无文件攻击

“什么是无文件攻击？都没有文件怎么攻击？”。

一：无文件攻击简介

其实不然，即使你的电脑存在恶意文件，倘若不令其加载至内存中去执行也不会起到预期的目的。好比很多情况下你已经成功上传了木马，由于各种原因无法使其运行，这样该木马也没实质性作用。道理如此，当下特别流行的无文件（Fileless）和不落地（Living off the  Land）攻击，只是不会存在任何的磁盘文件落地和磁盘文件的操作，但本质上都需要使用内存加载执行恶意代码。

比如最早的powershell downloadstring，远程文件是被当成字符串直接下载到powershell进程内存中执行，然后发展到利用mshta、rundll32等执行脚本的各种奇技淫巧，再到现在流行的各种.NET assembly托管代码注入技术，当然还有一些完全脱离操作系统的高端无文件攻击。

二：无文件攻击分类

1.无文件威胁可以通过其切入点进行分类，这表明无文件恶意软件如何到达计算机。它们可以通过漏洞利用，受威胁的硬件或常规执行的应用程序和脚本来到达。

2.接下来列出入口点的形式。例如，利用可以基于文件或网络数据，PCI外设是一种硬件向量，而脚本和可执行文件是执行向量的子类别。

3.最后，对感染的宿主进行分类。例如，Flash应用程序可能包含各种威胁，例如漏洞利用，简单的可执行文件以及来自硬件设备的恶意固件。分类可帮助您对各种无文件威胁进行划分和分类。有些是更危险的，但也更难以实现，而其他一些则尽管不十分先进（或正因为如此），却更常用。

4.对此微软官方已经对无文件攻击进行了详细的阐述和分类：

图1.无文件恶意软件的综合图

Type1，未执行任何文件活动

完全无恶意软件文件可以被视为不需要在磁盘上写入恶意软件的文件。首先，这种恶意软件将如何感染计算机？例如目标计算机接收利用EternalBlue漏洞的恶意网络数据包，该漏洞允许安装DoublePulsar后门，该后门最终仅驻留在内核内存中。在这种情况下，没有任何文件或数据写入文件。

受感染的设备还可能在设备固件（例如BIOS），USB外设（例如BadUSB攻击）或网卡固件中隐藏了恶意代码。所有这些示例都不需要磁盘上的文件即可运行，并且理论上只能驻留在内存中。恶意代码将在重新启动，重新格式化磁盘和重新安装OS后幸免于难。

由于大多数防病毒产品都没有检查固件的能力，因此这种类型的感染可能特别难以检测。这种类型的无文件恶意软件具有高度的复杂性，并且通常取决于特定的硬件或软件配置、可靠地利用的攻击媒介等。虽然很危险，但这种攻击并不常见，并且对于大多数攻击而言都不切合实际。

Type2，间接文件活动

恶意软件还可以使用其他方法在机器上实现无文件存在，而无需进行大量的工程工作。这种类型的无文件恶意软件不会直接在文件系统上写入文件，但最终可能会间接使用文件。例如，使用Poshspy后门攻击者，在WMI存储库中安装了恶意的PowerShell命令，并配置了WMI筛选器以定期运行该命令。

可以通过命令行执行此类安装，无需接触文件系统，就可以安装该恶意软件并运行它，安装后就已有后门。但是，WMI存储库存储在CIM对象管理器管理的中央存储区中的物理文件上，通常包含合法数据。即使从技术上来讲，感染链确实使用了物理文件，也可以将其视为无文件攻击，因为WMI存储库是无法检测和删除的多用途数据容器。

Type3，操作所需的文件

某些恶意软件可以使用具有某种持久性的无文件，但并非没有进行操作文件。例如Kovter，它就是创建一个shell打开注册表中的动态处理程序去创建一个随机文件扩展名的可执行文件。通过合法工具mshta.exe去执行脚本加载该可执行文件。

图2. Kovter的注册表项

调用动态处理程序时，将启动注册表中的相关命令，从而执行一个脚本。该脚本从另一个注册表项读取数据并执行它，从而导致最终有效负载的加载。但是，要首先触发打开动态处理程序，Kovter必须删除一个扩展名相同的动态程序文件（在上面的示例中，扩展名是.bbf5590fd）。它还必须设置一个自动运行键，该键配置为在机器启动时打开此类文件。

