报告

1 McAfee Labs 威胁报告：2017 年 9 月

McAfee Labs 威胁报告2017 年 9 月

关键主题

不再想被 WannaCry 困扰

像专业人员那样搜寻威胁

基于脚本的恶意软件兴起

报告

2 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

WannaCry 恶意软件攻击在不到 24 小时的时间里感染了 150 多个国家/地区的 30 万台以上的计算机。

简介

新的 McAfee 方案扩展了我们取得的进步！

在 McAfee 脱离 Intel 完成之后，我们的重点转向了发展业务。我们两年多以前明确阐明的战略仍然没有改变。我们决定提供集成度更高的解决方案，根据我们的产品路线图进行交付，并与竞争对手及合作伙伴展开合作。我们在这些目标上有了巨大进展。

在六月份，WannaCry 和 Petya 攻击来袭，引起了广泛关注，并在全球造成了业务运营中断。除了其他方面，它们揭示了在关键区域仍在持续使用旧的和不受支持的系统，暴露了某些企业薄弱的补丁更新过程。这些攻击提醒我们，最好的保护是深度防御，其中包括零日保护，从而不只是阻止还能迅速了解攻击，改善响应。该威胁报告中的关键主题分析了 WannaCry 及其业务影响。

关于 McAfee Labs

McAfee Labs 是威胁研究、威胁情报和网络安全先进理念的全球领先来源之一。借助来自文件、Web、邮件和网络等主要威胁媒介数百万台传感器提供的数据，McAfee Labs 提供实时威胁情报、关键分析和专家意见，以增强保护并降低风险。

www.mcafee.com/cn/mcafee-labs.aspx

报告

3 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

在七月中，McAfee 首席技术官 Steve Grobman 发布了一篇重要的讨论人机合作的博文，这是一种停止网络攻击 的更佳方式。他后来就相同主题接受了 Venture Beat 的采访。Grobman 相信人类对于人工智能和计算机学习的策展是实现最佳安全结果所必需的，而不是完全依靠 AI。如果您对这个演变领域感兴趣，我们建议您读一读两篇文章。

支持 Grobman 观点的评论是 7 月发布的 McAfee 委托的报告，出自 451 Research，标题为 Machine Learning Raises Security Teams to the Next Level （计算机学习让安全团队上升到新的等级）。报告阐明了这样的观点：快速增加的攻击数量以及持续的攻击进化要求我们必须具备无人干预的攻击检测技术，同时能提供可见性和重点，让人们做出更加明智的决策。成功的人类和技术合作的表现是能够快速关闭警报并停止新威胁。

在七月末，在拉斯维加斯举行了网络安全的盛会 - 2017 年美国黑帽子大会。在那里，McAfee 宣布并发布了来自 700 多个 IT 和安全专业人员的主要研究调查结果。研究目标是更好地理解在如今的组织内如何执行威胁搜寻 - 包括使用人机合作 - 以及企业如何希望在将来增强自己的威胁搜寻能力。在该类威胁报告中，我们关注了独立报告《扰乱破坏者是技能还是科学？》，这篇报告提供了威胁搜寻人员可以利用的实用方法，从而可以通过计算机学习发现许多攻陷指标。

下个月，McAfee 将在拉斯维加斯举办 MPOWER 网络安全峰会。McAfee 的长期客户都知道我们的年度用户群大会是我们的重要会议，但是随着为客户提供支持的承诺的升级，会议名称也发生了更改，我们的活动举行方式也发生了变化。从本年开始，我们的客户将选择关键提示，他们将选择那些演示对于体验最为重要，并且将通过自己的实时意见指导程序。如果您还没有参加过 McAfee 的年度会议，我们诚挚邀请您加入。

报告

4 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

在这份季度威胁报告中，我们重点讨论了三个主要议题：

• 在我们的头条新闻中，我们分析了最近的 WannaCry 和 Petya 攻击、犯罪者可能的动机以及业务影响。

• 第二个关键主题并非我们经常谈到的威胁分析主题。因为威胁搜寻正变得越来越重要，在这个主题中，针对在搜寻威胁时使用特定类型的攻陷指标，我们提供了详细建议。

• 在最终的关键主题中，我们探索了基于脚本的恶意软件 - 为什么会使用它、作者如何模糊处理脚本、如何传播它及其感染数量的发展情况。

我们会利用一组常规季度威胁深入统计数据来阐述这三个主要议题。

其他新闻…

每个季度，我们都会通过遥测发现流入 McAfee Global Threat Intelligence 的新威胁。McAfee GTI 云信息显示板可以让我们查看和分析各种实时攻击模式，以便更好地保护客户。这方面的信息能够反映我们的客户所面临的攻击数量。在第 2 季度，我们客户所看到的攻击数量如下所示：

• 第 2 季度内，McAfee GTI 平均每天收到 440 亿次查询。• McAfee GTI 防范的恶意文件数量从第 1 季度的每天 3400 万个增长到第 2 季度的每天 3600 万个。

• McAfee GTI 防范的潜在有害程序 (PUP) 数量从第 1 季度的每天 5600 万个增加到第 2 季度的每天 7700 万个。

• McAfee GTI 防范的中等风险 URL 数量从第 1 季度的每天 9500 万个降低到第 2 季度的每天 4200 万个。

• McAfee GTI 防范的风险 IP 地址数量从第 1 季度的每天 6100 万个降低到第 2 季度的每天 5700 万个。

我们祝您威胁搜寻成功！

―Vincent Weafer，McAfee Labs 副总裁

报告

5 McAfee Labs 威胁报告：2017 年 9 月

执行摘要

关键主题

8 不再想被 WannaCry 困扰

22 像专业人员那样搜寻威胁

38 基于脚本的恶意软件兴起

威胁统计信息59

7

6

作者

此报告的研究及编写人员：

• Christiaan Beek

• Diwakar Dinkar

• Douglas Frosst

• Elodie Grandjean

• Francisca Moreno

• Eric Peterson

• Prajwala Rao

• Raj Samani

• Craig Schmugar

• Rick Simon

• Dan Sommer

• Bing Sun

• Ismael Valenzuela

• Vincent Weafer

目录

报告

6 McAfee Labs 威胁报告：2017 年 9 月

执行摘要不再想被 WannaCry 困扰

五月中旬，WannaCry 恶意软件攻击在不到 24 小时的时间里攻击了 150 多个国家/地区的 30 万台以上的计算机。数周之后，恶意软件 Petya 利用相同的操作系统缺陷执行了相似的攻击。这些攻击揭示了在关键区域仍在持续使用旧的和不受支持的系统，暴露了某些企业薄弱的补丁更新过程。这个关键主题探索了 WannaCry 攻击和 Petya 的时间轴和背景，及其表面上的后续行动；它们利用的漏洞；其渗透和传播方法的技术分析；以及我们对于这些攻击的动机及其后果的思考。

像专业人员那样搜寻威胁

威胁搜寻是网络安全领域不断发展和演变的能力，具有广泛的定义和目标，但通常被视为在不等待警报的情况下查找攻击和受危害的计算机的主动式方法。随着经验教训和相关信息的累积，威胁搜寻让安全运营中心能够研究攻击者的行为并提升攻击链的可见性。这让安全运营中心有了更为主动的地位，将重点转移到更早检测、更短的反应时间以及增强风险缓解。在五月，McAfee 调查了全球 700 多个 IT 和安全专业人员，以更好地理解在如今的组织中如何使用威胁搜寻，以及他们计划如何在将来增强自己的威胁搜寻能力。详细说明我们的调查结果的报告位于此处。在这个关键主题中，针对在搜寻威胁时使用特定类型的攻陷指标，我们提供了详细建议。

基于脚本的恶意软件兴起

在网络攻击中使用脚本技术已非新鲜事物。有些攻击在整个攻击过程中采用基于脚本的恶意软件，而其他攻击将它用于特定用途。在过去两年时间，以 JavaScript、VBS、PHP 或 PowerShell 脚本语言编写的基于脚本的恶意软件一直在增加，这都是由于一个非常简单的原因：规避。脚本易于进行模糊处理，因此安全技术难以检测到。在这个关键主题中，我们讨论了网络犯罪分子为什么利用基于脚本的恶意软件、基于脚本的恶意软件如何传播、使用脚本进行传播的恶意软件类型、作者对基于脚本的恶意软件进行模糊处理的方式以及如何防范基于脚本的恶意软件。

在关键主题中，我们分析了近期的 WannaCry 和 Petya 攻击、犯罪分子的潜在动机及其业务影响。

对于追踪威胁时使用某些类型的攻陷指标问题，此关键主题提供了详细的意见和建议。

在此关键主题中，我们了解了基于脚本的恶意软件 ― 使用原因、作者如何模糊处理脚本、传播方式和普及增长情况。

报告

7 McAfee Labs 威胁报告：2017 年 9 月

关键主题8 不再想被 WannaCry 困扰

22 像专业人员那样搜寻威胁

38 基于脚本的恶意软件兴起

报告

8 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

不再想被 WannaCry 困扰―Christiaan Beek、Raj Samani 和 Douglas Frosst

Attacking, defending, until there’s nothing left worth winning.

There ain’t no money left, why can’t I catch my breath?

I don’t wanna fight no more.

I don’t wanna cry no more.

