研究人員發(fā)現(xiàn)了一個惡意攻擊活動，攻擊者利用了一種以前從未見過的攻擊技術(shù)在目標(biāo)機器上悄悄地植入了進行無文件攻擊的惡意軟件。

該技術(shù)是將shell代碼直接注入到了Windows事件日志中。卡巴斯基周三發(fā)布的一份研究報告顯示，這使得攻擊者可以利用Windows事件日志為惡意的木馬程序做掩護。

研究人員在2月份發(fā)現(xiàn)了這一攻擊活動，并認(rèn)為這個身份不明的攻擊者在過去的一個月里一直在進行攻擊活動。

卡巴斯基全球研究和分析團隊的高級安全研究員寫道，我們認(rèn)為這種以前從未見過的事件日志攻擊技術(shù)是這個攻擊活動中最有創(chuàng)新的部分。

該攻擊活動背后的攻擊者使用了一系列的注入工具和反偵測技術(shù)來傳遞惡意軟件的有效載荷。Legezo寫道，攻擊者在活動中至少使用了兩種商業(yè)產(chǎn)品，再加上幾種最后階段的RAT和反檢測殼，這個攻擊活動背后的攻擊者相當(dāng)有能力。

進行無文件攻擊的惡意軟件隱藏在事件日志內(nèi)

攻擊的第一階段是要將目標(biāo)引誘到一個合法的網(wǎng)站，并誘使目標(biāo)下載一個壓縮的.RAR文件，該文件其實是Cobalt Strike和SilentBreak網(wǎng)絡(luò)滲透測試工具生成的后門文件。這兩個工具在黑客中很受歡迎，他們用其生成針對目標(biāo)機器進行攻擊的工具。

Cobalt Strike和SilentBreak利用了單獨的反偵測AES加密器，并用Visual Studio進行編譯。

然而Cobalt Strike模塊的數(shù)字證書是各不相同的。根據(jù)卡巴斯基的說法，從包裝器到最后一個階段總共15個不同的分階段都有數(shù)字證書進行簽署。

接下來，攻擊者就可以利用Cobalt Strike和SilentBreak來向任何進程注入代碼，并可以向Windows系統(tǒng)進程或可信的應(yīng)用程序（如DLP）注入額外的模塊。

他們說，通過這層感染鏈解密，就可以映射到內(nèi)存中并啟動代碼。

由于它可以將惡意軟件注入到系統(tǒng)內(nèi)存內(nèi)，所以我們將其歸類為無文件攻擊。顧名思義，進行無文件攻擊的惡意軟件感染目標(biāo)計算機時，它們不會在本地硬盤上留下任何文件痕跡，這使得它很容易避開傳統(tǒng)的基于簽名進行檢測的安全取證工具。攻擊者將其攻擊活動隱藏在了計算機的隨機訪問內(nèi)存中，并使用了PowerShell和Windows Management Instrumentation（WMI）等本地Windows工具，其實這種攻擊技術(shù)并不新鮮。

然而，此次攻擊最有特點的是將包含惡意有效載荷的加密shellcode嵌入到了Windows事件日志中。為了避免被研究人員發(fā)現(xiàn)，該代碼被分成了多塊，每塊8KB，并將其保存在了事件日志中。

Legezo說，投放者不僅將啟動器放在了磁盤上進行加載，而且還將帶有shellcode的信息寫到了現(xiàn)有的Windows KMS事件日志中。

他繼續(xù)說，被丟棄的wer.dll是一個加載器，如果shellcode沒有隱藏在Windows事件日志中，就不會造成任何傷害，該加載器在事件日志中會搜索類別為0x4142（ASCII中的 "AB"）并且來源為密鑰管理服務(wù)的記錄。如果沒有找到，8KB的shellcode就會通過ReportEvent() Windows API函數(shù)（lpRawData參數(shù)）寫入到所記錄的信息中。

接下來，一個啟動器會被投放到Windows任務(wù)目錄中。研究人員寫道，此時，一個單獨的線程會將上述所有的8KB的碎片組合成一個完整的shellcode并運行它。

研究人員補充說，攻擊活動中的事件日志不僅僅能夠存儲shellcode，Dropper模塊還具有修補Windows本地API的功能，這與事件追蹤（ETW）和反惡意軟件掃描接口（AMSI）有關(guān)，這樣可以使得感染過程更加隱蔽。

使用載荷的攻擊者身份尚不明確

利用這種隱蔽的方法，攻擊者可以使用他們的兩個遠(yuǎn)程訪問特洛伊木馬（RAT）中的任何一個，其中每一個都使用了定制的復(fù)雜的代碼以及公開可用的組件。

總的來說，由于他們有能力使用特洛伊木馬向任何進程注入代碼，攻擊者可以自由地大量的使用這一功能，向Windows系統(tǒng)進程或受信任的應(yīng)用程序注入下一個模塊。

網(wǎng)絡(luò)空間中的資產(chǎn)歸屬劃分是很有挑戰(zhàn)性的。對此分析師能做的就是深入挖掘攻擊者的戰(zhàn)術(shù)、技術(shù)和應(yīng)用程序（TTPs），以及他們編寫的代碼。如果這些TTPs或代碼與以前的已知行為者的攻擊活動相重疊，我們可能會因此找到攻擊者的身份。

在這種情況下，研究人員的查找過程會很難的。

這是因為，攻擊者除了使用了在Windows事件日志中注入shellcode這一前所未有的技術(shù)外，這次攻擊活動還有一個非常獨特的組成部分：代碼本身。雖然攻擊者使用了商業(yè)產(chǎn)品來投放惡意文件，但與他們配對的反偵測包裝器和RATs卻是定制的（不過，研究人員警告說，一些我們所認(rèn)為是定制的模塊，如包裝器和最后處理程序，也可能是商業(yè)產(chǎn)品的一部分）。

根據(jù)該報告，代碼是非常獨特的，并且與已知的惡意軟件沒有相似之處。由于這個原因，研究人員目前還沒有確定攻擊者的身份。

如果出現(xiàn)了新的模塊，并且我們將該活動與某些行為者能夠聯(lián)系起來，我們將會相應(yīng)地更新名稱。

本文翻譯自： https://threatpost.com/attackers-use-event-logs-to-hide-fileless-malware/179484/如若轉(zhuǎn)載，請注明原文地址。