浅谈无文件攻击

最新推荐文章于 2023-11-10 15:29:57 发布
最新推荐文章于 2023-11-10 15:29:57 发布
阅读量500 收藏
点赞数
文章标签: 安全 网络安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41679427/article/details/110312534
版权

这些年无文件(Fileless)和不落地(Living off the Land)攻击已经非常流行,几乎成为攻击者的标配。理想的无文件攻击是只存在于内存中的后门,网络上有很多无文件攻击的验证性代码,比如最早的powershell downloadstring,远程文件是被当成字符串直接下载到powershell进程内存中执行,然后发展到利用mshta、rundll32等执行脚本的各种奇技淫巧,再到现在流行的各种.NET assembly托管代码注入技术,当然还有一些完全脱离操作系统的高端无文件攻击。而微软有一个无文件攻击模型能够非常好的解析这些无文件攻击,我给大家做个简单的参考解读。

 

 

这个攻击模型按磁盘文件的活动将攻击分成了3个类型

  • Type1,没有任何的文件活动。简单说就是攻击活动没有任何的磁盘文件落地和磁盘文件的操作行为,一般这种攻击的实施都脱离了操作系统,是由更上层的硬件固件和软件层发起的。

  • Type2,没有磁盘落地文件,但通过文件间接活动,恶意代码一般通过白文件间接加载到内存中执行。这类攻击恶意代码的载体大多数都是脚本,通过程序命令执行,也有通过磁盘引导记录等特定机制的执行。

  • Type3,需要操作文件进行活动。比较容易能理解的意思是恶意代码变成了数据,利用文件相关的程序漏洞或功能特性将恶意数据转换为恶意代码执行。

 

接着是颗粒度更细的分类描叙,是基于被攻击宿主进行的分类

 

