒阅读模式
我赌你的服务器里没有恶意文件
我赌你的服务器里没有恶意文件




有人的地方就有江湖。武侠江湖中有侠客、剑客;安全江湖内有黑客、红客、极客……不会代码、没有神技的小编靠着娴熟的叨法,斗胆自封了一个名号——





我赌你的服务器里没有恶意文件
我赌你的服务器里没有恶意文件


我赌你的服务器里没有恶意文件



第 7 叨





打个赌吧?





1876年,时年33岁的德国农业化学家麦尔,发现了一个很严重的问题。
很多种植烟草的农民都遇到了一个困惑:烟草长出的深绿叶子上会莫名其妙地出现浅绿色斑纹,致使烟叶的产量和质量都受到严重的影响。



我赌你的服务器里没有恶意文件
资料图片来源于网络

为探明该烟草疾病的产生原因,麦尔自1879年开始对烟草的种植展开了长时间的观察与实验研究,并于1882年将这种烟草疾病命名为“烟草花叶病”。

尽管麦尔仔细研究了气温、光照、土壤以及细菌、真菌等病原体的影响,但始终没有找到“烟草花叶病”的真正病因,无奈的他只好将其归咎于某种尚未发现的细菌上。


直到1892年,烟草花叶病的研究取得了突破性进展。一位名叫伊万诺夫斯基的俄国植物生理学家发现,有病的烟叶汁即使用过滤器过滤后,擦在无病的烟叶上仍能使好叶子生病。他由此推断:一定有一种更小的,能通过细菌过滤器的微生物存在。

毋庸置疑的是,伊万诺夫斯基的研究成果,打开了人类研究病毒世界的大门。伴随着1939年第一台商用电子显微镜的问世,科学家终于观察到了这个直约为15纳米、长度约为300纳米的杆状病毒。



我赌你的服务器里没有恶意文件
电子显微镜下的烟草花叶病毒 资料图来源于网络



拉手风琴



病毒的发现改变了人们对于微生物的认知:病毒体积微小、结构简单,甚至没有完整的细胞结构,仅仅是一个蛋白质外壳包裹着核酸链。不同于寄生类细菌,病毒必须将遗传物质注入到宿主细胞内,依靠宿主细胞的物质和能量,才能完成自我复制和增殖。



‍‍‍‍‍可怕的是,这种导致人类近80%传染病的东西,令当时所有的外界的检测和防护手段近乎失灵,人们只能寄希望于强大的免疫系统。

病毒实在是太小了,小到最小的病毒直还不到10纳米,细菌过滤器根本无法对其实施有效拦截,即便是最先进的光学显微镜也无法观测到它;曾经拯救千万士兵生命的抗生素,在面对这类非细胞生物时,也发挥不出任何作用。即便是在医学已经相对发达的今天,人类唯一战胜的病毒也仅只天花一种(下一个有希望的是脊髓灰质炎)。



很快,病毒出现了另外一层含义:1987年,一对来自巴基斯坦的兄弟发明了另一种“病毒”,它的感染目标并不是细胞生物,而是计算机系统,能够耗尽计算机的存储空间。



我赌你的服务器里没有恶意文件

so

计算机病毒就此诞生,并很快成为危害计算机安全的头号杀手,在网络空间大肆传播。它和普通的细菌、病毒等寄生生物一样,具有传播、复制和破坏宿主正常功能的能力。

我赌你的服务器里没有恶意文件
我赌你的服务器里没有恶意文件
a

最开始的计算机病毒拥有完整的文件结构,没事的时候就独立存储在硬盘里,执行的时候再写入内存,释放恶意代码。

这时候的计算机病毒更像是细菌,有着完整的细胞结构,可以独立寄生在表皮黏膜、肠道、血管等等位置,当然某些细菌也可以寄生在细胞内部。

b

为了阻止计算机病毒的传播,人们发明了反病毒软件,它工作在计算机终端或者服务器终端上,能够扫描所有磁盘空间,把那些病毒文件找出来。


同样,为了对抗反病毒软件的检测,计算机病毒也在不断“变异”产生对杀毒软件的“耐药性”,让你检测不到、删除不了,甚至可以反过来把杀毒软件卸载掉。

不得已之下,人们只好不断提升反病毒引擎的检测能力……


这个过程是不是似曾相识?人们从青霉菌的分泌物中提取出了盘尼西林,成为了第一种能够治疗细菌感染的特效药,从而拯救了成千上万的生命;抗生素的广泛使用使得细菌耐药性不断提升,尤其是超级细菌的出现让大家意识到了抗生素滥用的巨大危害;为了对抗细菌的抗药性,人们又不得不研发新的抗生素……

