什么是无文件攻击
  

新手911453 3292人觉得有帮助

{{ttag.title}}
本帖最后由 售前小菜鸟_CC 于 2021-7-23 11:35 编辑

什么是无文件攻击?


1.什么是无文件攻击?

  例如客户的主机出现CPU占用率很高,并且主机有异常连接C&C服务器的一个可疑现象,但是我们使用杀毒软件却没有发现磁盘上有恶意文件,那么这就可能存在一个无文件攻击。

2.为什么难以检测?

  1.因为无文件攻击不需要存在于被攻击目标的磁盘中,这样我们的反病毒引擎就很难对它进行检测到它的存在。

  2.无文件攻击存在于内存中,检测存在于内存中的病毒,我们的检测手段往往都是依据于黑白名单这种笨办法进行识别,但是攻击手段和病毒的变种率极高,黑白名单库就可能存在滞后的问题。

3.存在误解

  1.“无文件攻击”就是真的没有文件嘛?其实并不是这指的是一种攻击策略,它的出发点是避免恶意文件放在磁盘上,以逃避安全的一个检测。

4.无文件的攻击方式

  1.无文件攻击方式分类:

        1.漏洞型攻击

     2.灰色工具型攻击

     3.潜伏型攻击

1.漏洞型攻击

   顾名思义就是利用计算机漏洞或者一些计算机软件的漏洞例如:

1.Office漏洞

  例:黑客通过发送一些携带恶意代码的Office文档,当用户打开时就会自动运行恶意代码,黑客就达到了入侵目的。由于用户点击文档后的所有攻击过程均没有落地文件,所以杀毒软件难以检测。

有人会有疑问Office不就是文件嘛?

  可能这个病毒只是一小段代码,通过访问攻击者的特定服务器,获取到攻击代码后就直接运行,这个过程和Office一起远行了,没有攻击文件落地于用户磁盘中。

2.Web服务漏洞

  web的漏洞很多,很容易被攻击,首先它就是一个面向公众开放服务,那么就有很多面向公众的接口,同时SQLServer、Nginx、Apache、IIS等WEB服务程序又存在很多的漏洞问题,病毒就可以利用这些漏洞进行远程命令执行,所以一旦这些漏洞被攻击者掌握,服务又没有一个监管和预防,漏洞没及时的修复就会大范围的受到攻击的风险。

3.SMB漏洞

  什么是SMB?  SMB是Windows系统自启动的通信服务,一旦有漏洞,那么病毒就会横向的在感染可通信到的主机,利用通信漏洞,传染到内网中的所有有这个漏洞的主机上。

2.灰色工具型攻击

首先就先了解什么是灰色工具?

  灰色工具是指那些可以被用来执行恶意代码的合法工具,这些软件呢有一定的权限漏洞,容易被攻击者利用一旦被攻击,很容易获取计算机的较高权限去执行一些恶意的命令。

灰色软件举例:

  1. Powershell  系统工具用于执行命令的窗口类似常用的CMD,在杀毒软件的白名单中,要查杀只能检测其执行的脚本代码,但因为powershell支持各种混淆,所以对其进行检测也极为困难。一些攻击者会利用这个直接执行挖矿代码,行为及其的隐蔽,杀毒软件基本杀不出来。

  2. Psexec    也是windows的系统工具,作用是方便管理者用于远程管理内网的主机,这就存在一个可能被攻击者利用的一个风险。

3.潜伏型攻击

   1.注册表

   2.Wmi

   3.进程注入

   4.定时任务

   5.Mbr

1.注册表

  注册表中包含许多敏感表项如HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,只要将病毒的路径或恶意的脚本存储到这里,系统每次开机都会执行这些病毒和恶意脚本,Poweliks就是使用注册表来进行持久化攻击的代表。

2.Wmi

  WMI以本地和远程方式提供了许多管理功能,包括查询系统信息、启动和停止进程以及设置条件触发器。管理员可以使用各种工具(比如Windows的WMI命令行工具wmic.exe)或者脚本编程语言(如PowerShell)提供的API接口来访问WMI。

3.进程注入

  进程注入技术很久以前就被病毒所利用了,病毒运行后一般会将恶意代码注入到系统进程中,然后将自身删除,达到隐藏的效果。

4.定时任务

  定时任务是一个实用的工具,比如我们想实现每隔一段时间进行下文件备份、日志记录等等,就可以使用到定时任务。

5.Mbr

  MBR是系统引导程序,对系统的启动很关键,试想,若病毒隐藏恶意代码于在MBR中,就可以实现先于系统加载,绕过杀软的效果。

总结一下:

无文件攻击是什么?

无文件攻击就是一些不在本地有威胁文件,或者是无法通过检测工具被识别出来的一种攻击手段。

无文件攻击的特征是什么?

1.存在内存异常占用情况

2.存在C&C通信情况

3.调用灰色工具

4.修改系统的文件


扩展:

1.什么是C&C通信?


C&C通信指的是Command(命令)&Control Server(控制服务器)就是命令和控制服务器,啥意思?
   就是当我们的主机收到病毒的攻击后,病毒通过控制我们的主机建立一个与攻击者的通信通道,方便攻击者能实时的控制我们的主机。(具体如何建立通信就不过多进行举例了)

2.什么是注册表?

  注册表是Windows的一个重要数据库,用于储存系统和应用程序的设置信息。
  作用:注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。





注:

文章的大部分内容来源于网络:

作者:蚁景科技https://www.freebuf.com/column/203131.html

注册表参考的是:https://www.php.cn/faq/417818.html

内容要是有错误,给我留言哦!虽然不一定会改,但是你不能不说!




         
  

打赏鼓励作者,期待更多好文!

打赏
8人已打赏

水之蓝色 发表于 2021-7-23 23:05
  
感谢分享,学习新知识!!!!!
一个无趣的人 发表于 2021-7-24 16:55
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
飞翔的苹果 发表于 2021-8-4 08:18
  
感谢分享,有助于工作,学习学习
会飞的癞蛤蟆 发表于 2021-8-9 17:49
  
攻击手段和病毒的变种率极高
航嘉电脑门诊 发表于 2021-8-9 17:49
  
好好学习,天天进步。
会飞的癞蛤蟆 发表于 2021-8-9 17:51
  
可能这个病毒只是一小段代码


太过抽象,能不能来点干货,举个栗子。。。
航嘉电脑门诊 发表于 2021-8-9 17:52
  
Powershell  原来是一个灰色工具,太可怕了。。
会飞的癞蛤蟆 发表于 2021-8-9 17:53
  
Psexec 是干嘛用的,好用吗 ?
航嘉电脑门诊 发表于 2021-8-9 17:54
  
那 CMD算不算呢 ???
发表新帖
作者其他文章
热门标签
全部标签>
每日一问
GIF动图学习
信服课堂视频
项目案例
技术笔记
产品连连看
在线直播
专家分享
技术咨询
SDP百科
VPN 对接
安装部署配置
原创分享
功能体验
答题自测
新版本体验
技术圆桌
云计算知识
问题分析处理
每日一记
畅聊IT
专家问答
SANGFOR资讯
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
流量管理
运维工具
用户认证
解决方案
sangfor周刊
技术顾问
信服故事
标准化排查
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告

本版版主

207
120
129

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人