解密无文件攻击的各种姿势及最新检测方法

“无文件攻击”不代表真的没有文件，只是一种攻击策略，其出发点就是避免将恶意文件放在磁盘上，以逃避安全检测。所说的无文件，也未必是攻击全程无文件，而是其中的一部分采用了无文件攻击[1]。近期，受NDSS2020顶会文章[2]启发，查阅趋势科技等数篇安全报告及网页文章，认为无文件攻击是一种趋势，“离地/隐形/无文件”是一个目前很热门的方向。故本文围绕无文件展开调研，收集2020年4月前的相关资料，内容包括无文件勒索、无文件挖矿等最新的无文件攻击方式，并对其进行归纳、总结。同时，分析了该篇顶会文章的核心内容，进一步了解无文件攻击的检测思路。

一、无文件勒索

近期比较特别的有ProLock（shellcode嵌入BMP图像中）、WannaRen（office激活工具中硬编码powershell命令），还有普通的恶意代码注入合法进程及宏结合powershell等。具体情况如下：

ProLock[3]（2020.4.19）

将恶意shellcode嵌入到BMP图像文件中（之前的版本PwndLocker，

“无文件攻击”不代表真的没有文件，只是一种攻击策略，其出发点就是避免将恶意文件放在磁盘上，以逃避安全检测。所说的无文件，也未必是攻击全程无文件，而是其中的一部分采用了无文件攻击[1]。奇热近期，受NDSS2020顶会文章[2]启发，查阅趋势科技等数篇安全报告及网页文章，认为无文件攻击是一种趋势，“离地/隐形/无文件”是一个目前很热门的方向。故本文围绕无文件展开调研，收集2020年4月前的相关资料，内容包括无文件勒索、无文件挖矿等最新的无文件攻击方式，并对其进行归纳、总结。同时，分析了该篇顶会文章的核心内容，进一步了解无文件攻击的检测思路。

一、无文件勒索

近期比较特别的有ProLock（shellcode嵌入BMP图像中）、WannaRen（office激活工具中硬编码powershell命令），还有普通的恶意代码注入合法进程及宏结合powershell等。具体情况如下：

ProLock[3]（2020.4.19）

将恶意shellcode嵌入到BMP图像文件中（之前的版本PwndLocker，嵌入到AVI视频中，被加密文件存在被恢复的可能），通过混淆的powershell代码将图像中的代码直接注入到内存中执行，达到可执行文件不落地的目的。使用ShellCode开发的勒索软件比宏结合powershell更难被安全软件识别，未来可能会成为更多勒索软件开发者的选择。

ProLock勒索软件作者将代码嵌入一个名为“WinMgr.bmp”的BMP图像中，ShellCode代码片段如下：

 

PowerShell脚本解混淆后，将ShellCode直接注入内存中运行。Powershell脚本如下：

ShellCode注入到内存中的代码：

ProLock勒索软件为了能够顺利加密文件，会调用cmd执行命令停止大量服务。这些服务包括数据库相关服务、数据备份相关服务、安全软件相关服务，如下所示：

WannaRen勒索软件[4]（2020.4.14）

网上某软件园的2016office激活工具中硬编码了powershell的相关命令，如下：

解码后得到可执行代码，执行后会先延时2000秒（大概33分钟），检测是否存在相关安全防护进程，针对性很强，可以看出是针对国内普通的个人用户环境。最后还是会执行一段powershell脚本，通过站点返回的内容作为命令执行。

FTCode勒索软件[5]（2020.1）

FTCode勒索病毒是一款基于PowerShell脚本的勒索病毒，主要通过垃圾邮件进行传播，此勒索病毒攻击流程，如下：

FTCode勒索病毒PowerShell代码，如下所示：