Alabama Shakes。《Don't Wanna Fight》，发表于专辑《Sound & Color》，ATO Records，2015 年 2 月 10 日。

这首最新歌曲的歌词（有少许改动）就是人们对持续的勒 索软件斗争和最近 WannaCry 攻击的心情的很好写照。在 5 月 12 日，WannaCry 恶意软件攻击在不到 24 小时的时间里攻击了 150 多个国家/地区的 30 万台以上的计算机。已知的潜在罪犯各种各样，包括 Equation Group，他们发起了 Microsoft Windows 中的零日利用，发布了黑客工具；还有黑客团伙 The Shadow Brokers，他们在 4 月 14 日发布了一些工具。然而，实际情况更加复杂，并要回溯到更早的时候。

这篇文章探索了 WannaCry 攻击和 Petya 的时间轴和背景，及其表面上的后续行动；它们利用的漏洞；其渗透和传播方法的技术分析；以及我们对于这些类型攻击的动机及其后果的思考。

图 2：The Shadow Brokers Twitter 帐户。

图 1：2016 年 9 月的 Microsoft 博文。

报告

9 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

攻击时间轴

2016 年 8 月 13 日：The Shadow BrokersTwitter 帐户 @shadowbrokerss 创建于 2016 年 8 月，并在 8 月 13 日发布了一篇推文，涉及到从 Equation Group 破解得来的恶意软件和网络武器。在 2016 年的其余时间，他们进行了各种尝试将拥有的东西变为收入，包括拍卖、众筹和直销。他们提供了各种文件和截屏作为证据，但是没有实际的可执行文件。也没有什么证据证明使用这些工具在互联网上进行了攻击。

2016 年 9 月 13 日：Microsoft安全公告 MS16-114 重点报告了 Microsoft Server Message Block (SMB) 版本 1 中的一个重要而且持续存在的漏洞，可导致远程代码执行。下面的链接表明，相似的重要而关键的漏洞早在 2002 年 12 月便有记载，当时是在 Windows 2000 和 Windows XP 上发现。也许最值得注意的信息是 Microsoft 的博文，Stop using SMB1（停止使用 SMB1），发表于 2016 年 9 月 16 日。如果您还没有看这篇文章，请遵照博文中的说明关闭您环境中的 SMB1。您不需要这个时间有 30 年之久的协议，也肯定不想再用它，

2017 年 1 月 16 日：美国计算机应急准备小组 (US-CERT)简短而简单的信息：Disable SMB1（禁用 SMB1），并在网络范围内阻止所有版本的 SMB。

2017 年 2 月 10 日：韩国在 The Shadow Brokers 发布之前，另一款勒索软件攻击在韩国感染了 100 台计算机。该攻击没有使用工具和在 2017 年发布的 Windows 漏洞，但确实在代码中的几个字符串内包含“wcry”。该攻击并不是非常复杂，传播得不是很远，也不会成为头条。解密的赎金要求是 0.1 比特币，目前价值约 100 美元。该攻击没有使用 SMB 漏洞或任何 The Shadow Brokers 尚未发布的代码中的功能。

2017 年 3 月 14 日：Microsoft在 The Shadow Brokers 发布其工具集一个月之前， Microsoft 发布了安全公告 MS17-010，具有针对 SMB v1 中漏洞的更新。这个关键的漏洞“会在攻击者发送专门构思的信息时，允许远程代码执行”。针对受影响的操作系统提供了更新，这些操作系统范围从 Windows Vista 到 Windows 10，但很有可能要追溯到 Windows 2000 和 Windows XP。

报告

10 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

2017 年 4 月 12 日：韩国Hauri 是一家韩国安全公司，在其论坛上报告了一个新的勒索软件示例，其中包括勒索要求的截屏。用于勒索支付的比特币钱包显示活动始于 3 月 31 日。要加密的文件列表包括 .hwp，Hangul Word Processor 的文件扩展名，由韩国政府和公共机构使用，绝大多数勒索软件系列都未包括这种 文件。

2017 年 4 月 14 日：The Shadow BrokersThe Shadow Brokers 似乎无法出售自己的黑客工具，在 4 月 14 日他们发布了 250MB 的软件工具，并宣称是窃取自美国国家安全机构。这些工具的主要目标是 Windows 漏洞，其中大多数或所有漏洞都有可用的布丁。早期的报告表明，许多漏洞为零日漏洞，但是进一步调查显示事实并非如此。

图 3：2017 年 4 月韩国爆发攻击的勒索页面。

报告

11 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

2017 年 5 月 12 日：WannaCry 上了头条始于亚洲并迅速蔓延至西北地区，相关报告从受感染的计算机和勒索软件要求开始。在该日结束时，有 150 多个国家/地区多个行业的 30 万台以上的电脑受到感染，几乎没有明显的人工参与和指示行为。受害者看到赎金屏幕后，如果尝试 重启电脑，就会发生蓝屏错误。文件以扩展名 .wnry、.wncry 和 .wncryt 加密。

WannaCry 的版本使用 MS17-010 漏洞来自行传播，该漏洞也称为 Equation Group 的 EternalBlue，可在一个步骤内允

许远程代码执行以及获取系统权限。一旦恶意软件感染了计算机，就会在网络上迅速蔓延，甚至可跨越 VPN 链接，传播到所有没有打补丁的 Windows 计算机上。这是首次将勒索软件和自行传播的蠕虫组合的攻击，这也是攻击蔓延如此快的原因。

截至 5 月 12 日下午，安全供应商制作了威胁情报和恶意软件签名更新，其中有广泛的攻陷指标集，可检测所有已知的 WannaCry 示例。这些指标包括文件哈希、IP 地址、域名、文件名、字符串、注册表项和比特币钱包。

图 4：WannaCry 勒索页面。

报告

12 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

分析

WannaCry 感染使用 Windows KI_USER_SHARED_DATA 常量，该常量具有固定的内存地址（在 32 位 Windows 上为 0xffdff000）来复制负载并向其传输控制命令。尽管网络上的初始感染可能是通过钓鱼电子邮件或相似的攻击完成，一旦受干扰，恶意软件就会获取计算机的系统权限而无需任何用户操作，并且可开始传播到其他存在漏洞的计算机。

WannaCry 使用命令行命令悄悄删除所有卷影副本（vssadmin.exe、wmic.exe），删除备份目录 (wbadmin.exe)， 并在启动时间禁用自动修复 (bcdedit.exe)。在没有备份之 后，它在随机生成的文件夹中将自己写入 tasksche.exe 或 mssecsvc.exe，并让自己具有所有文件的完全访问权限 (icacls.exe)。

所利用的组件是 SMB 驱动程序 srv2.sys，该组件在被危害后会将 launcher.dll 注入用户模式进程 lsass.exe 的地址空间。launcher.dll 包含单个条目 PlayGame，其提取勒索软件并使用 CreateProcess 来启动 mssecsvc.exe。

图 5：命令行指令示例。

报告

13 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

图 6：launcher.dll 中的 PlayGame 条目。

图 7：PlayGame 使用 CreateProcess 启动 mssecsvc。

报告

14 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

kill switch 及变体WannaCry 的初始变体包括“kill-switch”代码，在执行勒索软件和网络漏洞之前检查两个特定域名。一名 22 岁的英国网络安全研究人员分析了一个恶意软件示例，并告知存在对于未注册域名的引用。他通过快速注册域名，阻止了勒索软件的该变体进一步传播。

数个其他变体没有 kill-switch 代码，因此将继续执行和传播。但这些变体也没有 SMB 利用代码，因此传播速度要慢得多。

国家/地区 IP address range

澳大利亚 1.0.0.0

日本 1.0.16.0

泰国 1.0.128.0

中国 1.0.1.0

图 9：国家/地区和 IP 地址表。

图 8：IP 地址传播尝试示例。

报告

15 McAfee Labs 威胁报告：2017 年 9 月

攻击媒介跟踪第一台受感染的计算机可为攻击者提供线索。在对受感染客户进行采访后，发现初始感染发生于澳大利亚、泰国和日本。感染的可见性根据地区而不同，并且信息收 集自多个来源，包括客户提交、来自 McAfee Global Threat Intelligence 的遥测技术、来自 VirusTotal 的数据以及来自安全伙伴的信息。

通过调查传播路径的各种特性，将我们引向这些国家/地区的 IP 地址，发现 WannaCry 可能是使用攻击脚本传播，该攻击脚本用于从 IP 1.0.0.0 开始扫描易受攻击的端口。

一旦勒索软件攻陷易受攻击的的系统，就会快速传播。在每次感染之后，恶意软件都会生成随机的 IP 地址列表，不限于

局域网上的那些 IP 地址。通过该技术，恶意软件可在同一网络上传播，并且如果随机生成的地址允许其网络外部的 SMB 数据包，还会在互联网上传播。在互联网上携带 SMB 有数种方式，包括直接承载于 TCP（端口 445）、UDP 上的 NetBIOS（端口 137 和 138），以及 TCP 上的 NetBIOS（端口 138 和 139）。该传播技术是恶意软件传播速度如此快的主要 原因，没有明确的模式。US-CERT 建议在网络范围内阻止所有这些端口。

如果发现了具有开放端口的计算机，恶意软件会发送三个 SMB 会话设置数据包，其中一个具有被利用的计算机的 IP 地址，另外两个有硬编码的地址。这两个硬编码的地址可由入侵预防系统用于检测使用 SMB 漏洞的尝试。

图 10：包含被利用计算机地址的 SMB 数据包。

报告

16 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

SMB 数据包包含恶意软件负载，该负载通过 4 字节 XOR 密钥 0x45BF6313 加密，以及来自 EternalBlue 和 DoublePulsar 破解工具的一些 x64 shellcode 加密。

SMB 还用于网络共享。一旦计算机受到危害，就会尝试感染任何作为本地磁盘安装的任何网络共享。访问这些共享的其他任何人可能偶然执行恶意软件并让自己的计算机受感染。尽管该媒介并非像网络漏洞那样迅速或有效，但是对于公司网络环境有明显的影响。

图 11：包含第一个硬编码 IP 地址的 SMB 数据包。

图 12：包含第二个硬编码 IP 地址的 SMB 数据包。

报告

17 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

文件恢复似乎解密密钥不会在支付赎金之后立即提供给受害者，因此如果没有备份，可以进行的选择很少。通过文件雕刻技术，有些人实现几乎完全恢复，而其他人则没那么幸运，有的几乎完全没有效果。但如果没有其他选择，这就是最好的方法。

文件雕刻会忽略文件系统结构，并直接转到原始数据。在 WannaCry 的一些变体中，恶意软件尝试在将原始文件加密之后覆盖原始文件。但是在一些操作系统上，原始文件仍然保留，或者没有删除卷影副本。文件恢复工具 PhotoRec 在磁盘搜索已知文件标题，并尝试通过邻近的块重组文件。该工具支持各种操作系统、文件系统和媒体类型，并且可确定 300 多个文件类型。通过防写入的 USB 驱动器运行该工具是尝试恢复的最安全方式，同时可确保将受感染的计算机 隔离。

