与基于文件的攻击不同,无文件恶意软件不会利用传统的可执行文件。无文件攻击滥用了操作系统内置的工具来进行攻击。从本质上讲,Windows是反对自己的。
没有可执行文件,杀毒软件就无法检测到签名,这就是无文件攻击如此危险的原因,因为它们能够轻松逃避防病毒产品。
利用MITRE ATT&CK框架防御这些攻击,MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战术及技术的公共知识库),引起了业界广泛注意。MITRE ATT&CK深入研究对手行为,安全分析师可利用该信息在网络攻防战中占据有利地位,可以通过五个步骤使用ATT&CK创建闭环安全过程。
无文件攻击使用一种称为“陆地生存(living-off-the-land)”的技术。陆地生存是指攻击者将合法工具用于恶意目的,并且已经存在至少25年了。被滥用的合法工具被称为LOLBins,这个概念最初在2013年DerbyCon黑客大会由Christopher Campbell和Matt Graeber进行创造,最终Philip Goh提出了LOLBins这个概念。重庆随后进行广泛的互联网民意调查,并在达成普遍共识(69%)之后,该名称被正式指定。
什么程序才能称之为LOLBins?目前LOLBins常见的利用工具的包括Microsoft Office Macros,PowerShell,WMI和