- 综合排序
- 最热优先
- 最新优先
浅谈无文件攻击
浅谈无文件攻击简介与大多数恶意软件不同,“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹,而是直接将恶意代码写入内存或注册表中。由于没有病毒文件,传统基于文件扫描的防病毒软件很难侦测到它们的存在。 然而,“无文件”攻击的定义已经逐渐扩大化,那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了“无文件”攻击的范畴中。无文件攻击属于高级持续性威胁(APT)的一种。 APT在无文件攻击之外,还包括0day漏洞利用、缓冲区溢出攻击、傀儡进程等基于内存的攻击,同时还包括内存webshell等攻击,这些攻击可以轻松绕过现有的安全防护体系,将恶意代码悄无声息地植入内存中。 利用注册表利用缓冲区漏洞的无文件攻击有一个弊端就是一旦进程或系统关闭,恶意攻击也就不复存在。 使用内存取证技术,分析内存中的恶意代码,提取攻击的特征和证据,追踪攻击的来源和目的。无文件攻击是一种隐蔽而危险的攻击方式,需要我们提高警惕,加强防护,及时应对。
89710编辑于 2024-03-21- 来自专栏网络安全攻防
无文件落地攻击
文章前言 所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法,常用于逃避传统的安全检测机制,本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。 hta文件,之后通过目标主机的mshta来远程下载并执行,从而实现无文件落地攻击,下面是具体的步骤: Step 1:使用msf的exploit/windows/misc/hta_server模块进行测试 在无文件落地攻击中的利用方式进行介绍,具体方法如下(至于进程隐藏有兴趣的可以自我查找一番): Step 1:运行JSRat监听本地5678端口 . 知识拓展 这里介绍一种在内网中常用的无文件落地攻击方法——WinRM无文件落地攻击!!! Windows Server 2012中通过WinRM实施无文件攻击,最终返回一个新的具备较高隐藏度的Windows Sever 2012的shell给我们的攻击主机,以供对内网进行深入拓展和利用 攻击步骤
2.4K40发布于 2021-07-21 - 来自专栏FreeBuf
浅析无文件攻击
写在前面的话 在信息安全领域中,“无文件攻击”属于一种影响力非常大的安全威胁。攻击者在利用这种技术实施攻击时,不会在目标主机的磁盘上写入任何的恶意文件,因此而得名“无文件攻击”。 接下来,我们一起分析一下无文件攻击所采用的攻击方法以及策略,我们会对无文件攻击所涉及到的特定技术进行介绍,并解释为什么这种攻击方式在大多数情况下不会被安全防御系统发现。 技术一:恶意文档 其实一开始,很多安全研究专家所称之为的“无文件攻击”实际上是会涉及到文档文件的。 参考资料 【参考资料一】【参考资料二】 技术二:恶意脚本 为了不将恶意代码编译成传统的可执行文件,攻击者会在攻击过程中使用具有“无文件”性质的“脚本文件”。 虽然在现代网络攻击活动中,无文件攻击只是其中的一种攻击技术,但很多恶意软件一般都会引入一些“无文件攻击”技术来尝试躲避安全产品的检测。
1.1K30发布于 2018-12-28 - 来自专栏FreeBuf
「无文件」攻击方式渗透实验
前几天看了一个文章《全球上百家银行和金融机构感染了一种“无文件”恶意程序,几乎无法检测》,觉得powershell很是神奇,自己希望亲手实验一下,以最大程度还原“无文件”攻击方式。 这套环境里面的192.168.1.108是黑客的kali攻击机,192.168.1.212是黑客的windows攻击机 科普下nishang和PowerSploit 1、Nishang是基于PowerShell CodeExecution/Invoke–Shellcode.ps1 如果git clone新版本的PowerSploit你要用老版本的CodeExecution/Invoke–Shellcode.ps1替换掉新版本的文件 * 科普一下csrf的攻击:CSRF:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,简单来说攻击者盗用了你的身份,以你的名义发送恶意请求 { wprintf(L"CommandLineToArgvW failed\n"); return0; } } …………………… 7.代码中不能有写文件的操作
2.7K90发布于 2018-02-23 - 来自专栏FreeBuf
CrowdStrike | 无文件攻击白皮书