该技术存在一定风险，并且不能保证完全或甚至是部分恢复，所以在使用时要自负风险。

但情况还不仅如此！

2017 年 6 月 27 日：Petya 迅速蔓延在爆发 WannaCry 六周之后，勒索软件 Petya 的变体（也叫做 NotPetya，从而可和初次在 2016 年现身时区分），利用了 SMB v1 的 EternalBlue 漏洞并迅速传播，尤其是在乌克兰。在 WannaCry 攻击之后，许多人应用了 Windows 补丁，所以 Petya 增加了一些额外的传播方式。如果 SMB 漏洞不成功，Petya 会尝试将合法的 Microsoft SysInternals 程序 psexec.exe 复制到目标的 ADMIN$ 文件夹，并通过名为 svcctl 的远程程序来运行它。如果失败，Petya 会尝试通过密码转储窃取管理员凭据，并使用窃取的凭据运行 wmic.exe 以直接在远程计算机上运行恶意软件。

一旦受到感染，恶意软件就会将本地文件和主启动记录加密，并尝试传播至网络上的其他计算机。和尝试感染网络上的所有 IP 地址的 WannaCry 不同，Petya 的地址更为精确，并且产生的网络流量也小得多。恶意软件检查其是否感染了工作站或域名控制器。如果恶意软件处于域名控制器上，其将查询动态主机配置协议服务，在所有子网上检索 IP 地址列表，并尝试感染这些计算机。

报告

18 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

Petya 还会计划任务，在 40 分钟后重新启动计算机，让计算机因为加密的启动记录而不可用。这似乎表明 Petya 攻击的主要目的不是获得赎金，更多是妨害或干扰目标组织的 运营。

重点

有关 SMB v1 中漏洞的信息已经流传了较长时间。最近的通知和补丁发布于 3 月 14 号，但是有关 SMB v1 中远程代码执行漏洞的报告要回溯到 10 年以前。这应当是对 IT 部门的一个明确提醒，促使他们意识到迅速应用关键补丁的重要性。无论该漏洞被视为低风险还是安全公告被忽视，都应当高度关注这样的事实：如此多的系统在运行易受攻击的未修复操作系统，甚至更糟的是还在使用不受支持的更旧的操作系统。该攻击并不是特别复杂，也不是很易于执行，但是破坏性很大。在技术更加娴熟的团体的操作下，影响可能是毁灭性的。

主要 DLL 组件C:\windows\dllhost.dat

释放到 C:\windows 下

%TEMP%

本地网络

通过管道发送窃取的密码

EternalBlue, PSEXEC, WMIC

PSEXEC.EXE

LSASS.EXE

RUNDLL32

DLL 组件

DLL 组件（非扩展名）dllhost.dat

EXE 组件（随机命名）

LSA 转储

目标机器

图 13：Petya 感染流。

报告

19 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

在另一方面，WannaCry 还有让许多人了解到这个漏洞的意外结果。因此，进行了协调工作来修复易受攻击的系统，并且模仿程序的攻击已减缓传播速度。但是 WannaCry 爆发六周后出现的 Petya 尽管总体速度和影响不如 WannaCry，仍然对许多计算机和组织造成了重大影响。

并非真的勒索软件？WannaCry 非常迅速地感染了许多计算机，成为了头条并造成了大量焦虑。但是，与许多早期报告相反，该攻击并非基于之前未知的零日漏洞，因此应该得到阻止。相似地，Petya 2017 的感染过程也很快，但主要是针对乌克兰的计算机。这个攻击背后的动机是什么？在我们对 WannaCry 的通信功能进行测试后发现，作者由于疏忽而加入了一个函数，该函数将受害者的唯一 ID 和其比特币支付连接，让基于每个用户的完全加密即便并非完全不可能也会非常困难。

Petya 的当前变体也标记为勒索软件，并且似乎也没有包 含功能性支付和解密机制。它的目标加密文件类型仅为 WannaCry 的三分之一，并且在加密文件之后不会添加自己的文件扩展名，从而很难以在计算机上确定哪些文件受到感染。最后，它会覆盖加密密钥，将主启动记录加密，并在受感染的一个小时内重启，让系统不可用且不可恢复。

报告

20 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

这两种攻击的主要目的似乎不是盈利，而是进行妨害和破坏，通过勒索画面来转移人们对于真正目标的注意力。不幸地是，预期未来还会看到更多这种攻击。

最佳方法

McAfee 建议采取以下措施来防范 WannaCry、Petya 和其他类型的勒索软件：

• 备份文件：防范勒索软件最为有效的步骤是定期备份数据文件并检查网络还原程序。

• 培训网络用户：与其他恶意软件相似，勒索软件通常通过使用电子邮件附件、下载和跨脚本 Web 浏览的钓鱼攻击感染系统。

• 监控和检查网络流量：该步骤将帮助确定和恶意软件行为相关的异常流量。

• 使用威胁情报数据源：该做法有助于更快地检测威胁。• 限制代码执行：勒索软件通常设计成在广为人知的操作系统文件夹下运行。如果它由于访问控制而无法抵达这些文件夹，则可阻止数据加密。

• 限制管理和系统访问：一些类型的勒索软件设计成使用默认的帐户来执行其操作。对于这种类型的勒索软件，重命名默认用户帐户和禁用所有不必要的有权限和无权限的帐户可获得更多保护。

• 删除本地管理权限：通过管理权限阻止勒索软件在本地系统上运行，并阻止其传播。删除本地管理权限也可阻止对于勒索软件作为加密目标的任何关键系统资源和文件的访问。

• 其他权限相关的做法：考虑限制用户写入能力、阻止从用户目录执行、将应用程序列入白名单以及限制对于网络存储或共享的访问。一些勒索软件需要特定文件路径的写入访问权限方可安装或执行。限制对于少数目录的写入权限（例如我的文档和我的下载）可阻止类似软件变体成功。也可通过删除对于这些目录的执行权限来阻止勒索软件可执行文件。许多组织使用有限的应用程序集来开展业务。通过对应用程序保持纯白名单策略，可阻止含有勒索软件的未列入白名单的应用程序执行。最终的权限相关做法是在诸如网络文件夹的共享资源上要求登录。

• 维护和更新软件：防范恶意软件的另一个重要基本规则是维护和更新软件，尤其是操作系统补丁，以及安全和防恶意软件的软件。

报告

21 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

特别重要的是减少受攻击面，尤其是钓鱼攻击的受攻击面，这种攻击是勒索软件最常用的技术之一。对于电子邮件，请考虑以下办法：

• 筛选电子邮件内容：确保电子邮件通信安全是一个关键步骤。如果网络用户收到的可能包含潜在恶意和不安全内容的垃圾邮件减少，成功攻击的可能性也将降低。

• 阻止附件：附件检查是减小攻击面的重要步骤。勒索软件通常以可执行附件的形式提供。可以颁布政策，规定某些文件扩展名不能通过电子邮件发送。可通过沙盒解决方案分析这些附件，并由电子邮件安全工具将这些附件删 除掉。

要了解 McAfee 产品如何帮助防范 WannaCry、Petya 和勒索软件，可单击此处。

要了解 McAfee 产品如何帮助防范勒索软件，请单击此处。

解决方案简介

1 防范 WannaCry 和 Petya

2017 年 5 月，出现了一种基于 WannaCry 恶意软件系列的大规模网络攻击。 WannaCry 利用了 Microsoft Windows

某些版本中的漏洞。据估计，在攻击高峰期，全球有 150 个国家/地区的 30 多万台计算机受到感染，攻击者要求每台计算机都支付赎金。

最初的攻击途径不得而知，但攻击性蠕虫助长了恶意软件的传播。Microsoft 在 3 月份发布了一个关键修补程序，用于删除受支持的 Windows 版本中的内在漏洞，但许多组织尚未有效应用此修补程序。

运行不受支持的 Windows（Windows XP，Windows Server 2003）版本的计算机无法获取有效的修补程序。在受到

WannaCry 攻击后，Microsoft 针对 Windows XP 和 Windows Server 2003 发布了特殊的安全修补程序。

大约六周后，另一次网络攻击也利用了同一个漏洞。 Petya 没有造成像 WannaCry 那么大的影响，但这两次攻击都暴露了在关键领域继续使用旧版本或不受支持版本的操作系统的巨大风险，以及一些组织不遵循有效修补更新过程所面临的风险。 《McAfee Labs 威胁报告：2017 年 9 月》中详细分析了这两次攻击。

防范 WannaCry 和 Petya

报告

22 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

像专业人员那样搜寻威胁 ―Ismael Valenzuela 和 Douglas Frosst

威胁搜寻是网络安全中不断发展和演化的能力，具有广泛的定义和各种目标。威胁搜寻通常是无需等待警报的发现攻击和受危害的计算机的主动型方法。一个基本的假设是，在每个时刻，在网络上都至少有一个受危害的计算机，已经有攻击设法突破了组织的预防安全措施。

威胁搜寻者专注于威胁，而非漏洞、利用和恶意软件，后面几者都是由一般安全工具、人员和进程来处理。威胁搜寻者查找可表明网络中存在攻击者的特制内容或证据，在攻击引发警报或导致数据泄漏之前，帮助抑制和消除攻击。目标在于打断攻击者，阻止他们实现目标。随着经验教训和信息的累积，威胁搜寻让安全运营中心能够研究攻击者的行为并提升攻击链的可见性。这让安全运营中心 (SOC) 有了更为主动的地位，将重点转移到更早检测、更短的反应时间以及增强风险缓解。

在五月，McAfee 调查了全球 700 多个 IT 和安全专业人员，以更好地理解组织中如何使用威胁搜寻，以及他们希望如何增强自己的威胁搜寻能力。您可阅读整篇研究，《扰乱破坏者是技能还是科学？》了解威胁追踪人员的角色以及网络安全领域 SOC 的持续演变。该关键主题更深入地探讨特定类型的攻陷指标、攻击者策略和技术以及威胁搜寻者如何利用 它们。

“威胁追踪就像寻宝而不是采矿。对于要寻找什么，并无地图可循，也没有标准流程。您可使用当前合适的任何方法。”

受采访的威胁追踪人员，McAfee 威胁追踪调查，2017 年 5 月

报告

23 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

来自 McAfee 威胁搜寻调查的重要结果

在 2017 年威胁搜寻研究中，我们了解到安全分析师使用广泛的数据来将攻击信号与正常活动的环境噪声分离。他们使用自己的工具集和技术来处理和分析数据，并提取有用的攻陷指标。

