浅谈无文件攻击

这些年无文件(Fileless)和不落地(Living off the Land)攻击已经非常流行,几乎成为攻击者的标配。理想的无文件攻击是只存在于内存中的后门,网络上有很多无文件攻击的验证性代码,比如最早的powershell downloadstring,远程文件是被当成字符串直接下载到powershell进程内存中执行,然后发展到利用mshta、rundll32等执行脚本的各种奇技淫巧,再到现在流行的各种.NET assembly托管代码注入技术,当然还有一些完全脱离操作系统的高端无文件攻击。而微软有一个无文件攻击模型能够非常好的解析这些无文件攻击,我给大家做个简单的参考解读。

这个攻击模型按磁盘文件的活动将攻击分成了3个类型

Type1,没有任何的文件活动。简单说就是攻击活动没有任何的磁盘文件落地和磁盘文件的操作行为,一般这种攻击的实施都脱离了操作系统,是由更上层的硬件固件和软件层发起的。

Type2,没有磁盘落地文件,但通过文件间接活动,恶意代码一般通过白文件间接加载到内存中执行。这类攻击恶意代码的载体大多数都是脚本,通过程序命令执行,也有通过磁盘引导记录等特定机制的执行。

Type3,需要操作文件进行活动。比较容易能理解的意思是恶意代码变成了数据,利用文件相关的程序漏洞或功能特性将恶意数据转换为恶意代码执行。

接着是颗粒度更细的分类描叙,是基于被攻击宿主进行的分类

漏洞攻击,基于软件和操作系统安全漏洞的无文件攻击

基于文件(Type3)

各种各样的office、flash、java漏洞文件和浏览器漏洞,一般都是通过恶意文件触发漏洞使文件解析引擎、浏览器等执行恶意代码,通过shellcode直接在内存中执行恶意代码。

基于网络(Type1)

永恒之蓝是个好例子,直接通过网络协议的远程代码执行漏洞来执行恶意代码。

硬件攻击,脱离操作系统的无文件攻击

基于设备(Type1)

通过网卡、磁盘固件执行恶意代码,经典的如方程式的KillSuit,基于硬盘固件、磁盘引导区执行恶意代码。

基于CPU(Type1)

CPU自己本身也会有子系统,比如被白金改造的Intel cpu的主动管理技术(AMT)后门。

基于外置USB(Type1)

USB可以外接的设备类型很多,比如最常见的模拟键盘和网关的badusb设备。

基于BIOS(Type1)

主板BIOS能植入恶意代码大伙也是耳熟能详了,象今年eset发现的LoJax Rootkit,通过改造 BIOS固件中的防盗功能植入的后门。

基于虚拟机管理层(Type1)

这是属于上帝视角的攻击了,虚拟机管理层执行恶意代码,已经脱离虚拟机操作系统之外了。

执行和注入,无文件攻击执行恶意代码的常见形式

基于文件(Type3)

从执行代码的角度看,这是无文件攻击最基础的执行向量,可以是可执行文件、dll、lnk快捷方式、计划任务等,它的攻击过程通常是将恶意代码远程注入到其他进程或加载到自身进程内存执行。

基于宏(Type3)

office文档相关的宏脚本,这是基于office文档类自身的脚本语言,在office进程中执行恶意代码。

基于脚本(Type2)

基于js、vbs、powershell脚本执行恶意代码, 这个就不再赘述了,大量的系统程序都有各种奇技淫巧能执行恶意脚本。

基于磁盘(Type2)

通过磁盘的引导记录执行恶意代码,恶意的mbr、vbr都在这一类里面。

以上就是这个攻击模型的大体情况,这个攻击模型将现代安全软件要应对的刁钻攻击展现得一览无遗。我们可以看到微软在攻击模型和攻击知识库方面确实是业界标杆,我想不是一线技术专家,很难做出这样的攻击模型,一个安全产品所要经历攻防的点,是没有接触过攻防的人难以想象的。

参考:

https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/fileless-threats

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 195,980评论 5 462
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 82,422评论 2 373
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 143,130评论 0 325
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 52,553评论 1 267
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 61,408评论 5 358
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 46,326评论 1 273
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 36,720评论 3 386
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 35,373评论 0 254
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 39,678评论 1 294
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 34,722评论 2 312
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 36,486评论 1 326
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 32,335评论 3 313
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 37,738评论 3 299
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,009评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,283评论 1 251
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 41,692评论 2 342
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 40,893评论 2 335

推荐阅读更多精彩内容