我赌你的服务器里没有恶意文件

示意图片来源于网络

我赌你的服务器里没有恶意文件

用麦克阿瑟送给李奇微的一句话来说,这场拉手风琴式的战争永远都不会结束。

我赌你的服务器里没有恶意文件



猝不及防

我赌你的服务器里没有恶意文件

说句实话,李奇微针对志愿军后勤特点制定的这种“磁性战术”非常有效。但正如麦克阿瑟所说,靠这种手风琴式的打法,“联合国军”想要快速结束战争的愿望却很难实现。

所以,麦克阿瑟想要实施第二次仁川登陆,幻想一举击溃志愿军和朝鲜人民军(未能如愿,麦克阿瑟也因为狂妄而被撤销一切职务,有兴趣可以查看抗美援朝第五次战役)。


那么有没有一种“病毒”,能够一劳永逸摆脱反病毒软件的检测呢?


来做一下类比。抗生素的杀菌机制总共有四种,包括抑制细菌细胞壁的合成、改变细胞膜的渗透性、干扰蛋白质的合成以及抑制核酸的复制和转录。

但无论哪种杀菌机制,它的作用对象都是拥有完整细胞结构的细菌,而不会对非细胞生物起任何作用。


同理,传统的反病毒软件检测的对象是存储在磁盘中的文件,那是不是有病毒可以不把文件留在磁盘中,从而一劳永逸摆脱反病毒软件的检测了呢?

这个还真有。

我赌你的服务器里没有恶意文件
我赌你的服务器里没有恶意文件

2012年,卡巴斯基在一份安全报告中,提到了一个新型木马:Lurk木马非常独特,它不会存储在受害者的计算机硬盘中,而是利用漏洞把恶意代码写入javaw.exe进程的内存中执行。


这就是无文件恶意软件的样子。下面举个形象的例子来区分有文件攻击和无文件攻击。

通常情况下你想要刺探敌方情报,你得派遣特工化妆渗透,但特工无论再怎么乔装打扮,他还是你们这边派过去的;但现在不一样了,你可以趁对方的人不注意的时候,往他身上装一个窃听器或者微型摄像头,这样无论怎么查,他都是对面的自己人。

这意味着,无文件恶意软件的出现让当时所有的反病毒软件猝不及防,依靠病毒文件签名进行特征匹配的方法肯定不行。

我赌你的服务器里没有恶意文件

示意图片来源于网络

我赌你的服务器里没有恶意文件


而根据谷歌的一项数据统计显示,大概是在2014年开始,无文件恶意软件开始逐渐活跃在搜索引擎中,成为受人们关注的安全话题之一。

可以这么说,无文件恶意软件才开始真正的像微生物病毒一样,没有完整的细胞结构,在入侵的时候会将遗(恶)传(意)物(代)质(码)注入到宿主细胞中,甚至逆转录病毒会将自己的基因整合到宿主细胞的DNA上,完成自身的复制和增殖,最终裂解宿主细胞后再横向感染其他目标。


我赌你的服务器里没有恶意文件



核酸检测



时至今日,人们对于病毒的检测已经有了比较科学的方法,比如大家所熟知的新冠病毒核酸检测,无论是咽拭子和是肛拭子,都能够有效采集并检测到病毒核酸。



同理,无论无文件攻击再怎么花里胡哨,只需要检测到恶意代码它就再也无路可逃。


所不同的是,计算机并不会新陈代谢,无文件恶意软件也只会写在内存里,感染合法进程,而不会跑到其他地方。想要检测到恶意代码,只能在内存里做文章。


众所周知,不管是捅喉咙还是捅鼻子,新冠病毒核酸检测有一个必不可少的工具——棉签,用于采集样本。如果这个“棉签”放在计算机系统里,就被称作“HOOK”,中文翻译为钩子。


椒图就是用这个“钩子”把恶意代码钩出来。

我赌你的服务器里没有恶意文件
我赌你的服务器里没有恶意文件


椒图是奇安信集团旗下的的服务器安全软件,能够从事前的服务器加固、事中的检测与响应、事后的溯源分析等维度,实现服务器安全的闭环。(详细介绍可以参考《它在网络空间里坚守最后一道防线》