使用活动日志

日志类型 受访者百分比

防火墙/IPS 拒绝的流量 76%

DNS 69%

代理 60%

Web 和电子邮件过滤器 59%

服务器 59%

Windows 事件（域名） 57%

数据包检查 (sniff) 45%

图 14：用于威胁搜寻的最常用日志。

资料来源：McAfee 威胁搜寻调查，2017 年 5 月。

日志活动日志是威胁搜寻者的丰富数据来源。所有类型的组织都会定期使用各种日志，通常有三种或四种不同的日志。大约 25% 的最高效的搜寻组织使用全部七种日志。完整的数据包捕获平均保留 6 个月。

攻陷指标总体而言，研究中半数或更多的受访者使用的最为常见的攻陷指标 (IOC) 为 IP 地址、非常规域名系统 (DNS) 请求、分布式拒绝服务活动和地理违规迹象，以及可疑的系统文件注册表更改。

报告

24 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

要了解有关期望了解和增强自身威胁搜寻能力的组织的更多见解和经验教训，请下载完整报告。

您通常使用以下哪种 IOC 进行威胁追踪？

可能存在恶意的注册表或系统文件更改

IP 地址 54%

53%DNS 异常请求

DDoS 活动和地理违规迹象

0% 10% 20% 30% 40% 50% 60%

52%

49%

46%

45%

45%

44%

42%

41%

40%

37%

34%

33%

29%

特权用户帐户的异常活动或异常现象

对同一文件发出的大量请求

登录危险信号，例如暴力攻击

URL

HTML 响应大小

域名

不正常端口的应用程序流量

文件名

文件哈希

异常的“南-北”或“东-西”网络流量

系统意外安装补丁

图 15：威胁追踪人员常用的攻陷指标。

报告

25 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

如何像专业人员那样搜寻

MITRE威胁搜寻以对攻击者的策略和技术的了解为基础。用于描述这些程序的出色模型由 MITRE 提供，这是一家非营利研究组织。MITRE 已经致力于加强网络防御四十多年。他们的模型名为 ATT&CK，是 Adversarial Tactics（对抗性策略）、Techniques（技术）和 Common Knowledge（常识）的缩写，对攻击者的危害后行为以及他们尝试扩展自己的访问权限并实现目标时可能使用的策略提供了详细说明。我们建议使用该方法。

基于该模型构建了 ATT&CK 矩阵，后者添加了有关策略的更多详细信息，并确定了适用于每个策略的具体技术，包括在何处使用它们以及哪些威胁发起者可能采用它们的示例。

目标在于检测是否存在攻击者，时间越早越好。在攻击首次渗透系统时，在交付或利用阶段检测出来最为有利，但是不容易做到，因为这些技术经常变动和进化。在另一方面，在渗透阶段进行检测可能为时过晚，尽管有时所有分析师都可实现。在大多数时间，搜寻者倾向于在命令和控制阶段，或者当攻击尝试从初始渗透转移到存留时确定攻击。

传递武装侦查 利用 控制 执行 维护

• 持久• 权限升级• 防御规避• 凭据访问权限

• 发现• 扩散• 执行• 收集

• 泄露• 命令和控制

图 16：MITRE ATT&CK 模型和策略类别。

报告

26 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

Foundstone现在我们来重点讨论 McAfee 的 Foundstone 服务安全咨询团队使用的关键技术。这些技术可帮助威胁搜寻者发现其环境中的攻击者。尽管这些技术在孤立使用时都不完善，当组合起来并作为有序的流程的一部分使用时经证明是高度有效的。

该过程基于三项重要的“了解”：

• 了解对手• 了解自己的网络• 了解自己的工具

了解对手安全分析师不是在和二进制文件斗争。他们是在和有着强烈动机的攻击者斗争，无论这种动机是经济上的、政治上的还是军事上的。有效的防御不能完全以攻陷指标为基础。有人发现它们的事实并不意味着你能发现它们。攻击者可非常迅速地更改自己的 IP、域名、哈希等，有时甚至达到每分钟数百次，并且能非常轻松地实现。高效的搜寻者专注于高级别策略和技术，这些策略和技术让他们能够大概了解攻击者并了解他们的动机会如何影响其行为，同时在网络上搜索这些行为模式的证据，并不断增加他们对于敌手的了解。

了解敌手是选择正确的搜寻假设和正确的问题的必要前提，这可让搜寻者收集上下文、批判性地思考并最终证明或反驳那些声明。

了解网络攻击者有时对于受害者网络的了解比组织本身还深入。许多公司都在专注于将犯罪分子杜绝在自己的边界和计算机之外，没有足够的时间来持续监控和检测并快速响应。搜寻需要了解网络一般情况下的状态，从而能发现异常模式。只有了解正常的状态才能了解异常的情况，这在每个环境下有所不同。

在了解哪些威胁因素最可能对其网络造成威胁之后（根据行业、地理位置、公众形象等），搜寻团队专注于他们想要追踪的特定数据（其关键信息），以及这些数据驻留于其网络和系统的哪些网段。其他攻击（例如 Petya）以破坏运营为目标。专注于目标和动机可让安全团队缩小攻击者最可能使用的策略和技术类型范围，并优先搜寻相关内容。

报告

27 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

了解自己的工具高效的搜寻者使用各种工具，了解何时可以最佳效果利用它们，何时可能失败，而不会过于依赖其中一种。因此高效的受训者不会过多关注工具，而是关注跨攻击链构建更高可见性需要什么数据，并发现在之前阶段确定的特定攻击技术和特制内容。如果没有有效的工具来解析和分析数据，高效的搜寻者通常会编写自己的工具（脚本）或通过自动化、集成和编排来改写已有的工具。

当然，如果在第一时间不具备需要分析的数据，这些工具不能发挥太大作用。在 Windows 的默认配置下，攻击者采取的行动不会产生任何事件日志，因此准备工作和适当的日志记录策略很重要。这些日志中有许多可通过审核应用程序、端点检测和响应产品或 Microsoft 的 Sysinternals Sysmon 来收集。至少在关键系统中，最为重要的日志之一是使用全命令行日志记录的进程创建（事件 ID 4688）。

效果良好的搜寻

以下小节根据在一般组织中通常使用的日志，描述了您可采用的一些最为有效的搜寻。不应当孤立考虑这些搜寻方式中的任一个，而是将它们作为融入了我们所述的关键元素的流程的一部分。

每个搜寻示例都描述了一种假设、搜寻者需要提出的问题 （用于证明或反驳假设）、用于回答这些问题的数据或特定特制内容、该数据的来源、搜寻技术或建议实施它的分析。这一格式参照的是以下文章中的分类法和指导准则：The Need for Investigation Playbooks at the SOC（在 SOC 中对于调查方案说明的需要）（由于 Ismael Valenzuela 和 Matias Cuenca-Acuna 在 2017 SANS SOC 峰会上发 表），以及 Generating Hypotheses for Successful Threat Hunting（提出成功威胁搜寻的假设）（作者为 David Bianco 和 Robert M. Lee）。

为了补充该报告，借助来自 Foundstone GitHub 的这个分类法，在以下小节中描述的搜寻中的每个都得到了扩展并可供使用。

报告

28 McAfee Labs 威胁报告：2017 年 9 月

命令和控制活动搜寻

DNS 可能是用于检测攻击者的命令和控制活动的最佳来源，这些命令和控制活动可通过查看出站 DNS 请求来隔离。典型的命令和控制流量形式利用域生成算法 (DGA) 来避免基于签名的检测。这种恶意软件没有硬编码的域，会根据当前日期每隔数天生成新的域名。除了并非由基于字典的词组成，这些字符串通常比一般字符串更长。采用 DNS 请求日志文件并按长度将请求排序的简单脚本为搜寻者提供有用的线索，如图 17 中所示。（有关该主题的更多信息，请参阅 Identifying Malware Traffic with Bro and the Collective Intelligence Framework（通过 Bro 和 Collective Intelligence Framework 确定恶意软件流量））。

来自域名生成算法的流量的另一个特性是高随机性或熵。单词不会随机分布字母，并且易于搜索。例如，如果攻击者将恶意软件编码并访问“evil.com”以进行控制，安全分析师通过简单的静态规则，不仅能够检测还能预防这种流量。因此攻击者通过使用高熵域名进行改编，以规避这种检测。SANS Institute 的事件响应顾问以及安全讲师Mark Baggett 发布了非常高效的频率计算工具，可帮助搜寻来自网络的异常 DNS 请求。

假设：网络中的受感染系统正在生成尚未检测到的命令和控制流量。

原因：恶意软件不能在真空环境中运行。它需要连接攻击者的基础设施，才能下载更多负载，接收在终端上执行操作的相关指令，以及报告受害者网络中的信息。这需要出站连接，即从受害的主机到攻击者控制服务器的 连接。

问题：是否有高熵度出站 DNS 请求？是否有大量传入 NX（不存在的）域响应传回网络？DNS 请求或响应中是否有超长 TXT 记录？HTTP 请求中是否有异常的用户代理字符串？是否会定期建立出站连接？

遗留项：DNS 请求和响应，HTTP 请求中的用户代理字符串。

资料来源：D N S 服务器的 D N S 日志与 Microsoft DNS 分析/代理日志，或 Bro 传感器的 Network Security Monitor (NSM) 数据。

方法：分析 DNS 和用户代理的最低频率。

命令和控制活动搜寻示例

报告

29 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

DNS 流量还可用于在受害者和控制器之间隧穿命令（包括激活远程 shell、上传或下载文件）来渗透防火墙。组织的安全架构应当设计成允许出站 DNS 请求仅源自小型可信 DNS 服务器集。接下来，通过删除域名和顶级域名将 DNS 流量分类，并查看具有异常长的子域名的请求。通向一个域名或具有长子域名的 IP 地址的大量流量、TXT 记录类型、大量主机名，都应当视为可疑的活动并必须进一步调查。

a37fwf32k17gsgylqb58oylzgvlsi35b58m19bt.com

a47d20ayd10nvkshqn50lrltgqcxb68n20gup62.com

a47dxn60c59pziulsozaxm59dqj26dynvfsnw.com

a67gwktaykulxczeueqf52mvcue61e11jrc59.com

axgql48mql28h34k67fvnylwo51csetj16gzcx.ru

ayp52m49msmwmthxoslwpxg43evg63esmreq.info

azg63j36dyhro61p32brgyo21k37fqh14d10k37fx.com

cvlslworouardudtcxato51hscupunua57.org

图 17：受感染的系统生成的示例 DGA 流量。

这些搜寻假设您具有对于您的 DNS 服务器生成的 DNS 日志的访问权限，这些日志通常是一些解析 Windows 客户端请求的 Active Directory 控制器，根据我们的经验，由于性能原因和存储要求，通常在许多环境下不会收集这些日