由于CrowdStrike邮件推送了“无文件攻击白皮书”《谁需要恶意软件?对手如何使用无文件攻击来规避你的安全措施》(Who Needs Malware? 无文件攻击(Fileless attack)是不向磁盘写入可执行文件的攻击方法,难以被常规方法检测出来。根据CrowdStrike统计,“10个成功突破的攻击向量中有8个使用了无文件攻击技术。” 在2016年的调查中,CrowdStrike Services事件响应团队发现,10个成功入侵的攻击向量中有8个使用了无文件攻击技术。 03 作案工具:真实世界的无文件恶意软件 从上面的案例中,我们已经了解了端到端的无文件攻击是如何发生的。在攻击过程中,对手还可以结合其他技术,使用无文件工具和方法。 04 为何传统技术无法抵御无文件攻击 由于传统安全解决方案极难检测到无文件攻击,因此无文件攻击正在增加。让我们来看看,为什么当今市场上的一些端点保护技术,对这些无恶意软件入侵如此脆弱。
4.2K41发布于 2020-11-06 - 来自专栏洛米唯熊
利用WinRM实现内网无文件攻击反弹shell
Win7系统中却默认安装此WinRM服务,但是默认为禁用状态,Win8系统和Win10系统也都默认开启WinRM服务。 WinRM的好处在于,这种远程连接不容易被察觉到,也不会占用远程连接数! 用Administrator账户登录攻击机器 前提知道被攻击方的用户登录账户密码 Windows操作系统中,默认是开启共享IPC$的 IP:192.168.124.30(server2016) IP :192.168.124.20(win7) IP:192.168.124.32(Kali) 0x02:攻击过程 ---- 一、快速在(server2016)运行winrm 命令:winrmquickconfig 成功 三、在(win7)中需要被远程访问的文件,开启文件共享。 ? 开启共享文件夹,并添加访问用户的权限,使其能够远程访问。 五、利用(server2016)的WinRM 实现内网无文件攻击反弹shell 1、在(server2016)中执行以下命令 winrm invoke create wmicimv2/win32_process
1.5K20发布于 2019-08-29 - 来自专栏黑白天安全团队
常见的windows下无文件落地攻击手法
什么是无文件攻击? 无文件下对抗传统杀毒软件(AV) 这里我们可以看看一下CrowdStrike中《无文件攻击白皮书》分析的”为何传统技术无法抵御无文件攻击“来快速理解一下无文件落地的意义: 由于传统安全解决方案极难检测到无文件攻击 ,因此无文件攻击正在增加。 由于无文件攻击不使用PE文件,因此沙盒没有什么可爆破的。即便真有东西被发送到沙箱,因为无文件攻击通常会劫持合法进程,大多数沙箱也都会忽略它。 无文件落地攻击的常用手法 一般来说在windows的能执行脚本或命令的组件都可以用来利用进行无文件落地攻击。
7.5K21发布于 2021-03-16 无文件攻击不再隐形,Trellix NDR + Wise 揭示攻击路径并引导修复
无文件横向移动,隐藏于系统信任之中的威胁网络攻击者的战术不断演变,试图绕过安全供应商的防护。如今的攻击者不再依赖传统的恶意软件,而是以“无文件”方式,利用受信任的系统组件,在网络中横向移动。 这种无文件横向移动,用传统的、仅监控终端或文件的安全解决方案很难检测到。攻击者可能使用有效凭证、避免写入磁盘,并伪装成正常的管理行为,使其操作看起来毫无异常。 即使是无文件攻击,也会在网络中留下痕迹。Trellix NDR 可以检测到异常的流量模式、配置错误的服务、可疑的横向移动行为。 图11:执行恶意载荷并将攻击者添加到管理员组图 12 展示了一个使用 SCShell 实现无文件横向移动的示例。 无文件横向移动活动 引发的两个警报。
24710编辑于 2025-10-22- 来自专栏FreeBuf
揭秘基于注册表隐藏的无文件攻击
*本文原创作者:ArkTeam 发展 一直以来,文件是恶意代码存在的最常见形式,安全软件也通常把磁盘上的文件作为重点检测对象。然而,一旦恶意代码以无文件形式存储在系统中,便难以对其追踪。 早在十几年前,红色代码、Slammer蠕虫就利用缓冲区溢出进行攻击,通过网络传播,完全存在于内存之中,而不以文件作为载体。 不过,这种基于内存的无文件(Fileless)攻击一旦进程或系统关闭,也就不复存在。 随后,多款恶意程序甚至APT组织使用这种无文件持久化攻击技术。 ? 攻击流程 ? 结束语 基于注册表的无文件攻击利用操作系统特性来达到数据隐藏的意图,并将恶意程序运行在合法进程之中,这种方式能让基于文件监测的查杀手段失效,为此安全厂商们也积极做出响应,然而随着技术的进一步发展,恶意代码的隐藏方式很可能并不只局限于
2.1K50发布于 2018-02-08 - 来自专栏公共互联网反网络钓鱼(APCN)
基于SVG文件的新型无文件攻击路径分析与防御体系构建研究
然而,其内嵌脚本与动态加载能力亦被攻击者利用,形成一种新型的“双用途”攻击载体。近期VirusTotal平台披露44个零检测恶意SVG样本,暴露了传统安全检测机制在图像类文件处理上的结构性盲区。 本文系统分析此类攻击的技术原理、传播路径与规避机制,指出其利用内联脚本、事件触发与资源外链实现无文件载荷投递的攻击范式。 关键词: SVG安全;无文件攻击;零检测样本;内容安全策略;攻击检测盲区;网络安全防御1. 引言在现代网络安全防御体系中,文件类型识别与恶意代码扫描是威胁检测的基础环节。 典型攻击流程如下:构造恶意SVG:在图形设计工具或文本编辑器中创建SVG文件,嵌入混淆后的JavaScript代码。 规避检测机制:文件扩展名为.svg,MIME类型为image/svg+xml,多数安全代理默认信任;内容为纯文本,无PE结构或典型恶意文件特征;脚本经混淆或延迟执行,静态扫描难以识别语义。
39610编辑于 2025-10-30 - 来自专栏FreeBuf
SQL Server Transact-SQL 的无文件攻击姿势
背景概述 近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。 排查过程 排查主机上的恶意文件、启动项等,发现执行恶意脚本的WMI,功能是下载文件到本地执行: ? ? 顺手逛一下查杀到恶意exe文件的目录,发现两个dvr后缀的文件,打开一看果不其然,包含了用于下载恶意文件的命令: ? ? 可以看到,上一次排查时发现的恶意文件、WMI、注册表等项都可以在表格中找到生成语句,并且还有一些没有排查到的文件,可能被防病毒软件识别清除了。 病毒文件分析 将十六进制数据拷贝出来转换为PE文件,是一个用C#编写的DLL文件,通过MyDownloadFile方法读取指定URL网页的内容: ?
1.3K10发布于 2019-05-21 - 来自专栏Khan安全团队
无文件PELoader
https://github.com/TheD1rkMtr/FilelessPELoader
65830编辑于 2023-02-23 - 来自专栏渗透云笔记
PDF文件攻击
这次来说说一个关于由PDF文件的栈溢出而引发的远程任意代码执行的典型老版漏洞。这枚漏洞是在2010年被发布出来,距今已快10年之久,但是漏洞却很简单粗暴,有着打开PDF文件就立马中招的效果。 而后在偏移0x10就是uniqueName的数据,uniqueName为28位,对齐后为4个字节; ? 但这类漏洞因为PDF沙箱的原因也有着很大的局限性,往往是需要配合系统的提权漏洞一起使用才能进行完整的攻击过程,所以投入的成本较高在这几年来出现的完整攻击样本较少。 所以平时要小心陌生的文件,在打开前要明确来源,或使用杀毒软件进行杀毒。尽量保证电脑的软件处于最新版本,这样才能最大程度较低被攻击的概率。 不过想必大家现在的电脑上都是360全家桶,一般不会再像早期互联网那时的情况一样出现这种简单粗暴的攻击。 ?
2.9K30发布于 2020-03-12 - 来自专栏Python和安全那些事
恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击)
这篇文章将翻译一篇LNK文件发起的恶意攻击,主要是LNK文件伪装成证书执行RokRAT恶意软件,并利用Powershell命令发起无文件攻击和执行相关行为。基础性技术文章,希望您喜欢! 受感染的文本编辑器notepad++ [译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击) 声明:本人坚决反对利用工具或渗透技术进行犯罪的行为,一切犯罪行为必将受到严惩 RokRAT恶意软件的简化操作过程如下所示,是一种比较常见的LNK攻击: 通过Email发起鱼叉式钓鱼攻击,包括恶意LNK文件(可执行Powershell) 整个LNK文件包含:正常PDF文件、viwer.dat 、search.dat、find.bat 发起RokRAT无文件攻击,利用云端API收集用户信息 更详细的描述如下: (1)当LNK文件被执行时,它会运行PowerShell命令来创建并执行一个合法的文档文件 接着,“search.dat”以无文件攻击的方式读取并执行“viewer.dat”文件。
91110编辑于 2024-05-17 - 来自专栏安全领域
关于新型的无文件网络攻击,你需要知道的5件事
这些攻击有着许多的名字,“无文件攻击”是最常见的一种方式,但也会用"非恶意软件攻击"和"伪装攻击"(适应性攻击)。 所以,这些攻击很快就成为了IT和信息安全专业人员的头号威胁。 为了更加清楚了解无文件攻击的构成和工作原理,下面是每个业务负责人应该知道的5件事: 1.无文件攻击利用的是网络端口安全上的一个基本漏洞。 利用易受攻击的应用程序并将代码注入正常的系统进程都是最常用的无文件攻击方式,在机器上获取访问和执行而不会引起注意。 从这里开始,攻击者使用PowerShell直接在内存中执行恶意代码,使得攻击真正无文件化。 5.预防无文件攻击。 虽然无文件技术极难检测,但可以采取一些措施来保护业务并降低风险。好的第一步是禁用组织未主动使用的管理工具,或者至少限制其权限和功能。
70220发布于 2018-08-01 什么是无代码平台?最新 10 大无代码平台!
在数字化转型的浪潮中,无代码平台正逐渐成为企业加速业务创新、提升运营效率的得力助手。对于那些希望快速搭建应用系统,却又缺乏专业技术团队的企业而言,无代码平台提供了一种高效、便捷的解决方案。 那么,究竟什么是无代码平台?目前市场上又有哪些值得关注的无代码平台呢?接下来,让我们一探究竟。一、什么是无代码平台? 二、最新10大无代码平台推荐(一)首选推荐:轻流轻流作为国内无代码领域的领军者,以其卓越的技术实力和丰富的行业经验,在众多无代码平台中脱颖而出。 三、如何选择适合自己的无代码平台?在选择无代码平台时,企业需要综合考虑多个因素,如平台的功能特性、行业适配性、技术合规性、安全性能、用户口碑等。 四、结语无代码平台的出现,为企业数字化转型提供了新的路径和方法。通过选择合适的无代码平台,企业可以快速搭建应用系统,提升运营效率,实现业务创新。
93710编辑于 2025-08-25- 来自专栏前沿安全技术
针对Model X无钥匙系统的远程攻击
本研究是针对特斯拉 Model X 无钥匙系统的实用安全评估。所分析的无钥匙系统采用了由通用标准认证的安全元件实现的安全对称密钥和公钥密码原语。 这些示例表明,Model X遥控钥匙上的OAD服务缺陷可能允许攻击者覆盖固件并获得远程代码执行。Toolbox 软件可以用于更新遥控钥匙固件,因此它包含了最新固件二进制文件的备份。 从这个实验中可以清楚地看出,遥控钥匙没有验证提供的固件二进制文件的真实性。这种不安全的固件更新(或 OAD)实现允许攻击者覆盖 CC2541 SoC 执行的固件。 如果在相应的接收方仲裁ID(传输仲裁ID + 0x10)上收到回复,则可以假设UDS服务器存在于识别的地址或仲裁ID上。 生成恶意固件映像后,更新了 CRC 和 SHA1 哈希以获得有效的固件二进制文件,该文件可以在攻击的第二步中与 OAD 一起使用。
1.4K31编辑于 2023-06-24 - 来自专栏内容管理系统
10个常用的无头CMS
什么是无头CMS无头CMS是一种内容管理系统,它将前端和后端分离,只关注内容的创建和管理,而不处理呈现内容的前端界面。 无头CMS的工作原理是,通过提供API来让开发者获取和管理内容,而不是通过特定的模板和页面来展示内容。这样,开发者可以使用任何前端技术或框架来构建用户界面,而不受CMS制约。常用的无头CMS1. PrismicPrismic是一款现代化的无头CMS,提供了易于使用的编辑界面和灵活的API。它支持多语言内容管理和预览功能。5. 官网地址是:https://www.storyblok.com/10. 无头CMS作为一种灵活、可扩展的内容管理系统,有着广阔的发展空间。随着数字化转型的深入推进,无头CMS将在多个行业和领域中发挥重要作用,为企业提供更好的内容管理和展示解决方案。
3.4K01编辑于 2023-10-22 - 来自专栏FreeBuf
无文件加密挖矿软件GhostMiner
早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。 8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。 还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。 另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。 ? 同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。 如果可用空间小于1 GB,则会减少10 MB大小的负载。然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。
1.8K00发布于 2019-10-10 - 来自专栏卓越笔记
Linux scp 无密码复制文件
目的:本地服务器(local)复制文件到远程服务器(remote) 本地服务器:local 远程服务器:remote (192.168.1.254) 1. 在 local 上运行 ssh-keygen -t rsa 在 /root/.ssh 下生成 id_rsa 和 id_rsa.pub 两个文件 2. 在 local 上运行 ssh-keygen -t rsa 在 /root/.ssh 下生成 id_rsa 和 id_rsa.pub 两个文件 4. 使用 cat id_rsa.pub.L >> authorized_keys 把 local 的 公钥 写入到 authorized_keys 文件中 6. 然后在 local 上就可以无密码使用 scp 复制文件到 remote 了(scp <file> root@192.168.1.254:/home/downloads)
6.4K50编辑于 2023-02-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号