研究人员发现了一个恶意攻击活动，攻击者利用了一种以前从未见过的攻击技术在目标机器上悄悄地植入了进行无文件攻击的恶意软件。

该技术是将shell代码直接注入到了Windows事件日志中。卡巴斯基周三发布的一份研究报告显示，这使得攻击者可以利用Windows事件日志为恶意的木马程序做掩护。

研究人员在2月份发现了这一攻击活动，并认为这个身份不明的攻击者在过去的一个月里一直在进行攻击活动。

卡巴斯基全球研究和分析团队的高级安全研究员写道，我们认为这种以前从未见过的事件日志攻击技术是这个攻击活动中最有创新的部分。

该攻击活动背后的攻击者使用了一系列的注入工具和反侦测技术来传递恶意软件的有效载荷。Legezo写道，攻击者在活动中至少使用了两种商业产品，再加上几种最后阶段的RAT和反检测壳，这个攻击活动背后的攻击者相当有能力。

进行无文件攻击的恶意软件隐藏在事件日志内

攻击的第一阶段是要将目标引诱到一个合法的网站，并诱使目标下载一个压缩的.RAR文件，该文件其实是Cobalt Strike和SilentBreak网络渗透测试工具生成的后门文件。这两个工具在黑客中很受欢迎，他们用其生成针对目标机器进行攻击的工具。

Cobalt Strike和SilentBreak利用了单独的反侦测AES加密器，并用Visual Studio进行编译。

然而Cobalt Strike模块的数字证书是各不相同的。根据卡巴斯基的说法，从包装器到最后一个阶段总共15个不同的分阶段都有数字证书进行签署。

接下来，攻击者就可以利用Cobalt Strike和SilentBreak来向任何进程注入代码，并可以向Windows系统进程或可信的应用程序（如DLP）注入额外的模块。

他们说，通过这层感染链解密，就可以映射到内存中并启动代码。

由于它可以将恶意软件注入到系统内存内，所以我们将其归类为无文件攻击。顾名思义，进行无文件攻击的恶意软件感染目标计算机时，它们不会在本地硬盘上留下任何文件痕迹，这使得它很容易避开传统的基于签名进行检测的安全取证工具。攻击者将其攻击活动隐藏在了计算机的随机访问内存中，并使用了PowerShell和Windows Management Instrumentation（WMI）等本地Windows工具，其实这种攻击技术并不新鲜。

然而，此次攻击最有特点的是将包含恶意有效载荷的加密shellcode嵌入到了Windows事件日志中。为了避免被研究人员发现，该代码被分成了多块，每块8KB，并将其保存在了事件日志中。

Legezo说，投放者不仅将启动器放在了磁盘上进行加载，而且还将带有shellcode的信息写到了现有的Windows KMS事件日志中。

他继续说，被丢弃的wer.dll是一个加载器，如果shellcode没有隐藏在Windows事件日志中，就不会造成任何伤害，该加载器在事件日志中会搜索类别为0x4142（ASCII中的 "AB"）并且来源为密钥管理服务的记录。如果没有找到，8KB的shellcode就会通过ReportEvent() Windows API函数（lpRawData参数）写入到所记录的信息中。

接下来，一个启动器会被投放到Windows任务目录中。研究人员写道，此时，一个单独的线程会将上述所有的8KB的碎片组合成一个完整的shellcode并运行它。

研究人员补充说，攻击活动中的事件日志不仅仅能够存储shellcode，Dropper模块还具有修补Windows本地API的功能，这与事件追踪（ETW）和反恶意软件扫描接口（AMSI）有关，这样可以使得感染过程更加隐蔽。

使用载荷的攻击者身份尚不明确

利用这种隐蔽的方法，攻击者可以使用他们的两个远程访问特洛伊木马（RAT）中的任何一个，其中每一个都使用了定制的复杂的代码以及公开可用的组件。

总的来说，由于他们有能力使用特洛伊木马向任何进程注入代码，攻击者可以自由地大量的使用这一功能，向Windows系统进程或受信任的应用程序注入下一个模块。

网络空间中的资产归属划分是很有挑战性的。对此分析师能做的就是深入挖掘攻击者的战术、技术和应用程序（TTPs），以及他们编写的代码。如果这些TTPs或代码与以前的已知行为者的攻击活动相重叠，我们可能会因此找到攻击者的身份。

在这种情况下，研究人员的查找过程会很难的。

这是因为，攻击者除了使用了在Windows事件日志中注入shellcode这一前所未有的技术外，这次攻击活动还有一个非常独特的组成部分：代码本身。虽然攻击者使用了商业产品来投放恶意文件，但与他们配对的反侦测包装器和RATs却是定制的（不过，研究人员警告说，一些我们所认为是定制的模块，如包装器和最后处理程序，也可能是商业产品的一部分）。

根据该报告，代码是非常独特的，并且与已知的恶意软件没有相似之处。由于这个原因，研究人员目前还没有确定攻击者的身份。

如果出现了新的模块，并且我们将该活动与某些行为者能够联系起来，我们将会相应地更新名称。

参考及来源：https://threatpost.com/attackers-use-event-logs-to-hide-fileless-malware/179484/