志。收集和分析这些日志对于搜寻、取证和入侵检测特别重要。Microsoft 通过推出 Windows DNS 解析记录确认了这一需求。该篇 Microsoft 文章详细描述了如何在运行 Windows Server 2012 R2 或更高版本的 DNS 服务器上启用这些 日志。

可应用相似的概念，以检查网络是否存在异常用户代理。 用户代理字符串由应用程序发送，通常是浏览器，具有 HTTP 请求标题并且由服务器用于确定提供所请求资源的最佳方式。和任何软件一样，可以伪造该用户代理。通过其分析我们容易了解到，该软件不仅用于上网（包括浏览器和操作系统版本、浏览器插件等），还用于确定在我们的环境中正常和异常状况分别该是什么样，是什么通常会导致发现攻击者活动。尽管一些入侵检测引擎专注于确定列入黑名单的代理，受训者可应用最低出现频率分析来检测异常情况，这是一种效率高得多的技术：

• 从来自代理或 NSM 日志的 HTTP 请求收集用户代理。• 从最为常见到最不常见排序。• 检查异常情况（出现频率最低的情况）。

报告

30 McAfee Labs 威胁报告：2017 年 9 月

该分析将查找常见的下载程序、p2p 软件、流媒体播放器以及其他可能违反策略的情况；但是在很多情况下，您也能发现恶意软件在进行通信，以控制服务器基础设施。

有关更多实施详细信息，请参阅命令和控制调查方案说明。

搜寻存留内容

一旦攻击者在组织内立足，他们就希望能逗留并随时回来。这通常涉及在系统重启和不同用户登录时持续存留。

有数种方式可供攻击者实现这个目标，但是在该阶段采用的最为常见的技术涉及自启动扩展点 (ASEP) 的使用，这通常称为 autorun，其包括：

• 设置为在登录时自动启动的脚本或二进制文件。• 计划的任务

• 服务

• 设备驱动程序

在这些 ASEP 中任一个中搜寻异常条目的成功方法是每日从许多系统搜索条目，并采用最低出现频率分析来从最为常见到最不常见排序。

搜寻存留内容假设：至少有一个系统受到某恶意软件变体感染，此变体本身是为自动启动而创建的，但尚未检测到的变体。

原因：在大多数情况下，攻击者需要在恶意软件中建立某种持久性机制，以便跨会话控制受感染系统，并且不受重新启动影响，以达到自身目的。

问题：是否为在受调查系统中、不同子网之间或关键服务器中自动启动设置了新项目？

遗留项：Windows ASEP。

资料来源：Windows 注册表、Microsoft Sysinternals Autoruns 输出。

方法：每日拍摄快照，分析差异和最低频率，重点关注异常。

示例

报告

31 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

Sysinternals 工具 Autoruns 对此进行了简化，方法是让您能够使用图形界面从实时系统或使用 autorunsc 从命令行来创建这些 ASEP 的快照。该工具可比较或“区分”两个快照来突显更改。在比较两个报告时，应当仔细检查新的条目是否有未经授权的更改，并检查二进制文件是否设置为从诸如 %USER%\APPDATA\Local\temp、回收站的临时位置或任何其他异常位置自动 启动。

应当仔细检查未签名的二进制文件、异常短或长的文件名以及任何其他罕见的可执行文件名或目录。

有关更多实施详细信息，请参阅我们的驻留调查方案说明。

PowerShell 通过远程访问这些注册表项提供绝佳的编写这种脚本的方式。高级 SANS 讲师 Eric Conrad 提供了指向某些 PowerShell 脚本的链接，这些脚本实施了这种理念并且通常可检测出未经授权的软件，包括设置为自动启动的恶意软件。当结合 freq.py 使用来检查这些注册表项的熵时，可得到非常强大的技术。

报告

32 McAfee Labs 威胁报告：2017 年 9 月

权限升级搜寻

一旦攻击者危害了系统，该攻击是否成功主要取决于攻击者获取的权限。较低权限的帐户可能不足以让攻击者在环境内横向移动。也不可能允许该帐户运行需要特权内存区域访问权限的工具，在这些区域包含攻击者所需的哈希、令牌或票证。（在接下来的小节中阅读更多有关横向移动的信息。）

攻击者可通过不同的方式提升权限：

• 确定以高权限运行的并且可由恶意二进制文件取代的易受攻击的服务。

• 将非授权用户添加至已授权本地或域用户组中。• 由于缺少补丁，利用本地漏洞（例如 Win32k 权限升级漏洞 CVE-2016-7255）来获取系统权限。

• 绕过用户访问控制 (UAC) 来执行恶意应用程序，该恶意应用程序通常需要管理员权限，无需获取相关用户的权限。

假设：被入侵的系统中的攻击者通过向有权限的用户组添加用户，试图提升权限。

原因：在成功利用漏洞后，攻击者可能已获取非特权凭据，使其能够提升权限级别，达到自己的目的。

问题：有权限的本地/域用户组中是否有新用户？是否缺少用于尝试本地权限升级的补丁？是否将二进制文件设置为因文件系统权限低可替换的服务？

遗留项：Windows 事件日志（ID 4728、4732、 4756）。

资料来源：Windows 终端和服务器。

方法：在企业域控制器（或非域环境下的单个计算机）上检查是否创建了 ID 为 4728、4732 和 4756 的事件。

权限升级搜寻示例

报告

33 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

攻击者通常采用将非授权帐户添加至已授权用户组的方式来成功提升权限。在许多环境中，这是很少见的事件，因此任何该类活动迹象都必须立即调查。

通过跨您的域控制器（或非域环境中的单独系统）运行以下查询，可轻松地使用 PowerShell 对该搜寻编写脚本：

Get-WinEvent -FilterHashtable @{LogName=”Security”; ID=4728, 4732, 4756}

成功搜寻需要准备。一种检测权限升级的主动型但是非常成功的方法是采用欺骗技术：搜寻者设置陷阱来作为早期警告系统。“蜜罐凭据”(Honey creds) 或“蜜罐哈希”(honey hashes) 就是可用于该目的的令牌形式。搜寻者用伪造的凭据填充本地安全性授权子系统服务 (LSASS) 缓存区，并等待攻击者获取它们，由此对未经授权的访问提供早期警告。有数种工具可满足该目的，包括 PowerShell 脚本 Invoke-CredentialInjection.ps1。或者，我们还可使用诸如以下的简单命令：

echo “superpassword” | runas /user:mydomain.com\superadmin /netonly ipconfig

然后搜寻者创建计划的任务，检查安全事件日志中的事件 ID 4625（“登录失败”），并检查一个脚本，一旦在该日志上发现超级管理员帐户该脚本就会发出警报。该技术也可让我们搜寻横向移动。

有关更多实施详细信息，请参阅我们的权限升级调查方案 说明。

横向移动追踪

一旦攻击者经由被危害的系统在组织中立足（通常通过客户端利用）并设法获得具有权限的凭据，接下来的步骤通常涉及横向移动，以访问存有最重要数据的系统。

许多组织仍然过于依赖外围保护设备，内部分段和监控很少或没有，从而攻击者通常可利用诸如“传递哈希/票证/令牌”的技术在网络中自由移动。但在许多情况下，攻击者会尝试通过利用和 IT 部门用来管理网络的工具相同的工具（例如远程桌面协议）来混合，这是一种很隐蔽的方法。

在最近几年我们观察到针对该用途的标准 IT 管理工具 （诸如 PsExec、PowerShell 和 Windows Management Instrumentation (WMI)）的使用显著增加。PsExec 作为 Microsoft 的 Sysinternals 套件的一部分是一种工具，该工具被广泛滥用，尤其是在定向攻击中（例如请参阅我们有关SAMSAM 或最近的 Petya 攻击的报告）。

报告

34 McAfee Labs 威胁报告：2017 年 9 月

PsExec 允许管理员使用服务器消息协议在 TCP 端口 445 上经由命名管道远程执行命令。该功能不仅可用于系统管理员，还可用于攻击者，后者通过 PsExec 并利用获得的凭据，可跨网络上的多个远程计算机控制软件的执行。当然，将本地管理员帐户的密码或您用于验证的漏洞扫描的域帐户的密码同步，是让攻击者更容易得手的绝佳方式。

要执行 PsExec，管理员需要在自己的工作站上有二进 制文件。一旦连接至远程系统上隐藏的 ADMIN$ 共享， PsExec 就会启动服务 psexecsvc，并启用命名管道，管理员通过该命名管道发送命令和接收其输出。

了解该过程可让我们在启动新服务而触发以下事件的创建时搜寻 PsExec 的执行：事件 ID 7045：

Get-WinEvent -FilterHashtable @{logname=’system’; id=7045}

Metasploit Framework 提供具有和 PsExec 相似的功能的模块，向攻击者返回负载（通常是 Meterpreter shell）。

横向移动追踪

假设：网络上的主动攻击者正在尝试使用 PsExec 横向移动。

原因：攻击者通常无权直接访问初次被入侵的系统中的目标信息，他们需要“跳”到其他系统，或使用获取的凭据在远程计算机上执行命令。

问题：是否有使用 PsExec 的证据？关键服务 器上是否有新服务？是否有启动新服务的相关错误？网络中是否有工作站到工作站的 流量？

遗留项：Windows 事件日志（ID 7045、7030、 4624）。

资料来源：Windows 终端和服务器。

方法：检查是否创建了 ID 为 7045 的事件，是否有 PsExec 运行的证据；检查是否创建了 ID 为 7045 和 7030 的事件，是否有 Metasploit PsExec 运行的证据。

示例

报告

35 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

但关键的差异是让我们可以搜寻 Metasploit 的 PsExec 版本：

• 它可创建随机服务可执行文件。• 它生成事件 ID 7030 作为错误的一部分，该错误在允许 Metasploit PsExec 服务与桌面交互时发生。

我们可搜寻 Metasploit 的 PsExec 的执行，方法是搜索事件 ID 7045 加事件 ID 7030。

Get-WinEvent -FilterHashtable @{logname=’system’; id=7030}

搜寻横向移动的另一种成功的技术是在内部网络中使用本地凭据专注于查找成功的网络（远程）登录。在典型的 Windows 域中，网络登录应当采用域帐户，而非本地帐户。因此，通过这种技术容易发现：攻击者获得本地帐户（其密码跨网络同步），并使用它来横向移动。相似地，该用户可显示为同时登录多个系统。不幸地是，本地和网络登录都产生相同的事件 ID (4624)，因此需要解析记录中的“安全 ID”以及“帐户域”字段。