漏洞攻击,基于软件和操作系统安全漏洞的无文件攻击

  • 基于文件(Type3) 各种各样的office、flash、java漏洞文件和浏览器漏洞ÿ

最低0.47元/天 解锁文章
CanMeng'Blog
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
文件攻击的种类
摔不死的笨鸟的博客
12-01 2001
安全领域,无文件攻击意味着极其严重的威胁。“无文件”一词,是在探讨绕过恶意文件检测技术的方法时诞生的术语。“无文件攻击”只是一种攻击策略,其出发点就是避免将恶意文件放在磁盘上,以逃避传统安全软件的检测。 本知识领域牵涉到病毒逆向分析和渗透测试两大版块。 无文件攻击的种类 病毒名称 漏洞类型 CVE编号 漏洞位置 Office漏洞 CVE-2017-0199 内嵌OLE2LINK对象 Office漏洞 CVE-2017-11882(噩梦公式一代) 公式编辑器EQNEDT32.EXE
文件攻击
why123wh的博客
02-16 2410
文件攻击是一种高级持续性威胁(APT)的攻击方式,它不会在目标系统的磁盘上留下可执行文件,而是利用系统内置的工具或脚本执行恶意代码,从而绕过传统的安全防护措施。无文件攻击的最大特点就是恶意代码直接在内存中运行,难以被发现和清除。
文件攻击的各种姿势
蚁景网安学院
05-08 920
0x01很多应急响应行动中都会出现这样的场景:客户主机出现CPU占用率很高或有连接C&C服务器的可疑现象,但是使用杀软查杀却没有发现磁盘上有恶意文件。这其实就是无文件攻击。“无文...
浅谈文件落地攻击
errorr0
06-04 2235
文件落地攻击实现隐藏攻击
文件落地攻击
最新发布
Fly_鹏程万里
11-10 1085
所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法,常用于逃避传统的安全检测机制,本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。
浅谈U盘文件的恢复和修复.zip
09-18
然而,由于各种原因,如意外删除、格式化、病毒攻击或硬件故障,U盘中的文件可能会丢失或损坏。本文将深入探讨如何恢复和修复U盘文件,帮助用户挽回宝贵的数据。 一、U盘文件丢失的原因 1. 误操作:用户可能在...
浅谈Linux系统安全.pdf
09-06
【Linux系统安全】是确保计算机系统免受恶意攻击和未经授权访问的关键领域。Linux操作系统,尽管以其开源和安全性著称,但仍存在安全隐患,特别是在全球范围内广泛使用后,针对Linux的攻击逐渐增多。为了确保Linux...
浅谈ASP数据库下载漏洞
01-02
1.强制下载后缀名为ASP、ASA的数据库文件 大多数的网管为了节省时间,网站上的文章系统、论坛等程序都是直接下载别人的源程序再经过部分修改后使用的。而现在很多人做的ASP源程序都已经将 数据库的后缀由原先的MDB...
浅谈IIS安全配置
09-30
确保IIS的安全配置至关重要,因为它可以防止恶意攻击者利用漏洞入侵系统。以下是一些基于个人经验的IIS安全配置建议: 1. **文件系统权限**: - 使用NTFS文件系统是必要的,因为NTFS提供了更细粒度的权限控制,...
浅谈PHP封装CURL
10-17
这可以提高安全性,避免文件路径注入攻击。同时,为了进一步增强安全性,可以设置`CURLOPT_SAFE_UPLOAD`为`true`,禁止使用`@`前缀上传文件。 ```php $file = new CURLFile('path/to/your/file', 'mimetype', '...
防病毒技术:无文件攻击
weixin_33804990的博客
01-30 648
如今,无文件攻击已经常态化了。虽然一些攻击和恶意软件家族在其攻击的各个方面都企图实现无文件化,但只有一些功能才能实现无文件化。对于攻击者来说,无文件化只是试图绕过攻击的一种手段,至于是否有文件,都只是表象。 无文件攻击简介 “无文件攻击”这一术语往往会让人产生歧义,比如无文件攻击就代表真的没有攻击文件吗?没有文件又如何实施攻击?如何检测?如何防御……,其实“无文件攻击”只是一种攻击策略,其...
“无文件攻击方式渗透实验
weixin_33972649的博客
03-16 406
拓扑设计   拓扑介绍 其中192.168.1.0/24模拟的是公网的环境 172.21.132.0/24模拟的是企业内网的环境 边界web服务器双网卡(公网的:192.168.1.110,和内网的172.21.132.110),而且为了最基本的安全保障,web边界服务器设置了防火墙,此防火墙对外网只开放80,81,443端口,对内网开放所有端口,上面还装有杀毒软件。 内网还布置若干台web服...
文件攻击笔记
u011975363的专栏
01-19 162
手工查杀文章: https://www.freebuf.com/articles/system/224381.html
基于MBR的无文件攻击技术
不忘初心,护天下安全!
06-01 429
启动记录是磁盘或卷的第一个扇区,并且包含启动操作系统启动过程所需的可执行代码。 如将 Bootya 等威胁覆盖到恶意代码,可以感染启动记录。 当计算机启动时,恶意软件将立即获得控制权。 启动记录驻留在文件系统外部,但操作系统可以访问它。MBR是在BIOS完成硬件初始化后首次加载的磁盘部分。它是引导加载程序的位置。对启动驱动器具有原始访问权限的对手可能会覆盖此区域,从而将启动期间的执行从正常启动加载程序转移到对手代码。试想,若病毒隐藏恶意代码于在MBR中,就可以实现先于系统加载,绕过杀软的效果。硬盘的逻辑结构
文件攻击的兴起与应对之道
瑭瑄的博客
02-21 440
https://mp.weixin.qq.com/s/7SCKHGUYLufIFhhrPL9kWQ无文件攻击比基于恶意软件的传统威胁更容易实施也更有效,因而给公司企业的安全防护带来了更大的挑战。网络罪犯自然会寻找阻力最小的途径实施攻击,这也正是越来越多的网络罪犯采用无文件攻击的原因所在。随着攻击者对该攻击手法的应用越来越得心应手,企业雇员越来越依赖移动设备和云来开展工作,无文件攻击的威胁也越来越大...
样本分析报告——RevengeRAT无文件落地攻击
摔不死的笨鸟的博客
11-17 883
该样本出现在2019年9月6日,样本分析报告在2019年9月16日。样本来源于国外沙箱app.any.run。 样本信息 FileName FileType FileSize MD5 Order____679873892.xls RevengeRAT变种 41,472 bytes 7641fef8abc7cb24b66655d11ef3daf2 样本行为 样本启动后会有启动宏功能的安全提示。 启用宏之后,提示运行时错误,提示标题为Microsoft Visual Basic,由此可以
常见的无文件攻击技术解析(不定时更新)——入得此门不回首
sxr__nc的博客
05-18 796
下边介绍的几种无文件攻击方式都是在病毒分析过程中实际碰到过的技术手段,有解释的不清楚或者有粗无的地方,欢迎一起讨论。 1、通过宏代码的方式来执行恶意操作。之前分析的一个病毒,将代码内嵌到宏代码里边并且设置为自动执行,当用户点击同意启用宏之后(大多通过邮件或者其他社会工程学的方式使用),就会执行宏代码,而宏代码的功能是连接到远程的网站上执行一段恶意的powershell,当然,这段恶意的powershell也是经过混淆的,powershell的功能也是连接到其他网站来执行一段恶意的代码,就这样循环下去,一直
浅谈springboot
04-29
Spring Boot是一种基于Spring框架的快速开发应用程序的工具,它可以极大地简化Spring应用程序的配置和部署过程。Spring Boot利用“约定优于配置”的原则,来减少开发人员的工作量,使开发人员可以更加专注于业务逻辑...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值