无文件攻击的几种基本技术介绍
发布时间:2022-05-20 10:03:09 所属栏目:安全 来源:互联网
导读:无文件攻击事件这几年呈现了高速发展状态,成为了网络攻击中的一个重要力量。不过,很多人对无文件攻击的概念,还不是很了解。虽然此前关于无文件攻击的攻击事件和案例,我们也介绍过不少,但有些东西还是没有讲透,今天我们就来讲讲无文件攻击的4种基本技术
|
无文件攻击事件这几年呈现了高速发展状态,成为了网络攻击中的一个重要力量。不过,很多人对“无文件攻击”的概念,还不是很了解。虽然此前关于“无文件攻击”的攻击事件和案例,我们也介绍过不少,但有些东西还是没有讲透,今天我们就来讲讲无文件攻击的4种基本技术。 “无文件攻击”这一术语往往会让人产生歧义,比如无文件攻击就代表真的没有攻击文件吗?没有文件又如何实施攻击?如何检测?如何防御……,其实“无文件攻击”只是一种攻击策略,其出发点就是避免将恶意文件放在磁盘上,以逃避安全检测。有一点需要明确,就是无文件恶意软件也要使用文件。 尽管存在杀毒软件和应用程序白名单等反恶意软件的控制措施,但无文件攻击也包含各种应对策略,允许攻击者进行有针对性的攻击。下面概述了无文件攻击所涉及的方法,旨在为无文件攻击的防御提供明确的概念和理论指导。现在,就让我们来看看无文件攻击所包含的具体技术,以及它们为什么常常能利用这些技术逃避现有的检测。 许多专业安全分析人员通过长期的跟踪分析,确认无文件的攻击其实是包含各种文件的。在这种情况下,攻击者提供恶意文件通常会作为电子邮件附件,用于以下其中一种目的: 恶意文件可以充当其他文件的灵活容器:例如,攻击者可以在Microsoft Office文件中嵌入JavaScript文件,并对收件人进行社交工程攻击,当受害者打开嵌入的文件时,恶意文件就开始执行所带的脚本了。另外,可以携带恶意文件的其他文件类型包括PDF和RTF。由于此功能是特定应用程序才包含的一项功能,因此杀毒软件的技术通常不会干扰这些文件的使用。 恶意文件可以携带执行恶意代码的漏洞:如今的文件功能越来越复杂,不过功能多的同时所包含的攻击面也就增大,比如攻击者可以利用诸如解析漏洞之类的漏洞。在这种情况下,攻击者就可以在受损应用程序的内存中触发捆绑的shellcode,执行攻击,即使不将代码保存到文件系统,攻击者也可以在发起攻击。 文件可以执行传播过程中的恶意逻辑,如今的文件都支持强大的脚本功能,例如Microsoft Office执行VBA宏的功能。这些功能允许攻击者在没有编译可执行文件的情况下实现恶意逻辑,这就是利用了许多杀毒工具在区分恶意脚本和良性脚本方面的弱点。文件脚本功能包括启动程序和下载恶意代码。 虽然文件驻留在攻击端的文件系统上,但攻击者可以不将这些传统恶意可执行文件放置在磁盘上。在许多情况下,这些文件会直接在攻击目标的内存中执行恶意代码,这也是无文件攻击的重要组成环节。有关攻击者如何使用这些文件发起攻击的详细案例,请参阅Omri Moyal关于滥用Microsoft Office支持DDE的文章。还有一篇文章是关于“攻击者如何将自己插入对话以传播恶意软件”,请点此查看。  (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号