有关更多实施详细信息，请参阅我们的横向移动调查方案说明。

搜寻数据窃取

多年以来，网络工程师和网络运营中心都利用网络会话数据来进行连接故障排除，并监控网络性能问题，同时这也是安全分析师最容易忽视的日志。

基于会话的数据或网络“数据流”都是很好的数据源，不仅是针对安全分析师而言，对于威胁搜寻者也是如此。这些网络数据流通常称为 NetFlow，最先在 Cisco 路由器中推出，包含关于遍历路由器的连接的有用元数据，其中包括第 3 层 (IP) 和第 4 层 (TCP/UDP) 会话信息。尽管详细信息水平取决于设备和协议版本，数据流通常提供足够的信息来确定网络的一般行为，这正如我们之前在三项“了解”中所述，是效果良好的搜寻的主要原则之一。

不仅可从边界路由器获得漏洞数据，还可从内部交换机、防火墙和诸如 SiLK 或 Argus 的收集器获得。（从外围防火墙的角度，在执行网络地址转换时，所有出站流量将您的外围防火墙视为唯一的来源。）跨网络的可见性越高（从外部和内部网段），就可以回答更多的调查问题。

报告

36 McAfee Labs 威胁报告：2017 年 9 月

至少要调查具有以下特性的连接：

• 长期保持存留的连接。当运行该分析时，您将发现已授权或未授权的 VPN、SSH 连接、浏览器工具栏，并且通常能发现恶意软件。

• 将数据发送至外国，尤其是组织未在其中开展常规业务的国家。

• 将大量数据发送到网络以外。

如果您跨这三个列表看到相同的源 IP 地址，则有可能就发现了未被发现的数据泄露。

有关更多实施详细信息，请参阅我们的数据泄露调查方案 说明。

假设：攻击者正在尝试向非业务相关地理位置泄露大量数据。

原因：泄露是蓄意攻击者发起的数据泄露攻击的最后一步。攻击者可能会使用不同协议向网络外部发送大量数据。

问题：是否有工作站或服务器向网络外部发送大量数据？是否有连接到非业务相关地理位置的出站连接？是否在异常的时间发送数据？是否有长期保持固定不变的连接？

遗留项：网络会话数据（数据流）。

资料来源：边界路由器、交换机或其他收集器（SiLK、Argus 等）。防火墙、代理和 NSM 设备也可以提供相似的信息。

方法：概述网络上的正常情况，追踪长期保持固定不变的连接，连接到其他国家/地区的连接，以及发送大量数据的连接。

搜寻数据窃取示例

报告

37 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

总结

尽管威胁搜寻不能替代良好的持续监控或任何其他成熟的组织应当努力实现的关键能力，但也确实提供了希望从被动转为主动的成熟 SOC 的关键元素。

尽管这些技术中没有一个算得上完美，但每次使用时都证明它们非常有效。对于它们的应用可带来额外的优势：在您进行这些操作时，您将更好地了解自己网络的运营方式以及什么属于正常状态，从而您就能更好地进行准备，发现异常 活动。

威胁搜寻者可在我们的 GitHub 站点更好地了解如何根据假 设和问题实施有效的方法，同时也可研究其他一些不错的 资源：

其他阅读材料

• Threat Hunting Project（威胁搜寻项目）• Detecting Lateral Movement Through Tracking Event

Logs（通过跟踪事件日志检测横向移动）• Helping Overburdened SOC Analysts Become More

Effective Threat Hunters（帮助工作繁重的 SOC 分析师成为更加高效的威胁搜寻者）

• Game Changer:Identifying and Defending Against Data Exfiltration Attempts(格局颠覆者：确定并防范数据泄露企图)

• How Analysts Approach Investigations(分析师如何进行调查)

开源工具

• Collecting & hunting for IOCs with gusto & style(用积极有效的方式收集和搜寻攻陷指标)

• OpenDXL

• DeepBlueCLI

• Security Onion

• SOF-ELK

• Real Intelligence Threat Analytics

报告

38 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

基于脚本的恶意软件兴起―Diwakar Dinkar 和 Prajwala Rao

恶意软件使用的脚本技术是攻击者广泛采用的策略。一些恶意软件采用这些技术来妨害运营，而其他恶意软件则用于特定目的。随着网络罪犯继续寻找方法来欺骗用户和进行渗透检测，McAfee Labs 已经发现基于脚本的恶意软件在过去两年增加。

恶意软件作者使用 JavaScript、VBScript、PHP、PowerShell 和其他脚本来分发自己的恶意软件。我们已经发现了 Bartallex、Kovter、Nemucod 和 W97/Downloader，还有其他许多恶意软件，它们使用脚本向受害者的计算机提供负载。在 2015 年，Angler 渗透代码工具包将脚本用于恶意软件分发。在 2016 年，Locky 通过利用多个模糊处理的 JavaScript 层传播。Nemucod 勒索软件采用了 PHP 和 JavaScript。我们还发现借助 PowerShell 执行无文件恶意软件的情况。Bartallex 组合利用 .bat 和 .vbs 文件来下载其负载。Dridex 使用 PowerShell 来帮助下载和执行其负载。在 2017 年初，攻击者使用 PowerShell 来将 Mac 作为攻击目标。

报告

39 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

提交给 McAfee Labs 的 PowerShell 恶意软件数量

5000

0

25000

20000

15000

10000

3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度2015 2016 2017

提交给 McAfee Labs 的超文本应用程序和 VBS 恶意软件

400000

0

1600000

1200000

800000

3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度2015 2016 2017

报告

40 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

为什么使用脚本？脚本语言为攻击者提供了和基于文件的恶意软件相同的功能。但是什么促使恶意软件作者使用脚本语言？规避可能是这种攻击策略受到欢迎的主要原因。脚本易于进行 模糊处理，因此难以被检测到。我们在《McAfee Labs 威胁报告：2017 年 6 月》中讨论了许多规避技术。

在过去数年，McAfee Labs 观察到了基于脚本的恶意软件的大幅增加。在这个关键主题中，我们要讨论两个最流行的类型：JavaScript 和 PowerShell。我们将研究传播方式、脚本如何在受害者计算机上着陆以及感染机制。

JavaScript

恶意 JavaScript 基本上是下载程序，通过恶意软件垃圾邮件活动将用户作为目标。这些恶意脚本通常通过垃圾电子邮件抵达用户的计算机，嵌入在附加的 .zip 或 .rar 文件中。当用户打开文件存档并双击 JavaScript 文件时，Windows 脚本引擎 JScript 会执行它以与一个或数个远程主机连接，以下载额外的恶意软件并在未经允许的情况下感染用户的计算机。

多年以来，攻击者将垃圾邮件活动作为分发恶意软件的最为流行的方式之一。在大多数情况下，电子邮件附件会提供恶意的可执行文件，通常使用 .exe、.pif 或 .scr 作为扩展名；具有隐藏的双重文件扩展名的看上去无害的文档；或者嵌入恶意可执行文件的文件存档。但在最近几年垃圾邮件趋势发生了变化，现在发出的是利用漏洞的格式不正确的文档，或者包含可下载其他恶意软件的恶意 JavaScript 文件的文件存档。JavaScript 恶意软件不利用漏洞来进行感染，但是会使用社会工程来找到可趁之机。

恶意“JavaScript”实际是 Jscript 文件，而不是 JavaScript 文件。这两种脚本系列之间的代码略有不同，差别在于允许或不允许安全设置。在此关键主题中，我们不会研究这些差别，我们将使用较常用的术语 JavaScript 来指代恶意脚本。

垃圾电子邮件 恶意 JavaScript 被入侵的网站/服务器

下载的恶意软件

• Miuref• Crowti• Fareit• Dridex

• Tescrypt• Locky• Gamarue• Kovter

• Cerber• Cryptowall

图 18：感染的第一步。

报告

41 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

图 19：以发货确认邮件形式显示的，.zip 附件中包含恶意 JavaScript 的电子邮件。

图 20：此 JavaScript 日语电子邮件发往五个电子邮件地址，所有地址的收件人姓名都相同。

报告

42 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

感染链

恶意 JavaScript 运行时，通常会从远程主机下载可执行文件，并将其保存在 %TEMP% 文件夹中。这些脚本会使用 wscript.shell、 msxml2.xmlhttp 和 adodb.stream 等 ActiveX 控件创建 HTTP GET 请求来下载此文件。例如，使用 wscript.shell 通过 GetSpecialFolder 和 TemporaryFolder（值 = 2）来获取环境变量 %TEMP%，或使用参数 %TEMP% msxml2.xmlhttp 从远程服务器下载恶意二进制文件，并使用 "Open" 方法。这些脚本会使用所需 HTTP 方法 (GET)、URL 以及“true”或“false”布尔值这三种参数，分别执行同步或异步调用 操作。

普及程度

McAfee 是在 2015 年 4 月初开始发现有客户提交恶意 Nemucod JavaScript。到 2015 年 8 月中旬，恶意脚本的提交量越来越多，在 2015 年 10 月恶意脚本的提交量进一步激增。因此检测范围不是特定于某个地区，而是遍布全球。下图显示了 Nemucod 提交量的增长情况，其提交量占恶意 JavaScript 提交量的 90%。

垃圾邮件活动最常用的文件名包括“发票”、“扫描”、“文档”、 “任务”、“传真”等形式的文件名。

提交给 McAfee Labs 的 Nemucod 恶意软件数量

400000

0

2000000

1600000

1200000

800000

3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度2015 2016 2017

报告

43 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

在这些 Nemucod 垃圾邮件活动中，JavaScript 文件所使用的文件名形式与之前垃圾邮件活动的文件名形式不同，Nemucod 垃圾邮件活动的文件名是采用常用的文件名集合。JavaScript 文件名不仅仅采用英语：

• dokument_05730.pdf.js（瑞典语）• Bewerbung [**].zip（德语）• ртелеком483.zip（俄语）• 出書(6月2日)野田.zip（日语）

