无文件攻击有哪些方式
无文件攻击方式有:
完全无文件攻击:完全无文件的攻击可以被视为不需要在磁盘上写入文件的恶意软件。第一种情况是没有借助外部设备的完全无文件攻击。例如,目标计算机接收利用EternalBlue漏洞的恶意网络数据包,导致DoublePulsar后门的安装,该后门最终仅驻留在内核内存中。在这种情况下,没有文件或任何数据写入文件。另一种情况是利用设备来感染系统,其中恶意代码可能隐藏在设备固件(例如BIOS),USB外设(例如BadUSB攻击)甚至网卡固件中。所有这些示例都不需要磁盘上的文件即可运行,并且理论上只能驻留在内存中,即使重新启动,重新格式化磁盘和重新安装OS也能幸免。
利用间接文件:恶意软件还有其他方法可以在机器上实现无文件存在,并且无需进行大量的工程工作。这种类型的无文件恶意软件不会直接在文件系统上写入文件,但最终可能会间接使用文件。Poshspy后门就是这种情况。攻击者在WMI存储空间中放置了恶意的PowerShell命令,WMI存储库存储在物理文件上,该物理文件是CIM对象管理器管理的中央存储区域,通常包含合法数据。因此,尽管感染链从技术上确实使用了物理文件,但出于实际目的,考虑到WMI存储库无法简单地检测和删除的多用途数据容器,另外并配置了WMI筛选器以定期运行该命令。通过这种无文件后门技术,攻击者可以构造一个非常独立的后门,并与他们之前的普通后门结合使用,确保在普通后门失效后还能实现对目标的持久性渗透。
仅操作需要的文件:一些恶意软件可以具有某种无文件的持久性,但并非不使用文件进行操作。这种情况的一个示例是Kovter,Kovter最常见的感染方法之一是来自基于宏的恶意垃圾邮件的附件。一旦单击了恶意附件(通常是受损的Microsoft Office文件),恶意软件就会在通常位于%ApplicationData%或%AppDataLocal%的随机命名的文件夹中安装快捷方式文件,批处理文件和带有随机文件扩展名的随机文件。基于随机文件扩展名的注册表项也安装在“HKEY_CLASSES_ROOT”中,以指导随机文件的执行以读取注册表项。这些组件用于执行恶意软件的外壳生成技术。这是该攻击的第一阶段。在第二个阶段中,将为随机文件创建注册表项,其中包含执行KOVTER进程的恶意脚本。这意味着当受感染的计算机重新启动或触发快捷方式文件或批处理文件时,注册表项中的恶意脚本就会加载到内存中。恶意脚本包含外壳程序代码,恶意软件将其注入到PowerShell进程中。随后,外壳程序代码将解密位于同一注册表项中的二进制注册表项被注入到一个创建的进程中(通常为regsvr 32.exe),生成的regsvr32.exe将尝试连接各种URL,这是其点击欺诈活动的一部分。