上面写了什么在信息安全领域,“无文件攻击”是一个非常有影响力的安全威胁。当攻击者使用这种技术进行攻击时,不会在目标主机的磁盘上写入任何恶意文件,因此得名“无文件攻击”。但是,为了更好地应对“无文件攻击”,我们必须深刻理解这种攻击方式的底层实现技术,以帮助我们在特定环境下部署更好的防御策略。虽然某些网络系统部署了防病毒产品和应用程序白名单等安全控制措施,但无文件攻击仍然可以与各种其他攻击策略结合使用来渗透您的网络。下面我们来分析一下无文件攻击所采用的攻击方式和策略。我们将介绍无文件攻击涉及的具体技术,并解释为什么这种攻击方式在大多数情况下不会被安全防御。系统发现。手法一:恶意文件其实,一开始,许多安全研究专家所说的“无文件攻击”,实际上涉及的是文档文件。在这种场景下,攻击者需要利用恶意文档(如邮件附件)来达到以下目的:文档作为承载其他文件的容器,更加灵活。例如,攻击者可以在MicrosoftOffice文档中嵌入恶意JavaScript文件,喜欢社会工程技术的攻击者还可以诱导目标用户双击文件执行嵌入的脚本等。其他类型的文档也可以携带PDF、RTF等文件类型。该功能是应用程序的特性,因此杀毒技术一般不会干扰其使用。文档还可以携带漏洞利用代码或有效载荷。今天的文档变得越来越复杂,因此提供了更广泛的攻击面。在这种情况下,漏洞利用代码可以直接在目标设备的内存中运行绑定的shellcode,并为攻击者提供对文件系统的完全读写权限。文档也可以执行恶意攻击流程,实现初始感染。现代文档提供强大的脚本支持。例如,MicrosoftOffice可以执行VBA宏文件。该功能将允许攻击者在不编译恶意可执行程序的情况下在目标主机上实现恶意逻辑。该技术利用的是杀毒工具无法区分脚本代码恶意性的缺陷。除其他外,脚本可以启动程序或下载恶意代码。只要攻击者制作的文件存储在目标系统上,攻击者就不再需要使用传统的方法(在目标主机上运行恶意可执行文件)来进行攻击。在很多情况下,恶意文档可以直接在内存中执行恶意代码。从某种角度来看,这可以看作是一种“无文件攻击”。参考文献:[参考文献1][参考文献2]技术二:恶意脚本为了不将恶意代码编译成传统的可执行文件,攻击者在攻击过程中会使用一个具有“无文件”性质的“脚本文件”。除了对脚本的文档支持之外,像上面提到的那些MicrosoftOffice产品也支持脚本功能,这为攻击者提供了几个优势:他们可以不受某些应用程序的限制与操作系统进行交互。与恶意可执行文件一样,脚本可能会使反恶意软件产品难以检测和遏制。脚本可以使攻击者更容易将攻击逻辑分散到多个攻击步骤中,以规避某些基于行为分析的安全检测机制。代码混淆可用于使安全分析更加困难并绕过防病毒技术。MicrosoftWindows提供了对PowerShell、VBScript、Batch、JavaScript等脚本的支持,可以直接在powershell.exe、cscript.exe、cmd.exe、mshta.exe中运行。此外,攻击者还可以使用开源框架来混淆脚本代码。参考资料:[参考资料1][参考资料2][参考资料3][参考资料4][参考资料5]技巧三:不需要任何依赖组件每次涉及到无文件攻击时,会比较多或较少涉及滥用MicrosoftWindows实用程序。这些工具允许攻击者在不编译恶意可执行文件的情况下推进攻击步骤。攻击者的恶意代码只要能够与目标主机的本地程序进行交互,就可以利用操作系统自带的工具下载额外的恶意组件,启动脚本,窃取数据,实现横向渗透,实现持久感染.这些工具包括但不限于regsvr32.exe、rundll32.exe、certutil.exe和schtask.exe等。值得注意的是,在操作系统的内置工具中,WMI是重灾区。WMI内置于操作系统中,允许攻击者通过wmic.exe和PowerShell脚本直接与终端交互。参考文献[参考文献1][参考文献2][参考文献3]技巧四:内存中的恶意代码毋庸置疑,扫描磁盘文件绝对是杀毒产品必备的“技能”,但检测内存中的恶意代码恶意代码不一定是案件。内存是动态变化的,这也为恶意软件提供了可乘之机。内存泄露技术允许攻击者绕过大多数防病毒控制策略,包括应用程序白名单。尽管反病毒工具会尝试捕捉内存注入行为,但攻击者的持续感染能力仍然会限制反病毒工具的有效性。参考文献[参考文献1][参考文献2][参考文献3][参考文献4]摘要由于某些应用程序和操作系统的独特性,无文件攻击得以启用,这些应用程序和操作系统利用了反恶意软件工具检测和防御方面的弱点。虽然无文件攻击只是现代网络攻击活动中的一种攻击技术,但很多恶意软件一般都会引入一些“无文件攻击”技术来试图逃避安全产品的检测。对于攻击者而言,与其考虑某项技术是否刀枪不入,不如考虑如何利用这些技术绕过企业的防御策略,这样效率会更高。