此外，恶意 JavaScript 还使用双重扩展名（如 .doc.js 或 .pdf.js）来隐藏其真面目，瞒骗用户。这些恶意脚本还以 Jscript 编码的脚本文件和 Windows 脚本文件形式进行传送。

• Informacje_Przesylki.wsf

• Fattura<天>.<月>.pdf.js（例如 fattura02.05.pdf.js）

即使这些文件看似来自金融机构，我们仍发现其文件名形式有点儿相似：用简短的字符串表示文件内容，用一些随机字符串或数字使其成为唯一的文件名，并且采用 .js 扩展名或双重文件扩展名，如 .doc.js 或 .pdf.js。恶意 JavaScript 后来的变体包括两个或更多文件，而不是一个文件。

模糊处理方法

为应对改善的安全方法，攻击者通常采用模糊处理方法来规避检测。有几种模糊处理和防模拟手段符合二进制文件和恶意 JavaScript 的要求：

• 字符串串联• 数值操作失效

• 反向排列字符串• 在两个字符串之间添加垃圾字符• 不必要的注释

• 在两个字符串之间插入无用的字符串• 声明和初始化垃圾字符串变量• 混合使用虚假 URL 和有效 URL 的数组• Unicode/十六进制/十进制/Base64 编码

自定义模糊处理程序

恶意软件作者通常也会使用自定义模糊处理程序来处理恶意 JavaScript。我们重点介绍以下三种模糊处理：

• 将脚本分成小字符串

• JavaScript Obfuscator（免费版） • Dean Edwards 打包程序

将脚本分成小字符串：此模糊处理方法是将整个恶意 JavaScript 分成含二到五个字符的小字符串，然后在运行 “eval”函数之前运行此脚本时串联这些小字符串。

报告

44 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

JavaScript Obfuscator：免费的在线模糊处理程序“Javascript Obfuscator”（免费版）可在 www.javascriptobfuscator.com 下载。

图 21：将脚本分成带函数的小字符串的示例。

报告

45 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

图 22：带有模糊处理程序所添加的原始报头的 JavaScript。MD5 哈希：FF6A165652EC9A1C2ADDAEBE15FD0C5E。

报告

46 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

图 23：没有原始报头的 JavaScript 示例。MD5 哈希：B74412FDF0868D461ED4DBF274EE0422。

图 24：使用 Dean Edwards 打包程序模糊处理的 JavaScript 示例。MD5 哈希：4D3BD79B73A74FC8C0ADB55E59E66AC1。

Dean Edwards 打包程序：JavaScript 后来的一些变体是使用“Dean Edwards”打包程序，其下载网址是 http://dean.edwards.name/packer/。

报告

47 McAfee Labs 威胁报告：2017 年 9 月

图 25：对部分 JavaScript 应用 Dean Edwards 打包程序。MD5 哈希：0C1158575B465C29CA9235A511ECF8A9。

Dean Edwards 打包程序有时仅适用于小部分代码，而不适用于整个脚本：

报告

48 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

图 26：变体 1 尝试从三个站点分别下载一个文件。

分析反伪装代码

某些变体因出乎意料的负载或不同寻常的下载方法引起了我们的关注。我们将了解以下两种 JavaScript 变体。

变体 1

报告

49 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

图 27：在变体 1 中，唯一变量 ID 存储在“var str”中，如模糊处理的脚本顶部所示。

在此变体中，我们看到在脚本尝试下载三个文件时某循环调用了三次，这些文件分别来自三个被入侵的网站。这些站点罗列在“var b”中，其各自的 JavaScript 样本都不同。每次运行循环时，变量“i”都会增长，其取值范围为 1 - 3。

HTTP GET 请求包含一个下载链接，如：

• http://<DNS>/counter/?id=<unique_var_id>&rnd=473693<i>

此站点是 var b 中列出的域名之一。unique_var_id 是一个较长的硬编码随机字符串，该字符串会与其余的脚本一起进行模糊处理，并且也会出现在反伪装代码中，或者会出现在模糊处理的脚本版本顶部，具体取决于 JavaScript 变体。

此外，唯一的 var ID 会根据变体存储在“str”、“stroke”或“id”变量中。JavaScript 的早期版本是使用以“545”开头的唯一 var ID，之后是使用以“555”开头的唯一 var ID，而后来的变体是使用随机生成的 ID。我们认为此唯一 ID 是攻击者用于日志记录的字符串。

参数“rnd”（后来命名为“dc”）包含一个硬编码值（在本示例中是 473693，根据各样本的不同有所不同），为其添加变量值 i 可构成完整的下载 URL。在下载这三个恶意文件后，此脚本会运行这些文件。对于 Miuref、Tescrypt 和 Kovter 这三种文件，变体 1 各下载了一个样本。

报告

50 McAfee Labs 威胁报告：2017 年 9 月

关注

共享图 28：在变体 2 中，唯一变量 ID 与其余的脚本一起进行模糊处理，会出现在反伪装代码中。

下载文件后，下载的文件保存在 %TEMP% 文件夹中，文件名 为硬编码文件名（在本示例中是 446032），且以 i 的值为后 缀。换句话讲，下载的文件使用以下文件名进行保存：4460321.Exe、4460322.exe 和 4460323.exe。这些文件名仅对此恶意软件样本有效，因为硬编码值根据 JavaScript 样本的不同有所不同。

变体 2

以下反伪装代码在某些方面与变体 1 相同，但此代码是改善的版本，具有更多功能。

在此样本中，唯一字符串存储在“id”变量中，而不是像变体 1 一样存储在“str”变量中，并且此字符串是随机生成的。不再以“545”或“555”开头。此脚本尝试从五个被入侵的服务器下载更多恶意文件 (Tescrypt)，这些服务器的地址存储在“ll”变量中。

报告

51 McAfee Labs 威胁报告：2017 年 9 月

关注

共享图 29：变体 2 的勒索软件便条。

HTTP GET 请求包含一个下载链接，如：

• http://<DNS>/counter/?ad=<unique_var_ad>&dc=380865

在此脚本中，唯一变量“ad”是硬编码值。下载文件后，下载的文件保存在 %TEMP% 文件夹中，文件名为 616850.exe。

此脚本会检查是否有下载的 .exe 文件（如果下载成功，应该有此文件），并会创建一个同名的 .txt 文件（在本示例中是 616850.txt），其中包含以下数据：

报告

52 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

图 30：变体 2 的 .cmd 文件，可用于查找有各种扩展名的文件。

此文件根据变体可以是 .txt 文件（纯文本文件，如上图所示）， 也可以是 .htm 文件。

此勒索软件便条会告知受害者，所有文件均已加密，必须支付 0.72576 比特币（在本脚本中，变量 bc = 0.72576）赎金，才能从 http://<DNS>/counter/?ad=<unique_var_ad> 下载

解密工具。我们没有下载所谓的解密工具，因此无法确定它是真的解密工具，还是另一个恶意软件样本，或虚假链接。

接下来，此脚本在静默运行之前，会使用以下指令创建一个 .cmd 文件：

报告

53 McAfee Labs 威胁报告：2017 年 9 月

.cmd 文件会列出 C: 盘到 Z: 盘等所有可用的驱动器，并可用于查找带有某些文件扩展名的文件。（文件扩展名根据变体的不同可能有所不同。）对于找到的每个文件，此脚本会在调用下载的 Tescrypt 样本，并以参数形式提供各目标文件源进行加密之前，将“.crypted”扩展名附加到原始文件名中。

此脚本随后会在 HKEY_CURRENT_USER Run 和 HKEY_CLASSES_ROOT 下向注册表添加两个“crypted”注册表项， 以在启动时打开勒索软件便条。最后，此脚本会以 decrypt.txt 为文件名，将勒索软件便条复制到桌面，然后删除 %TEMP% 文件夹中的勒索软件便条，以及 Tescrypt 文件及其本身（.cmd 文件）。

PowerShell

Microsoft 原本是为了合法用途推出 PowerShell，但攻击者将此脚本语言作为一种灵活强大的，发动恶意攻击的工具来使用。PowerShell 主要用于实现管理任务的自动化，如运行后台命令、查看系统上安装的服务，终止进程以及管理系统和服务器的配置。

使用 PowerShell 执行传播操作的一些最常见的脚本恶意软件系列：

• W97/Downloader

• Kovter 无文件型恶意软件• Nemucod 和其他 JavaScript 下载程序

通常，在攻击中会使用 PowerShell 运行感染链中的恶意 脚本：

垃圾邮件活动

签入的恶意代码

PowerShell 负载

图 31：PowerShell 感染链。

报告

54 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

图 32–33：模糊处理的 PowerShell 脚本及其反伪装的代码。

PowerShell 可采用多种方式进行模糊处理，包括命令快捷方式、转义字符或编码函数。其直接从内存运行的效率使其能够隐匿威胁，且难以检测。

PowerShell 恶意软件通常通过垃圾电子邮件传送。邮件中的嵌入代码包含 PowerShell 代码，其中通常包含下载其他负载执行主要恶意活动的指令。攻击者还可以在交互模式下使用 PowerShell 运行恶意命令。

某些策略可限制 PowerShell 运行。这些策略包括“Restricted”、“AllSigned”、“RemoteSigned”和“Unrestricted”，但它们都是易于替代的策略。模糊处理脚本并绕过执行策略的简便途径有很多。

在最新变体中，我们看到了以下内容：

报告

55 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

图 34：此基于脚本的恶意软件变体使用 PowerShell 脚本加密，其中包含 Base64 加密。

图 35：完成 Base64 解密后，我们可以看到恶意代码。

变体 1

此解密文件包含 PowerShell 代码，此代码可下载并运行勒索软件负载，以感染受害者的计算机。

报告

56 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

图 36：试图访问包含无效字符的注册表项时，显示错误消息。

变体 2

展示 PowerShell 如何感染系统的最佳示例之一是使用无文 件型恶意软件，它可在内存中加载恶意软件或嵌入恶意脚本，而不是将其写入磁盘。无文件型恶意软件示例包括 Kovter 和 Powelike。它们不会在磁盘上留下任何蛛丝马迹，这加大了检测难度，因为大多数防恶意软件产品都是搜索磁盘上的静态文件。

