研究人員發現了一個惡意攻擊活動，攻擊者利用了一種以前從未見過的攻擊技術在目標機器上悄悄地植入了進行無文件攻擊的惡意軟件。

該技術是將shell代碼直接注入到了Windows事件日志中。卡巴斯基周三發布的一份研究報告顯示，這使得攻擊者可以利用Windows事件日志為惡意的木馬程序做掩護。

研究人員在2月份發現了這一攻擊活動，并認為這個身份不明的攻擊者在過去的一個月里一直在進行攻擊活動。

卡巴斯基全球研究和分析團隊的高級安全研究員寫道，我們認為這種以前從未見過的事件日志攻擊技術是這個攻擊活動中最有創新的部分。

該攻擊活動背后的攻擊者使用了一系列的注入工具和反偵測技術來傳遞惡意軟件的有效載荷。Legezo寫道，攻擊者在活動中至少使用了兩種商業產品，再加上幾種最后階段的RAT和反檢測殼，這個攻擊活動背后的攻擊者相當有能力。

進行無文件攻擊的惡意軟件隱藏在事件日志內

攻擊的第一階段是要將目標引誘到一個合法的網站，并誘使目標下載一個壓縮的.RAR文件，該文件其實是Cobalt Strike和SilentBreak網絡滲透測試工具生成的后門文件。這兩個工具在黑客中很受歡迎，他們用其生成針對目標機器進行攻擊的工具。

Cobalt Strike和SilentBreak利用了單獨的反偵測AES加密器，并用Visual Studio進行編譯。

然而Cobalt Strike模塊的數字證書是各不相同的。根據卡巴斯基的說法，從包裝器到最后一個階段總共15個不同的分階段都有數字證書進行簽署。

接下來，攻擊者就可以利用Cobalt Strike和SilentBreak來向任何進程注入代碼，并可以向Windows系統進程或可信的應用程序（如DLP）注入額外的模塊。

他們說，通過這層感染鏈解密，就可以映射到內存中并啟動代碼。

由于它可以將惡意軟件注入到系統內存內，所以我們將其歸類為無文件攻擊。顧名思義，進行無文件攻擊的惡意軟件感染目標計算機時，它們不會在本地硬盤上留下任何文件痕跡，這使得它很容易避開傳統的基于簽名進行檢測的安全取證工具。攻擊者將其攻擊活動隱藏在了計算機的隨機訪問內存中，并使用了PowerShell和Windows Management Instrumentation（WMI）等本地Windows工具，其實這種攻擊技術并不新鮮。

然而，此次攻擊最有特點的是將包含惡意有效載荷的加密shellcode嵌入到了Windows事件日志中。為了避免被研究人員發現，該代碼被分成了多塊，每塊8KB，并將其保存在了事件日志中。

Legezo說，投放者不僅將啟動器放在了磁盤上進行加載，而且還將帶有shellcode的信息寫到了現有的Windows KMS事件日志中。

他繼續說，被丟棄的wer.dll是一個加載器，如果shellcode沒有隱藏在Windows事件日志中，就不會造成任何傷害，該加載器在事件日志中會搜索類別為0x4142（ASCII中的 "AB"）并且來源為密鑰管理服務的記錄。如果沒有找到，8KB的shellcode就會通過ReportEvent() Windows API函數（lpRawData參數）寫入到所記錄的信息中。

接下來，一個啟動器會被投放到Windows任務目錄中。研究人員寫道，此時，一個單獨的線程會將上述所有的8KB的碎片組合成一個完整的shellcode并運行它。

研究人員補充說，攻擊活動中的事件日志不僅僅能夠存儲shellcode，Dropper模塊還具有修補Windows本地API的功能，這與事件追蹤（ETW）和反惡意軟件掃描接口（AMSI）有關，這樣可以使得感染過程更加隱蔽。

使用載荷的攻擊者身份尚不明確

利用這種隱蔽的方法，攻擊者可以使用他們的兩個遠程訪問特洛伊木馬（RAT）中的任何一個，其中每一個都使用了定制的復雜的代碼以及公開可用的組件。

總的來說，由于他們有能力使用特洛伊木馬向任何進程注入代碼，攻擊者可以自由地大量的使用這一功能，向Windows系統進程或受信任的應用程序注入下一個模塊。

網絡空間中的資產歸屬劃分是很有挑戰性的。對此分析師能做的就是深入挖掘攻擊者的戰術、技術和應用程序（TTPs），以及他們編寫的代碼。如果這些TTPs或代碼與以前的已知行為者的攻擊活動相重疊，我們可能會因此找到攻擊者的身份。

在這種情況下，研究人員的查找過程會很難的。

這是因為，攻擊者除了使用了在Windows事件日志中注入shellcode這一前所未有的技術外，這次攻擊活動還有一個非常獨特的組成部分：代碼本身。雖然攻擊者使用了商業產品來投放惡意文件，但與他們配對的反偵測包裝器和RATs卻是定制的（不過，研究人員警告說，一些我們所認為是定制的模塊，如包裝器和最后處理程序，也可能是商業產品的一部分）。

根據該報告，代碼是非常獨特的，并且與已知的惡意軟件沒有相似之處。由于這個原因，研究人員目前還沒有確定攻擊者的身份。

如果出現了新的模塊，并且我們將該活動與某些行為者能夠聯系起來，我們將會相應地更新名稱。

本文翻譯自： https://threatpost.com/attackers-use-event-logs-to-hide-fileless-malware/179484/如若轉載，請注明原文地址。