美文网首页
浅谈无文件攻击

浅谈无文件攻击

作者: CanMeng | 来源:发表于2020-03-17 13:25 被阅读0次

这些年无文件(Fileless)和不落地(Living off the Land)攻击已经非常流行,几乎成为攻击者的标配。理想的无文件攻击是只存在于内存中的后门,网络上有很多无文件攻击的验证性代码,比如最早的powershell downloadstring,远程文件是被当成字符串直接下载到powershell进程内存中执行,然后发展到利用mshta、rundll32等执行脚本的各种奇技淫巧,再到现在流行的各种.NET assembly托管代码注入技术,当然还有一些完全脱离操作系统的高端无文件攻击。而微软有一个无文件攻击模型能够非常好的解析这些无文件攻击,我给大家做个简单的参考解读。

这个攻击模型按磁盘文件的活动将攻击分成了3个类型

Type1,没有任何的文件活动。简单说就是攻击活动没有任何的磁盘文件落地和磁盘文件的操作行为,一般这种攻击的实施都脱离了操作系统,是由更上层的硬件固件和软件层发起的。

Type2,没有磁盘落地文件,但通过文件间接活动,恶意代码一般通过白文件间接加载到内存中执行。这类攻击恶意代码的载体大多数都是脚本,通过程序命令执行,也有通过磁盘引导记录等特定机制的执行。

Type3,需要操作文件进行活动。比较容易能理解的意思是恶意代码变成了数据,利用文件相关的程序漏洞或功能特性将恶意数据转换为恶意代码执行。

接着是颗粒度更细的分类描叙,是基于被攻击宿主进行的分类

漏洞攻击,基于软件和操作系统安全漏洞的无文件攻击

基于文件(Type3)

各种各样的office、flash、java漏洞文件和浏览器漏洞,一般都是通过恶意文件触发漏洞使文件解析引擎、浏览器等执行恶意代码,通过shellcode直接在内存中执行恶意代码。

基于网络(Type1)

永恒之蓝是个好例子,直接通过网络协议的远程代码执行漏洞来执行恶意代码。

硬件攻击,脱离操作系统的无文件攻击

基于设备(Type1)

通过网卡、磁盘固件执行恶意代码,经典的如方程式的KillSuit,基于硬盘固件、磁盘引导区执行恶意代码。

基于CPU(Type1)

CPU自己本身也会有子系统,比如被白金改造的Intel cpu的主动管理技术(AMT)后门。

基于外置USB(Type1)

USB可以外接的设备类型很多,比如最常见的模拟键盘和网关的badusb设备。

基于BIOS(Type1)

主板BIOS能植入恶意代码大伙也是耳熟能详了,象今年eset发现的LoJax Rootkit,通过改造 BIOS固件中的防盗功能植入的后门。

基于虚拟机管理层(Type1)

这是属于上帝视角的攻击了,虚拟机管理层执行恶意代码,已经脱离虚拟机操作系统之外了。

执行和注入,无文件攻击执行恶意代码的常见形式

基于文件(Type3)

从执行代码的角度看,这是无文件攻击最基础的执行向量,可以是可执行文件、dll、lnk快捷方式、计划任务等,它的攻击过程通常是将恶意代码远程注入到其他进程或加载到自身进程内存执行。

基于宏(Type3)

office文档相关的宏脚本,这是基于office文档类自身的脚本语言,在office进程中执行恶意代码。

基于脚本(Type2)

基于js、vbs、powershell脚本执行恶意代码, 这个就不再赘述了,大量的系统程序都有各种奇技淫巧能执行恶意脚本。

基于磁盘(Type2)

通过磁盘的引导记录执行恶意代码,恶意的mbr、vbr都在这一类里面。

以上就是这个攻击模型的大体情况,这个攻击模型将现代安全软件要应对的刁钻攻击展现得一览无遗。我们可以看到微软在攻击模型和攻击知识库方面确实是业界标杆,我想不是一线技术专家,很难做出这样的攻击模型,一个安全产品所要经历攻防的点,是没有接触过攻防的人难以想象的。

参考:

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats

相关文章

  • 浅谈无文件攻击

    这些年无文件(Fileless)和不落地(Living off the Land)攻击已经非常流行,几乎成为攻击者...

  • 浅谈无文件攻击

    这些年无文件(Fileless)和不落地(Living off the Land)攻击已经非常流行,几乎成为攻击...

  • 知识链接

    · APT攻击: 《What's APT: 浅谈APT攻击》- 安全客 · 机器学习: 《浅谈人工智能:现状、任务...

  • 4 种常见“无文件”攻击技术解析

    为了应对愈演愈烈的无文件攻击,我们需要明确地定义“无文件”这个词的含义,以便深入剖析此类攻击的攻击手段及其对现有环...

  • 教你正确抵御无文件型恶意软件攻击

    最近,无文件型恶意软件攻击十分出名,“无文件”不是指真的没有文件,无文件型恶意软件也是需要使用文件的,只是平常的它...

  • 无文件攻击的各种姿势

    0x01 很多应急响应行动中都会出现这样的场景:客户主机出现CPU占用率很高或有连接C&C服务器的可疑现象,但是使...

  • Android dex文件

    浅谈 Android Dex 文件

  • 什么是无文件恶意软件攻击?

    编辑:小星 多一份网络防护技能 多一份信息安全保障 最近的无文件恶意软件似乎十分出名,不过很多初次见到“无文件恶意...

  • 浅谈CSRF攻击

    CSRF攻击概念 CSRF跨站点请求伪造,是一种对网站的恶意利用,其通过伪装来自受信任用户的请求来利用受信任的网站...

  • 浅谈XSS攻击

    XSS发生的前置条件 因为浏览器本身的设计缺陷,浏览器只负责解释执行HTML+CSS+JavaScript,并不会...

网友评论

      本文标题:浅谈无文件攻击

      本文链接:https://www.haomeiwen.com/subject/ghhtyhtx.html