为了实现对无文件恶意软件的精准检测,椒图内置了一款强大的无文件攻击检测引擎。

该引擎总共包含了三个模块。

  • 第一,INJECT注入模块负责把HOOK模块第一时间加载到新建进程内。

    这个过程就如同护士把棉签放到你的咽部。


  • 第二,HOOK钩子模块是整个无文件检测引擎的核心,负责修改进程内的指令,用于在命令执行之前,拿到需要关心的函数调用参数或者Com方法中的参数。HOOK函数可以理解为一段消息处理的程序,每当消息发出,在没有到达目的窗口前,HOOK函数就先捕获该消息,亦即钩子函数先得到控制权。

    这里再科普一下。程序猿朋友都知道,每一个应用程序都包含大量的变量和函数。在数学中,函数可以把各种不同类型的变量,按照一定的计算关系给组合起来,比如二次函数、三角函数等。这里也一样,函数可以把变量组合起来,执行既定的操作或者命令。钩子钩住了关键参数,接下来就能判断程序到底会执行什么样的操作,这个操作是不是恶意的。

    这个过程就如同护士拿着棉签对你的咽部一顿操作,采集关键样本。


  • 第三,CHECK检查模块会将钩子捕捉到的关键参数进行检查,判断是否为恶意。这个模块内置了大量的业务逻辑规则,用于和钩住的参数进行匹配,比如脚本特征匹配、拦截逻辑判断、白名单放行逻辑、写入事件、写入日志等操作。如果发现了有什么不对的地方,就可以产生告警。

    这个过程就相当于护士采集到的咽拭子或者肛拭子样本,送到检测中心去检测。


这三个模块赋予了椒图基于内存指令集的检测能力,说直白点就是深入到内存里面,检测恶意代码到底感染了哪些进程,从而摆脱了对具体文件特征和漏洞防护规则的依赖,对各种类型的无文件恶意软件和0day漏洞利用行为,都有较高的检出率。

除了无文件攻击检测引擎之外,椒图还有一些功能模块也能够检出部分类型的无文件攻击。

我赌你的服务器里没有恶意文件
我赌你的服务器里没有恶意文件

椒图在新版本中引入了全新的龙息Webshell(一种网页后门,常用于远程控制Web服务器)检测引擎,它工作于Web中间件内部,对于内存马(常通过Apache等Web中间件漏洞写入内存的无文件Webshell)就有很好的检测效果。


我赌你的服务器里没有恶意文件



基因突变



我们应当注意到,病毒是非常容易发生变异的。由于缺乏细胞结构的保护,病毒的核酸链非常容易在复制的过程中发生改变。



这就是大家口中的基因突变。

同理,相对于较为稳定的有文件结构,无文件恶意软件也容易产生新的“变种”,尤其是在椒图等能够防御无文件攻击的产品问世之后,新变种产生的速度变得更加迅速。并且,新的变种无论是在隐蔽性还是在功能性、传播性等方面,往往都会大大增强。


从理论上说,这种基于内存指令集的检测能力,肯定能够发现内存中的恶意代码。因为无论它再怎么变异,也逃脱不了计算机的设计逻辑,总归会进入到内存中运行起来,从而在内存中留下“浓墨重彩的一笔”。就像普通新冠毒株也好,德尔塔毒株也罢,总是逃脱不了白衣天使的棉签。

但说句实在话,把宝全部压在机器的自动化检测上,并不是一个非常明智的做法。况且,针对无文件攻击的处置,能够说得上是一个技术活。


所以在公司的一手安排下,椒图和安服团队完成了深度整合。基于“人+机器”的模式,在数千场攻防演习的过程中,积累了海量的恶意样本特征库、攻击工具特征库,以及实战化基线检查模板,这些数据的加持将产品的实战化能力大幅度提升,能更好地满足服务器攻防需求。

继天眼(奇安信旗下针对网络流量的的高级威胁检测产品)之后,椒图也将被打造为服务器上一款实战攻防的必需品。
我赌你的服务器里没有恶意文件

就目前而言,相对于病毒对动植物生命健康带来的巨大危害而言,无文件攻击尚未成为攻击服务器的最主要方式。

但在将来的某一天有人和你打赌,就赌你中招的服务器上没有恶意软件,你就得掂量掂量再下注了。

我赌你的服务器里没有恶意文件

END

我赌你的服务器里没有恶意文件

我赌你的服务器里没有恶意文件作者简介

我赌你的服务器里没有恶意文件
本期叨主:魏开元
安全圈“首席编剧”,写点小故事还原网络攻防一线的明枪暗箭


分享

收藏

点赞

在看

我赌你的服务器里没有恶意文件


我赌你的服务器里没有恶意文件

原文始发于微信公众号(奇安信集团):我赌你的服务器里没有恶意文件

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月30日11:52:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  我赌你的服务器里没有恶意文件 http://cn-sec.com/archives/654984.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: