新工具帮助重现硬盘不留痕的攻击行为

　　有些网络攻击不会在电脑硬盘上留下什么痕迹，但是利用一种新的工具却可以发现它们，这是安全专家们在本届黑帽大会上演示的新技术。

　　安全公司Mandiant的研究人员展示了这种新方法，可以重现攻击者为了躲避常规的硬盘检查而只在内存中运行的恶意代码的痕迹。

　　Mandiant的Peter Silberman和Steve Davis通过内存检查工具发现了内存中利用Meterpreter所实施的攻击行为。Meterpreter是开源的Metasploit渗透测试框架所用的一个软件模块。

　　Meterpreter可以在被控制的“肉鸡”电脑上注入一段合法的运行进程，从而躲过IDS/IPS软件的检测。然后，Meterpreter便可被当做实施进一步攻击的平台。

　　此类攻击在获取“肉鸡”上的关键进程时很有效。“这是一种非常棒的攻击手段，在系统中很难检测到，”Davis说。而利用Meterpreter的攻击者可以记录键盘键入、终端进程、文件的上传下载等，或者对系统造成破坏。

　　采用Mandiant的商用Memoryze内存检查软件，研究人员说他们可以分析Windows的虚拟寻址描述文件。该工具可以找到Meterpreter用来与其服务器会话的各种协议的包结构。根据这些被发现的通信片段，分析人员便可推断发生了哪类攻击。举例来说，如果发现了被丢弃的散列表，就表明登录密码可能被盗了。

　　“我们详细描述了Meterpreter在内存中的运行情况，尤其是当Meterpreter脚本/指令执行时，内存看上去是什么样的，这些脚本在利用了进程的内存空间后怎么都会留下痕迹，”研究人员说。

　　但是因为内存中的数据很容易发生变化，所以该工具不可能百分百地复原Meterpreter的攻击行为，不过它至少可以从概念上证明发生了什么。Mandiant的研究人员希望，其他同行也能参与进来，共同研发更有效的内存检查工具。

　　传统的攻击一般是在电脑的硬盘上插入恶意程序，所以也很容易被传统的磁盘检查工具所发现，而那些不使用硬盘的攻击，传统的检查方法就无从下手了。

　　Silberman和Davis说，他们目前还没有看到过和他们的工具相似的东西。(波波编译)