无文件攻击类型有哪些
按攻击方式分三大类:
漏洞型攻击
漏洞型攻击是杀伤力最大的无文件攻击方式,典型的漏洞有Office漏洞、SMB漏洞、以及各种WEB服务的漏洞,当目标主机存在漏洞时,病毒可以通过漏洞直接执行恶意命令攻击主机或将自己复制到主机实现扩散。漏洞型攻击行为隐蔽,且一般不会释放文件到本地,所以使用杀软几乎无法防御。
灰色工具型攻击
灰色工具是指那些可以被用来执行恶意代码的合法工具,如:Powershell、PsExec等,病毒可以使用这些工具来间接执行恶意代码。由于IT管理员日常工作中都会使用这些合法工具来辅助管理系统、网络,所以杀软对这类攻击的检测也极具挑战性。
潜伏性攻击
为了让病毒母体被删除后以及每次开机后还能继续执行恶意代码,持久化潜伏成为一种常见的无文件攻击方式。通过将恶意代码存储在注册表、WMI、系统进程(进程注入)、MBR、定时任务等地方,可以让恶意代码隐蔽地自动执行。
按磁盘文件的活动分三个类型:
没有任何的文件活动
简单说就是攻击活动没有任何的磁盘文件落地和磁盘文件的操作行为,一般这种攻击的实施都脱离了操作系统,是由更上层的硬件固件和软件层发起的。
没有磁盘落地文件
没有磁盘落地文件,但通过文件间接活动,恶意代码一般通过白文件间接加载到内存中执行。这类攻击恶意代码的载体大多数都是脚本,通过程序命令执行,也有通过磁盘引导记录等特定机制的执行。
需要操作文件进行活动
比较容易能理解的意思是恶意代码变成了数据,利用文件相关的程序漏洞或功能特性将恶意数据转换为恶意代码执行。
按击入口点可分为三类:
完全无文件攻击
可以被视为不需要在磁盘上写入文件的恶意软件也可以实现攻击;
间接利用文件
就是恶意软件还有其他方法可以在机器上实现无文件存在,并且无需进行大量的工程工作。这种类型的无文件恶意软件不会直接在文件系统上写入文件,但最终可能会间接使用文件;
仅操作需要的文件
就是一些恶意软件可以具有某种无文件的持久性,但并非不使用文件进行操作。