浅谈无文件攻击

最新推荐文章于 2023-11-10 15:29:57 发布
最新推荐文章于 2023-11-10 15:29:57 发布
阅读量3.5k 收藏 9
点赞数 4
文章标签: 安全 安全漏洞 信息安全 数据安全 企业安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41679427/article/details/104920331
版权
本文探讨了无文件攻击的三种类型及其在不同层面上的执行方式,包括基于漏洞、网络、硬件的攻击,以及通过宏、脚本、磁盘引导记录等执行恶意代码的手段。微软的无文件攻击模型对此进行了详细分类,揭示了现代安全防护面临的挑战。
摘要由CSDN通过智能技术生成

这些年无文件(Fileless)和不落地(Living off the Land)攻击已经非常流行,几乎成为攻击者的标配。理想的无文件攻击是只存在于内存中的后门,网络上有很多无文件攻击的验证性代码,比如最早的powershell downloadstring,远程文件是被当成字符串直接下载到powershell进程内存中执行,然后发展到利用mshta、rundll32等执行脚本的各种奇技淫巧,再到现在流行的各种.NET assembly托管代码注入技术,当然还有一些完全脱离操作系统的高端无文件攻击。而微软有一个无文件攻击模型能够非常好的解析这些无文件攻击,我给大家做个简单的参考解读。

 

 

 

这个攻击模型按磁盘文件的活动将攻击分成了3个类型

  • Type1,没有任何的文件活动。简单说就是攻击活动没有任何的磁盘文件落地和磁盘文件的操作行为,一般这种攻击的实施都脱离了操作系统,是由更上层的硬件固件和软件层发起的。
  • Type2,没有磁盘落地文件,但通过文件间接活动,恶意代码一般通过白文件间接加载到内存中执行。这类攻击恶意代码的载体大多数都是脚本,通过程序命令执行,也有通过磁盘引导记录等特定机制的执行。
  • Type3,需要操作文件进行活动。比较容易能理解的意思是恶意代码变成了数据,利用文件相关的程序漏洞或功能特性将恶意数据转换为恶意代码执行。

 

