无文件形式的恶意软件:了解非恶意软件攻击(一)

最新推荐文章于 2024-04-26 10:27:54 发布
最新推荐文章于 2024-04-26 10:27:54 发布
阅读量1.3k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/systemino/article/details/102419750
版权

 

与基于文件的攻击不同,无文件恶意软件不会利用传统的可执行文件。无文件攻击滥用了操作系统内置的工具来进行攻击。从本质上讲,Windows是反对自己的。

没有可执行文件,杀毒软件就无法检测到签名,这就是无文件攻击如此危险的原因,因为它们能够轻松逃避防病毒产品。

利用MITRE ATT&CK框架防御这些攻击,MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战术及技术的公共知识库),引起了业界广泛注意。MITRE ATT&CK深入研究对手行为,安全分析师可利用该信息在网络攻防战中占据有利地位,可以通过五个步骤使用ATT&CK创建闭环安全过程。

无文件攻击使用一种称为“陆地生存(living-off-the-land)”的技术。陆地生存是指攻击者将合法工具用于恶意目的,并且已经存在至少25年了。被滥用的合法工具被称为LOLBins,这个概念最初在2013年DerbyCon黑客大会由Christopher Campbell和Matt Graeber进行创造,最终Philip Goh提出了LOLBins这个概念。重庆随后进行广泛的互联网民意调查,并在达成普遍共识(69%)之后,该名称被正式指定。

