技能说明 | 浅析无文件进攻
写在前面的话 在信息安详规模中,“无文件进攻”属于一种影响力很是大的安详威胁。进攻者在操作这种技能实验进攻时,不会在方针主机的磁盘上写入任何的恶意文件,因此而得名“无文件进攻”。然而,为了更好地应对“无文件进攻”,我们必需深刻领略这种进攻方法的底层实现技能,这样才气辅佐我们在特定的情形下陈设更好的防止计策。 固然有的收集体系陈设了相同反病毒产物和应用措施白名单之类的安详节制法子,可是无文件进攻如故可以团结多种其他的进攻计策来入侵你的收集。接下来,我们一路说明一下无文件进攻所回收的进攻要领以及计策,我们会对无文件进攻所涉及到的特定技能举办先容,并表明为什么这种进攻方法在大大都环境下不会被安详防止体系发明。 技能一:恶意文档 着实一开始,许多安详研究专家所称之为的“无文件进攻”现实上是会涉及到文档文件的。在这种场景下,进攻者必要行使到恶意文档(譬喻电子邮件附件),目标有以下几种:
只要进攻者建造的文档存储在了方针体系中,进攻者就已经不必要再通过传统方法(在方针主机中运行恶意可执行文件)来举办进攻了。在许多环境下,恶意文档可以直接在内存中执行恶意代码,从某种角度来看,这也算是一种“无文件进攻”了。 参考资料: 【参考资料一】【参考资料二】 技能二:恶意剧本 为了不将恶意代码编译成传统的可执行文件,进攻者会在进攻进程中利器具有“无文件”性子的“剧本文件”。除了文档支持剧本之外,像上面提到的Microsoft Office产物同样支持剧本成果,这就给进攻者提供了以下几个上风:
MicrosoftWindows提供了针对PowerShell、VBScript、Batch和JavaScript等剧本的支持,这些剧本可以直接在powershell.exe、cscript.exe、cmd.exe和mshta.exe中运行。除此之外,进攻者还可以行使开源框架来对剧本代码举办夹杂处理赏罚。 参考资料: 【参考资料一】【参考资料二】【参考资料三】【 参考资料四】【参考资料五】 技能三:无需任何依靠组件 每次谈到无文件进攻,或多或少城市涉及到滥用Microsoft Windows适用器材的环境。这些器材应承进攻者在不必要编译恶意可执行文件的环境下实现进攻步调的推进。 只要进攻者的恶意代码可以或许与方针主机的当地措施交互,他们就可以操作操纵体系的内置器材来下载特另外恶意组件,启动剧本、窃取数据、实现横向渗出以及实现一连传染。这些器材包罗但不只限于regsvr32.exe、rundll32.exe、certutil.exe和schtask.exe等等。 值得留意的是,在操纵体系的内置器材中,,WMI则是重灾区,WMI内置于操纵体系中,并应承进攻者通过wmic.exe并共同PowerShell剧本直接跟终端举办交互。 参考资料 【参考资料一】【参考资料二】【 参考资料三】 技能四:内存中的恶意代码 毫无疑问,扫描磁盘文件必定是反病毒产物必备的“手艺”了,可是检测内存中的恶意代码可就不必然了。内存是动态变革的,这也给恶意软件提供了可乘之机。 内存渗出技能应承进攻者绕过大大都反病毒节制计策,包罗应用措施白名单。固然反病毒器材会实行捕获内存注入举动,可是进攻者的一连传染手段如故会限定反病毒器材的结果。 参考资料 【参考资料一】【参考资料二】【参考资料三】【 参考资料四】 总结 无文件进攻的实现得益于某些应用措施和操纵体系所特有的性子,它操作了反恶意软件器材在检测和防止方面的缺陷。固然在当代收集进攻勾当中,无文件进攻只是个中的一种进攻技能,但许多恶意软件一样平常城市引入一些“无文件进攻”技能来实行逃避安详产物的检测。对付进攻者来说,与其去思索某种技能是否自作掩盖,还不如思索怎么样行使这些技能才气绕过企业的防止计策,这样服从还会更高。 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |