无文件攻击的4种基本技术介绍
|
内置于操作系统中的Windows Management Instrumentation(WMI)为攻击者提供了更多与本地程序交互的机会。WMI允许攻击者在wmic.exe可执行文件(以及其他一些文件)的帮助下使用脚本(例如PowerShell)并与攻击端的大多数程序功能进行交互。由于这些操作仅涉及受信任的内置Windows功能,因此杀毒软件技术难以进行检测和限制。有关WMI如何协助无文件攻击的解释,请参阅Matt Graeber撰写的滥用WMI构建持久、异步和无文件后门的文章。 攻击者通过利用这种良性和可信赖的实用程序,大大增加了逃避检测的概率。有关此类技术的其他示例,请参阅Matthew Dunwoody对APT29使用WMI和PowerShell构建无文件后门的概述。 技术4:内存中的恶意代码 虽然检查磁盘上的文件是许多杀毒软件产品的优势,但它们经常会被仅驻留在内存中的恶意代码所难道,由于内存是不稳定的和动态变化的,这就使恶意软件有机会改变其攻击方式或以其他方式逃避杀毒检测。 一旦攻击者开始在攻击端上执行恶意代码,那攻击者就可以将恶意软件解压缩到内存中,而不会将恶意控件保存到文件系统中,这可能涉及到将代码提取到进程本身的内存空间中的技术。在其他情况下,恶意软件会将代码注入受信任的流程和其他良性流程中。 内存攻击技术的案例包括:
内存攻击技术允许攻击者绕过许多杀毒检测技术,包括应用程序白名单。虽许多杀毒工具试图捕获内存注入,但攻击者的攻击技术明显技高一筹,Asaf Aprozper的CoffeeShot工具通过在Java中实现注入方法来演示这种检测尝试的脆弱性。
总结 如今,无文件攻击已经常态化了。虽然一些攻击和恶意软件家族在其攻击的各个方面都企图实现无文件化,但只有一些功能才能实现无文件化。对于攻击者来说,无文件化只是试图绕过攻击的一种手段,至于是否有文件,都只是表象。往后攻击者可能会将所有攻击技术进行组合,包括使用恶意文件、恶意脚本、与本地程序交互和内存注入。具有无文件属性的攻击是基于应用程序和操作系统功能的,利用了杀毒工具在尝试检测和防止各种滥用时的盲点。 本文翻译自:https://blog.minerva-labs.com/deconstructing-fileless-attacks-into-4-underlying-techniques 【编辑推荐】
点赞 0 (编辑:威海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
