例如客户的主机出现CPU占用率很高,并且主机有异常连接C&C服务器的一个可疑现象,但是我们使用杀毒软件却没有发现磁盘上有恶意文件,那么这就可能存在一个无文件攻击。
2.为什么难以检测?
1.因为无文件攻击不需要存在于被攻击目标的磁盘中,这样我们的反病毒引擎就很难对它进行检测到它的存在。
2.无文件攻击存在于内存中,检测存在于内存中的病毒,我们的检测手段往往都是依据于黑白名单这种笨办法进行识别,但是攻击手段和病毒的变种率极高,黑白名单库就可能存在滞后的问题。
3.存在误解
1.“无文件攻击”就是真的没有文件嘛?其实并不是这指的是一种攻击策略,它的出发点是避免恶意文件放在磁盘上,以逃避安全的一个检测。
4.无文件的攻击方式
1.无文件攻击方式分类:
1.漏洞型攻击
2.灰色工具型攻击
3.潜伏型攻击
1.漏洞型攻击
顾名思义就是利用计算机漏洞或者一些计算机软件的漏洞例如:
1.Office漏洞
例:黑客通过发送一些携带恶意代码的Office文档,当用户打开时就会自动运行恶意代码,黑客就达到了入侵目的。由于用户点击文档后的所有攻击过程均没有落地文件,所以杀毒软件难以检测。
有人会有疑问Office不就是文件嘛?
可能这个病毒只是一小段代码,通过访问攻击者的特定服务器,获取到攻击代码后就直接运行,这个过程和Office一起远行了,没有攻击文件落地于用户磁盘中。
2.Web服务漏洞
web的漏洞很多,很容易被攻击,首先它就是一个面向公众开放服务,那么就有很多面向公众的接口,同时SQLServer、Nginx、Apache、IIS等WEB服务程序又存在很多的漏洞问题,病毒就可以利用这些漏洞进行远程命令执行,所以一旦这些漏洞被攻击者掌握,服务又没有一个监管和预防,漏洞没及时的修复就会大范围的受到攻击的风险。
3.SMB漏洞
什么是SMB? SMB是Windows系统自启动的通信服务,一旦有漏洞,那么病毒就会横向的在感染可通信到的主机,利用通信漏洞,传染到内网中的所有有这个漏洞的主机上。
2.灰色工具型攻击
首先就先了解什么是灰色工具?
灰色工具是指那些可以被用来执行恶意代码的合法工具,这些软件呢有一定的权限漏洞,容易被攻击者利用一旦被攻击,很容易获取计算机的较高权限去执行一些恶意的命令。
灰色软件举例:
1. Powershell 系统工具用于执行命令的窗口类似常用的CMD,在杀毒软件的白名单中,要查杀只能检测其执行的脚本代码,但因为powershell支持各种混淆,所以对其进行检测也极为困难。一些攻击者会利用这个直接执行挖矿代码,行为及其的隐蔽,杀毒软件基本杀不出来。
2. Psexec 也是windows的系统工具,作用是方便管理者用于远程管理内网的主机,这就存在一个可能被攻击者利用的一个风险。
3.潜伏型攻击
1.注册表
2.Wmi
3.进程注入
4.定时任务
5.Mbr
1.注册表
注册表中包含许多敏感表项如HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,只要将病毒的路径或恶意的脚本存储到这里,系统每次开机都会执行这些病毒和恶意脚本,Poweliks就是使用注册表来进行持久化攻击的代表。
2.Wmi
WMI以本地和远程方式提供了许多管理功能,包括查询系统信息、启动和停止进程以及设置条件触发器。管理员可以使用各种工具(比如Windows的WMI命令行工具wmic.exe)或者脚本编程语言(如PowerShell)提供的API接口来访问WMI。
3.进程注入
进程注入技术很久以前就被病毒所利用了,病毒运行后一般会将恶意代码注入到系统进程中,然后将自身删除,达到隐藏的效果。
4.定时任务
定时任务是一个实用的工具,比如我们想实现每隔一段时间进行下文件备份、日志记录等等,就可以使用到定时任务。
5.Mbr
MBR是系统引导程序,对系统的启动很关键,试想,若病毒隐藏恶意代码于在MBR中,就可以实现先于系统加载,绕过杀软的效果。
总结一下:
无文件攻击是什么?
无文件攻击就是一些不在本地有威胁文件,或者是无法通过检测工具被识别出来的一种攻击手段。
无文件攻击的特征是什么?
1.存在内存异常占用情况
2.存在C&C通信情况
3.调用灰色工具
4.修改系统的文件
扩展:
1.什么是C&C通信?
C&C通信指的是Command(命令)&Control Server(控制服务器)就是命令和控制服务器,啥意思?
就是当我们的主机收到病毒的攻击后,病毒通过控制我们的主机建立一个与攻击者的通信通道,方便攻击者能实时的控制我们的主机。(具体如何建立通信就不过多进行举例了)
2.什么是注册表?
注册表是Windows的一个重要数据库,用于储存系统和应用程序的设置信息。