无文件进攻的4种根基技能先容

内置于操纵体系中的Windows Management Instrumentation(WMI)为进攻者提供了更多与当地措施交互的机遇。WMI应承进攻者在wmic.exe可执行文件(以及其他一些文件)的辅佐下行使剧本(譬喻PowerShell)并与进攻端的大大都措施成果举办交互。因为这些操纵仅涉及受信赖的内置Windows成果，因此杀毒软件技能难以举办检测和限定。有关WMI怎样帮忙无文件进攻的表明，请参阅Matt Graeber撰写的滥用WMI构建耐久、异步和无文件后门的文章。

进攻者通过操作这种良性和可相信的适用措施，大大增进了躲避检测的概率。有关此类技能的其他示例，请参阅Matthew Dunwoody对APT29行使WMI和PowerShell构建无文件后门的概述。

技能4：内存中的恶意代码

固然搜查磁盘上的文件是很多杀毒软件产物的上风，但它们常常会被仅驻留在内存中的恶意代码所莫非，因为内存是不不变的和动态变革的，这就使恶意软件有机遇改变其进攻方法或以其他方法躲避杀毒检测。

一旦进攻者开始在进攻端上执行恶意代码，那进攻者就可以将恶意软件解压缩到内存中，而不会将恶意控件生涯到文件体系中，这也许涉及到将代码提取到历程自己的内存空间中的技能。在其他环境下，恶意软件会将代码注入受信赖的流程和其他良性流程中。

内存进攻技能的案例包罗：

• 内存注入操作Microsoft Windows的成果与操纵体系举办交互，而不会操作裂痕。譬喻，常常被注入恶意软件举办滥用的API挪用包罗VirtualAllocEx和WriteProcessMemory，它们应承用一个历程将代码写入另一个历程。要相识这些技能的现实应用，请阅读Gal Bitensky对AZORult进攻的概述，AZORult是一个成果强盛的信息窃取措施和下载措施。
• 进攻者可以将已编译的可执行文件包装成剧本，以便在运行时将恶意载荷提取到内存中，PowerSploit就是这样的器材包的一个例子，你可以通过阅读Asaf Aprozper和Gal Bitensky的GhostMiner说明来看到它的运行，而Chris Truncer的Veil框架又是另一个案例，感乐趣可以读一下。
• Process Doppelgänging是一种绕过杀软检测的新技能，这种新的进攻方法对全部windows平台都有用，而且可以或许进攻今朝可见的大部门安详产物。Doppelgänging操作两种特征来袒护加载修改版可执行文件的进程。通过行使NTFS，进攻者可以在不写入磁盘的环境下修改可执行文件。这意味着，进攻可觉得修改版的可执行文件成立历程，而杀毒软件的安详机制检测不到。这种要领很像历程中空技能，可是越发高级。进攻者可以在没有可以历程和内存操纵(如SuspendProcess和NtUnmapViewOfSection)的环境下，让恶意软件在正常软件的历程中执行恣意代码。SynAck恶意软件就行使了这种躲避技能，以试图终止与假造机、办公应用措施、剧本表明器、数据库应用措施、备份体系以及游戏应用措施等相干的措施。研究职员以为，SynAc这样做的目标在于授予自身可以或许会见这些历程所行使的有代价文件的权限。犹如其他打单软件一样，SynAck也会网络一些关于受传染主机的根基信息，如计较机和用户名、操纵体系版本信息等，然后行使随机天生的256位AES密钥对方针文件举办加密。在文件被加密后，将会被附加一个随机出产的扩展名。除此之外，SynAck还会破除体系存储的变乱日记，而且可以通过修改注册表中的LegalNoticeCaption和LegalNoticeText键将自界说文本添加到Windows登录屏幕。

内存进攻技能应承进攻者绕过很多杀毒检测技能，包罗应用措施白名单。虽很多杀毒器材试图捕捉内存注入，但进攻者的进攻技能明明技高一筹，Asaf Aprozper的CoffeeShot器材通过在Java中实现注入要领来演示这种检测实行的懦弱性。

总结

现在，无文件进攻已常常态化了。固然一些进攻和恶意软件家属在其进攻的各个方面都阴谋实现无文件化，但只有一些成果才气实现无文件化。对付进攻者来说，无文件化只是试图绕过进攻的一种本领，至于是否有文件，都只是表象。今后进攻者也许会将全部进攻技能举办组合，包罗行使恶意文件、恶意剧本、与当地措施交互和内存注入。具有无文件属性的进攻是基于应用措施和操纵体系成果的，操作了杀毒器材在实行检测和防备各类滥用时的盲点。

本文翻译自：https://blog.minerva-labs.com/deconstructing-fileless-attacks-into-4-underlying-techniques

【编辑保举】

1. 第三次收集进攻海潮正在袭来，你的信息安详吗？
2. Rakhni：你的电脑得当挖矿照旧传染恶意软件？由它来抉择
3. 恶意软件的终极指南 暗码窃取器变得越发伟大和伤害
4. 写给金融首席安详官的一封信：请随时筹备好，大局限收集进攻随时到来
5. 最可骇的八种黑客本领，收集进攻真是无孔不入！

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!