接着是颗粒度更细的分类描叙,是基于被攻击宿主进行

最低0.47元/天 解锁文章
CanMeng'Blog
关注
文件落地攻击手法
墨痕诉清风的博客
04-28 235
文件落地攻击()是一种高级的网络攻击技术,它利用操作系统或应用程序的漏洞,通过在内存中运行恶意代码而不在受攻击系统上留下任何可检测的文件痕迹。与传统的恶意软件攻击不同,无文件攻击不需要依赖传统的恶意软件文件来实施攻击,从而增加了攻击的隐蔽性和成功率。无文件攻击通常利用合法的系统工具和功能,如PowerShellWMI)、注册表等,来执行恶意代码。攻击者可以通过操纵这些合法工具来加载和执行恶意代码,并将其驻留在受害系统的内存中。由于没有文件被写入磁盘,传统的防病毒软件和安全工具难以检测到这种类型的攻击
文件攻击与病毒样本分析-1-4-2-无文件攻击之恶意脚本:WScript和CScript
不忘初心,护天下安全!
07-15 538
Wscript和CScript在无文件攻击中的利用方法
文件攻击笔记
u011975363的专栏
01-19 182
手工查杀文章: https://www.freebuf.com/articles/system/224381.html
文件落地攻击
最新发布
Fly_鹏程万里
11-10 1310
所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法,常用于逃避传统的安全检测机制,本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。
浅谈U盘文件的恢复和修复.zip
09-18
然而,由于各种原因,如意外删除、格式化、病毒攻击或硬件故障,U盘中的文件可能会丢失或损坏。本文将深入探讨如何恢复和修复U盘文件,帮助用户挽回宝贵的数据。 一、U盘文件丢失的原因 1. 误操作:用户可能在...
浅谈网站注入式攻击以及应对措施.pdf
09-19
对于服务器的配置文件和数据库连接字符串等关键配置文件,需要确保其权限设置适当,防止未授权访问。同时,服务器的操作系统和数据库服务都应保持最新版本,及时安装安全补丁,修补已知漏洞。应用程序还应开启错误...
浅谈php调用python文件
10-17
如果没有对用户输入进行适当的验证和清理,就可能会遭受代码注入攻击。因此,在实际应用中需要采取措施防止此类安全问题的发生。 总结来说,文章通过实例展示了在PHP中调用Python脚本的过程和遇到的问题,并提供了...
文件攻击与病毒样本分析-1-4-3-无文件攻击之恶意脚本:Powershell
不忘初心,护天下安全!
07-15 1022
简要介绍无文件攻击中powershell的发力点
文件攻击
why123wh的博客
02-16 2697
文件攻击是一种高级持续性威胁(APT)的攻击方式,它不会在目标系统的磁盘上留下可执行文件,而是利用系统内置的工具或脚本执行恶意代码,从而绕过传统的安全防护措施。无文件攻击的最大特点就是恶意代码直接在内存中运行,难以被发现和清除。
Mykings僵尸网络更新基础设施,大量使用PowerShell脚本进行“无文件攻击挖矿
systemino的博客
05-21 1876
一、概述 MyKings僵尸网络2017 年 2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。 Mykings僵尸网络的主要更新点: 1.新增IP、域名、URL; 2.大量采用POWERSHELL脚本进行“无文件”落地攻击; 3.在清理竞争对手
样本分析报告——RevengeRAT无文件落地攻击
摔不死的笨鸟的博客
11-17 934
该样本出现在2019年9月6日,样本分析报告在2019年9月16日。样本来源于国外沙箱app.any.run。 样本信息 FileName FileType FileSize MD5 Order____679873892.xls RevengeRAT变种 41,472 bytes 7641fef8abc7cb24b66655d11ef3daf2 样本行为 样本启动后会有启动宏功能的安全提示。 启用宏之后,提示运行时错误,提示标题为Microsoft Visual Basic,由此可以
.net core 获取binary 文件_基于tomcat的内存 Webshell 无文件攻击技术
weixin_34702885的博客
12-29 381
更多全球网络安全资讯尽在邑安全www.eansec.com0x00 前言前段时间,看到安全客有观星实验室的师傅写了篇《基于内存 Webshell 的无文件攻击技术研究》的文章,他的办法是动态的注册一个自定义的Controller,从而实现一个内存级的Webshell。文章也针对Spring不同的版本做了不同的实践,达到通杀Spring。虽然看起来达到通杀Spring了,但是对于一些非Sp...
文件恶意软件真的没有文件
weixin_34150503的博客
07-03 164
据说无文件恶意软件的目标,就是进驻内存以保持隐身。除了驻扎在内存,无文件恶意软件的第二个特点,就是对系统管理工具的利用,比如PowerShell。 攻击者为什么要利用无文件恶意软件? 其一,不是每种终端解决方案都直接检查内存。这让内存成为了理想的藏身地点。其二,PowerShell之类的工具已经存在于系统中了。这就给攻击者留下了多个好处。能够靠局域网为生...
PE文件不落地执行
土豆的博客
07-02 757
PowerShell的主要作用是从远程位置下载恶意文件到受害者主机中,然后使用诸如Start-Porcess、Invoke-Item或者Invoke-Expression(-IEX)之类的命令执行恶意文件,PowerShell也可以将远程文件直接下载到受害者主机内存中,然后从内存中执行。多数情况下,powershell攻击活动中,攻击者会通过命令行进程调用powershell进程,也就是powershell的父进程通常是cmd.exe。 ...
文件形式的恶意软件:了解非恶意软件攻击(一)
systemino的博客
10-08 1489
与基于文件攻击不同,无文件恶意软件不会利用传统的可执行文件。无文件攻击滥用了操作系统内置的工具来进行攻击。从本质上讲,Windows是反对自己的。 没有可执行文件,杀毒软件就无法检测到签名,这就是无文件攻击如此危险的原因,因为它们能够轻松逃避防病毒产品。 利用MITRE ATT&CK框架防御这些攻击,MITRE ATT&CK是一款可以加速检测与响应的最新工具(对手战...
“无文件攻击方式渗透实验
weixin_33972649的博客
03-16 444
拓扑设计   拓扑介绍 其中192.168.1.0/24模拟的是公网的环境 172.21.132.0/24模拟的是企业内网的环境 边界web服务器双网卡(公网的:192.168.1.110,和内网的172.21.132.110),而且为了最基本的安全保障,web边界服务器设置了防火墙,此防火墙对外网只开放80,81,443端口,对内网开放所有端口,上面还装有杀毒软件。 内网还布置若干台web服...
文件恶意软件感染完整指南
m0_37442062的博客
04-26 620
目录 什么是无文件感染 ? 为什么网络罪犯使用无文件恶意软件 无文件感染的工作机制 EXPLOIT KITS ——无文件感染的必要工具 如何保护您的计算机免受无文件感染 Level 1:保持应用程序和操作系统应用安全更新 Level 2:阻止携带 Exploit kits 的页面 Level 3:阻止 payload 传递 Level 4:阻止你的电脑和攻击者的服务器之间的通信 结论 什么是无文件感染 ? 正如其名,恶意软件或病毒在感染的过程中不使用任何文件。 要了解它的含义...
浅谈linux的操作体统
05-12
这些机制可以保护系统免受恶意软件和攻击者的侵害。 总之,虽然Linux的操作体统对于新手来说可能有些陌生和不便,但是它的灵活性和安全性是其他操作系统无法比拟的。对于那些需要更高自由度和更强安全性的用户来说...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值