Kovter 和 Powelike 会在注册表配置单元中写入恶意 JavaScript 和加密负载，并会删除这些注册表项的用户级权限，让安全产品和用户对其不可见。它们通过撤消访问控制列表权限，或在注册表项的值名称中添加无效字符，来掩盖其踪迹。

报告

57 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

为运行其恶意软件，此无文件型攻击会使用 WMI 和 PowerShell 等功能。

Ly9oS6=TN25.Run(“C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe iex $env:csnvjgc”,0,1)

图 37：注册表项中的解密无文件型恶意软件函数可调用 PowerShell 可执行文件运行负载。

在运行 PowerShell 代码后，即可连接到恶意服务器，如 hxxp://xxx.x.250.230/upload.php。此脚本会收集系统信息，包括操作系统版本、Service Pack 和基础架构（32 位或 64 位芯片组）。它会测试 .Net、Adobe Flash Player 和最新的浏览器版本。此脚本会根据此信息接收控制服务器的命令，进一步执行恶意活动。有关无文件型恶意软件的更多信息，请参阅《McAfee Labs 威胁报告：2015 年 11 月》中。

总结

近年来，许多攻击者已从使用二进制文件的传统媒介攻击转向基于脚本的攻击，因为后者高效、易于模糊处理，并且易于从系统中获得资源。此趋势不仅限于 JavaScript、PowerShell 和 VBScript，还包括引发感染的其他类型的不可执行文件模块，如 .doc、PDF、.xls、HTML 等等。预计此趋势会增强，并且会越来越复杂。

最佳方法

• 保护系统免受基于脚本的恶意软件感染的最佳方法是，在受感染之前就予以阻止。防御是关键。防御计算机感染各种恶意软件的最重要因素是用户。用户需要知道，下载和安装他们不了解或不信任的应用程序存在风险。不知情的用户在浏览恶意软件时，还可能会不慎下载。

• 对应用程序和操作系统应用安全更新和补丁。• 保证浏览器和附加项是最新版本，并将终端上的防恶意软件和网络网关升级为最新版本。

报告

58 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

• 绝不使用不是企业 IT 安全团队分发和认证的计算机。脚本恶意软件可通过与企业网络连接的未受保护的资产轻松传播。

• 在有本地管理员权限的用户安装不受 IT 安全人员监管的应用程序时，指导用户仅安装已知供应商提供受信任特征码的应用程序。“无害”应用程序有嵌入式 Rootkit 和其他类型的脚本恶意软件是很常见的。

• 切勿从非 Web 来源下载应用程序。从 Usenet 组、IRC 通道、即时消息客户端或对等网络下载到恶意软件的概率非常高。IRC 和即时消息中指向网站的链接也经常会连接到被感染的下载项。

• 为抵御网络钓鱼攻击实施教育计划：恶意软件通常是通过有针对性的电子邮件攻击进行分发的。

• 结合防恶意软件技术，使用威胁情报源。结合使用这二者，有助于缩短新出现的和已知的恶意软件威胁的检测时间。

要了解 McAfee 产品如何帮助防范基于脚本的恶意软件，请单击此处。

要了解 McAfee 产品如何帮助防范基于脚本的恶意软件，请单击此处。

解决方案简介

1 防范基于脚本的恶意软件

恶意软件作者通过利用诸如多态性、植入看门狗软件和撤消权限等技术突破检测机制。

过去十年，攻击者利用各种功能（如 Microsoft Windows Management Instrumentation (WMI) 和 Windows PowerShell）攻击终端，并且由于直接将恶意代码植入遭到入侵的主机的注册表，所以不会在磁盘上存储任何二进制文件，导致跟踪攻击更加困难。

基于脚本的感染已经出现了多年。尽管无文件恶意软件一般不会留下任何文件，但是在渗入系统主内存前，以前的恶意软件系列在发动初始攻击时会在磁盘上放置一个小二进制文件。

不过，脚本恶意软件利用的最新规避技术不会在磁盘上留下痕迹，导致通常依赖静态文件的检测技术更加难以发现。阅读《McAfee Labs 威胁报告： 2017 年 9 月》，了解对基于脚本的恶意软件的深入分析。

防范基于脚本的恶意软件

报告

59 McAfee Labs 威胁报告：2017 年 9 月

威胁统计信息60 恶意软件

63 事件

64 Web 和网络威胁

报告

60 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

恶意软件总数量

150000000

0

750000000

600000000

450000000

300000000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

恶意软件

新恶意软件数量

10000000

0

50000000

60000000

40000000

30000000

20000000

3 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度2015 2016 2017

移动恶意软件总数量

3000000

0

15000000

18000000

21000000

12000000

9000000

6000000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

新恶意软件增多，在某种程度上是因为恶意软件安装程序和 Faceliker 特洛伊木马程序增多。

资料来源：McAfee Labs，2017 年。

新移动恶意软件数量

500000

0

2500000

2000000

1500000

1000000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

资料来源：McAfee Labs，2017 年。

报告

61 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

全球移动恶意软件感染率（移动客户报告感染的百分比）

2%

0%

10%

12%

14%

8%

6%

4%

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

各地区移动恶意软件感染率（移动客户报告感染的百分比）

5%

0%

25%

20%

15%

10%

非洲 亚洲 澳大利亚 欧洲 北美 南美

2016 年 1 季度 2016 年 3 季度2016 年 2 季度 2016 年 4 季度

2017 年 1 季度2017 年 2 季度

资料来源：McAfee Labs，2017 年。

新 Mac 恶意软件数量

50000

0

250000

200000

350000

300000

150000

100000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

Mac 恶意软件总数量

100000

0

500000

400000

700000

600000

300000

200000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

报告

62 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

勒索软件总数量

2000000

0

10000000

8000000

12000000

6000000

4000000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

新勒索软件

200000

0

1000000

800000

1400000

1200000

600000

400000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

新恶意签名二进制文件数量

200000

0

1000000

800000

1400000

1200000

600000

400000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

恶意签名二进制文件总数量

3000000

0

15000000

12000000

21000000

24000000

18000000

9000000

6000000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

报告

63 McAfee Labs 威胁报告：2017 年 9 月

关注

共享资料来源：McAfee Labs，2017 年。

各地区公开披露的安全事件数量（公开披露的事件数量）

50

0

250

300

350

200

150

100

2 季度 3 季度1 季度 4 季度 1 季度 2 季度2016 2017

非洲 亚洲美洲 欧洲

多个地区大洋洲

新宏恶意软件数量

50000

0

250000

200000

150000

100000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

宏恶意软件总数量

200000

0

1000000

1200000

800000

600000

400000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

2016–2017 年前十大攻击向量（公开披露的事件数量）

100

0

500

400

300

200未知

帐户劫持

DDoS

数据泄露

针对性攻击

恶意软件

SQL

注入攻击

恶意破坏

W-2 诈

骗

漏洞

资料来源：McAfee Labs，2017 年。

事件

报告

64 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

资料来源：McAfee Labs，2017 年。

新可疑 URL 数量

3000000

0

15000000

12000000

21000000

18000000

9000000

6000000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

2 季度各地区的前十大针对性攻击领域（公开披露的事件数量）

50

0

250

200

150

100

美洲 亚洲非洲 欧洲 多个地区 大洋洲

医疗机构 公共机构金融机构 技术领域

教育机构娱乐机构

零售业服务机构

在线服务机构 制造业

资料来源：McAfee Labs，2017 年。

2016–2017 年前十大针对性攻击领域（公开披露的事件数量）

60

0

300

240

180

120

公共机构

人员

医疗机构

教育机构

在线服务机构

金融机构

零售业

多个地区

软件开发机构

娱乐机构

资料来源：McAfee Labs，2017 年。

新网络钓鱼 URL 数量

200000

0

1000000

800000

1400000

1200000

600000

400000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

Web 和网络威胁

报告

65 McAfee Labs 威胁报告：2017 年 9 月

关注

共享

2 季度流行的垃圾邮件僵尸网络占比

59%

17%

11%

6%3%

2%2%

Necurs

Gamut

Cutwail

KelihosC

Orangeleeches

Lethic

其他

资料来源：McAfee Labs，2017 年。

新垃圾邮件 URL 数量

300000

0

1500000

1200000

2100000

1800000

900000

600000

2015 2016 20173 季度 4 季度 1 季度 2 季度 3 季度 4 季度 1 季度 2 季度

资料来源：McAfee Labs，2017 年。

2 季度连接到控制服务器的热门恶意软件

39%

20%

11%

11%

10%

3%

2%2%

2%

Mirai

Wapomi

Maazben

China Chopper

Onion Duke

Ramnit

Muieblackcat

Sality

其他

资料来源：McAfee Labs，2017 年。

第 2 季度 Gamut 占比量再次高居榜首，其散播与工作有关的垃圾邮件和假冒药品这一趋势持续发展。本季度 Necurs 僵尸网络的爆发力最强，致使出现多起拉高出货股票欺诈事件。

2 季度的热门网络攻击

20%

20%

15%

13%

10%

4%

4%

14%

暴力攻击

浏览器

拒绝服务

蠕虫

恶意软件

Web

扫描

其他

资料来源：McAfee Labs，2017 年。

66 McAfee Labs 威胁报告：2017 年 9 月

北京市东城区北三环东路 36 号北京环球贸易中心 D 座 18 层，100013电话：8610 8572 2000www.mcafee.com/cn

关于 McAfee

McAfee 是全球领先的独立网络安全企业之一。在协同工作思想的启迪下，McAfee 研发出了适用于企业用户和家庭用户的解决方案，让网络环境变得更为安全。通过构建与其他公司产品集成的解决方案，McAfee 能够帮助企业部署真正集成的网络环境，通过协作的方式即时进行威胁检测和纠正，从而保护网络安全。通过保护用户的所有设备的网络安全，McAfee 能够随时随地为他们的数字化生活提供安全保障。McAfee 与其他安全参与者同心协力，致力于打击网络犯罪分子，以保护所有用户的利益。

www.mcafee.com/cn.

本文所含信息仅供参考，旨在为迈克菲用户提供便利。此处所含信息如有变更，恕不另行通知。此类信息按“现状”提供，对任何特定环境或情况下信息的准确性或适用性不做任何保证。McAfee 和 McAfee 徽标是 McAfee, LLC 或其分支机构在美国和/或其他国家/地区的注册商标或商标。其他商标和品牌可能是其各自所有者的财产。 Copyright © 2017 McAfee, LLC. 3525_0917 2017 年 9 月