什么程序才能称之为LOLBins?目前LOLBins常见的利用工具的包括Microsoft Office Macros,PowerShell,WMI和

最低0.47元/天 解锁文章
systemino
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈无文件攻击
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
03-17 3462
这些年无文件(Fileless)和不落地(Living off the Land)攻击已经常流行,几乎成为攻击者的标配。理想的无文件攻击是只存在于内存中的后门,网络上有很多无文件攻击的验证性代码,比如最早的powershell downloadstring,远程文件是被当成字符串直接下载到powershell进程内存中执行,然后发展到利用mshta、rundll32等执行脚本的各种奇技淫巧,再到...
文件形式恶意软件了解恶意软件攻击(2)
systemino的博客
10-08 457
上篇文章,我们介绍了恶意软件如何工作?在攻击中使用文件恶意软件的原因,以及PowerShell,什么是POWERSHELL合法使用?为什么要使用POWERSHELL进行无文件攻击?本篇文章,我们将继续介绍indows管理工具(WMI),以及为什么要使用WMI进行无文件攻击?另外还对.NET框架以及为什么要使用.NET进行无文件攻击都做了介绍。 Windows管理工具(WMI) W...
崛起中的“无文件式”恶意软件攻击
weixin_33691817的博客
07-07 126
攻击者希望尽可能保持隐身来减少他们被检测的机会,这意味着他们只能对受感染系统进行最少次数的改变,以及在系统留下最少的证据。攻击者保持不被发现的时间越长,他们就越有可能实现自己的目标。攻击者早就知道在攻击过程中删除自己的工具,而恶意软件作者也开始删除在攻击中使用的文件,这被称为无文件(fileless)恶意软件。在无文件恶意软件攻击中,系统变得相对干净,没...
2024HW --> 安全产品 && Powershell无文件落地攻击
最新发布
weixin_42340783的博客
04-26 427
在HW中,除了了解中间件,web漏洞,这些攻击的手法,还得了解应急响应,安全产品,入侵排查,溯源反制… 那么今天,就来说一下安全产品(安全公司我就不说了,这个大家都知道)
文件恶意软件真的没有文件
weixin_34150503的博客
07-03 144
据说无文件恶意软件的目标,就是进驻内存以保持隐身。除了驻扎在内存,无文件恶意软件的第二个特点,就是对系统管理工具的利用,比如PowerShell。 攻击者为什么要利用无文件恶意软件? 其一,不是每种终端解决方案都直接检查内存。这让内存成为了理想的藏身地点。其二,PowerShell之类的工具已经存在于系统中了。这就给攻击者留下了多个好处。能够靠局域网为生...
文件恶意软件感染完整指南
m0_37442062的博客
04-26 587
目录 什么是无文件感染 ? 为什么网络罪犯使用无文件恶意软件文件感染的工作机制 EXPLOIT KITS ——无文件感染的必要工具 如何保护您的计算机免受无文件感染 Level 1:保持应用程序和操作系统应用安全更新 Level 2:阻止携带 Exploit kits 的页面 Level 3:阻止 payload 传递 Level 4:阻止你的电脑和攻击者的服务器之间的通信 结论 什么是无文件感染 ? 正如其名,恶意软件或病毒在感染的过程中不使用任何文件。 要了解它的含义...
恶意软件分析工具
03-05
在IT安全领域,恶意软件分析是一项至关重要的任务,它涉及识别、研究和理解潜在的恶意代码,以保护计算机系统免受病毒、木马、蠕虫和其他形式恶意软件的侵害。标题提到的“恶意软件分析工具”就是这样的专业软件,...
Practice-Malware:恶意软件和分析实践
04-10
在IT安全领域,恶意软件分析是一项至关重要的技能,它涉及到识别、理解和应对各种形式恶意软件,以保护网络系统和用户数据的安全。本实践指南主要关注"恶意软件"及其"分析实践",并关联到"Python"编程语言,暗示...
decoding-examples:网络恶意软件解码示例
04-30
在网络安全领域,网络恶意软件是计算机系统和网络面临的主要威胁之一。这些恶意程序通常采用各种编码和加密技术来隐藏其真实行为,使安全专家难以分析和检测。"decoding-examples"是一个专门针对网络恶意软件解码的...
恶意软件清理.rar
06-25
5. **数据备份和恢复方案**:在遭遇恶意软件攻击后,如何备份重要数据和恢复系统到正常状态。 6. **日志分析工具**:帮助用户分析系统日志,找出可能的恶意活动线索。 7. **教育材料**:可能包含视频教程或文章,...
恶意软件清理助手 恶意软件清理助手
01-28
同时,定期备份重要数据,以防万一受到恶意软件攻击导致数据丢失。 总的来说,恶意软件清理助手是现代数字生活中不可或缺的安全工具,它通过全面的扫描、智能的分析和实时的保护,帮助用户抵御日益复杂的恶意软件...
文件恶意软件攻击是什么意思?
oldboyedu1的博客
11-25 378
最初的无文件恶意软件指的就是那些不使用本地持久化技术或者说完全驻留在内存之中的恶意代码,但后期演变后到现在,通常会将那些传统防毒软件无法识别的,依赖于文件系统的某些功能来实现恶意代码激活和驻留的恶意软件也当做是无文件恶意软件。首先最重要的就是对各种网络安全威胁的及时更新,只有保持你的安全抵御状态是最新的最良好的情况下才能抵御无文件恶意软件攻击。其实,无文件攻击并不是没有文件,它属于一种隐蔽性极高的攻击手法,那么无文件恶意软件攻击是什么意思?④持久性,即在系统中保持恶意软件的能力,延长被发现的时间。
漫谈无文件恶意软件的发展历史
weixin_34055910的博客
08-01 588
一、前言 究竟什么是“无文件恶意软件(fileless malware)”?谈到这个名词时,许多安全行业的专业人员都心有余悸,许多文章和产品手册在介绍无文件恶意软件时,总会顺带提到我们难以防御和分析这类威胁。我在这篇文章中会试着抛开这些陈词滥调,追溯无文件恶意软件的最初起源,并以此类恶意软件的几个样本为例,勾勒出这个名词的演变轮廓。 二、这是一个热...
政府黑客使用无文件技术投放远程控制木马
weixin_34297704的博客
07-03 103
亚洲的国家黑客正使用一种新技术投放远程控制木马,回避安全产品的检测。 终端安全公司SentinelOne发布消息称,这些威胁小组使用的方法能够将远程控制木马注入到受害设备的内存。反病毒软件、甚至是更新型的技术,只要基于文件检测,就无法发现此类威胁。 研究人员通过分析攻击过程发现,硬盘上的确被写入了一些新文件,但恶意载荷从未在未经加密的状况下触及硬盘。 ...
Linux无文件木马程序渗透测试复现
永远是少年
06-15 1134
今天继续给大家介绍渗透测试相关知识,本文主要内容是Linux无文件木马程序渗透测试复现。 一、实战介绍 二、初次渗透测试 三、无文件木马渗透测试
防病毒技术:无文件攻击
weixin_33804990的博客
01-30 649
如今,无文件攻击已经常态化了。虽然一些攻击恶意软件家族在其攻击的各个方面都企图实现无文件化,但只有一些功能才能实现无文件化。对于攻击者来说,无文件化只是试图绕过攻击的一种手段,至于是否有文件,都只是表象。 无文件攻击简介 “无文件攻击”这一术语往往会让人产生歧义,比如无文件攻击就代表真的没有攻击文件吗?没有文件又如何实施攻击?如何检测?如何防御……,其实“无文件攻击”只是一种攻击策略,其...
文件攻击
why123wh的博客
02-16 2433
文件攻击是一种高级持续性威胁(APT)的攻击方式,它不会在目标系统的磁盘上留下可执行文件,而是利用系统内置的工具或脚本执行恶意代码,从而绕过传统的安全防护措施。无文件攻击的最大特点就是恶意代码直接在内存中运行,难以被发现和清除。
恶意代码分析与防范:计算机安全的重要性
3. Office文档、图片、视频:恶意代码可以隐藏在Office文档、图片、视频等文件中,等待用户打开时激活。 4. 设置密码:弱密码或默认密码也可能会被恶意代码利用,导致计算机系统的安全漏洞。 恶意代码的基本概念 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值