Kovter被认为是无文件威胁，因为系统没有实际使用文件。具有随机扩展名的文件包含垃圾数据，这些垃圾数据无法用于验证威胁的存在。如果存在恶意内容，则存储注册表的文件是无法检测和删除的容器。

三：常见的无文件攻击归类

1.漏洞利用

基于文件的（类型III：可执行文件，Flash，Java，文档）：黑客可能会利用操作系统，浏览器，Java引擎，Flash引擎等来执行Shellcode并在内存中传递有效载荷。

基于网络的（类型I）：利用目标计算机中的网络通信漏洞可以在应用程序或内核的上下文中实现代码执行。例如WannaCry，它利用SMB协议中以前修复的漏洞在内核内存中提供后门程序。

2.硬件

基于设备（类型I：网卡，硬盘）：诸如硬盘和网卡之类的设备需要芯片组和专用软件才能运行。驻留在设备芯片组中并在其中运行的软件称为固件。

基于CPU（类型I）：现代CPU很复杂，可能包括出于管理目的而运行固件的子系统。这样的固件容易受到劫持，并允许执行可能在CPU内部运行的恶意代码。2017年12月，两名研究人员报告了一个漏洞，该漏洞可能使攻击者能够在Intel的任何现代CPU中存在的管理引擎（ME）中执行代码。同时，攻击者利用PLATINUM具有使英特尔主动管理技术（AMT）进行隐形网络通信的能力。，绕过已安装的操作系统。ME和AMT本质上是自治的微型计算机，它们位于CPU内并且运行在非常低的级别。因为这些技术的目的是提供远程可管理性，所以它们可以直接访问硬件，独立于操作系统，并且即使关闭计算机也可以运行。

除了在固件容易受到攻击外，CPU的制造还可以将后门直接插入硬件电路中。过去已经研究了这种攻击，并证明了这种攻击的可能性。据报道，某些型号的x86处理器包含辅助嵌入式的类似RISC的CPU内核，可以有效地提供后门，通过该后门，常规应用程序可以获得特权执行。

基于USB（类型I）：各种USB设备都可以使用恶意固件重新编程，这些恶意固件能够通过恶意方式与操作系统进行交互。例如，BadUSB技术允许重新编程的USB充当键盘，该键盘通过击键将命令发送到计算机，或者充当可随意重定向流量的网卡。

图3. BadUSB内部构造

基于BIOS（类型I）：BIOS是在芯片组内部运行的固件。它在计算机开机时执行，初始化硬件，然后将控制权转移到引导扇区。BIOS是一个重要的组件，它在低级别运行并在启动扇区之前执行。可以使用恶意代码对BIOS固件进行重新编程，就像过去使用Mebromi rootkit进行的一样。

基于虚拟机监控程序（类型I）：现代CPU提供了支持虚拟机监控程序，从而允许操作系统创建可靠的虚拟机，虚拟机在受限的模拟环境中运行。接管机器的恶意软件可能实施小型管理程序，以将其自身隐藏在正在运行的操作系统的范围之外。过去已经对这种恶意软件进行了理论分析，尽管迄今为止还知之甚少，但还是存在虚拟机管理程序rootkit 。

3.执行和注入

基于文件的（类型III：可执行文件，DLL，LNK文件，计划任务）：这是标准的执行量。可以将简单的可执行文件作为第一阶段恶意软件启动，以在内存中运行其他有效负载，或将其注入其他合法的运行进程中。

基于宏的（类型III：Office文档）：VBA语言是一种灵活而强大的工具，旨在自动执行编辑任务并为文档添加动态功能。这样，攻击者可能会滥用它来执行恶意操作，例如解码，运行或注入可执行的有效负载，甚至编辑勒索软件，例如qkG。宏在Office进程（例如Winword.exe）中执行，并以脚本语言实现。没有防病毒软件可以检查的二进制可执行文件。Office应用程序需要用户明确同意才能执行文档中的宏，而攻击者却使用社交工程技术来诱骗用户允许宏执行。

基于脚本（类型II：文件，服务，注册表，WMI库，shell）：默认情况下，JavaScript，VBScript和PowerShell脚本语言在Windows平台上可用。脚本与宏具有相同的优势，它们是文本文件（不是二进制可执行文件），并且在解释器（如wscript.exe，powershell.exe）的中运行，该解释器是一个干净而合法的组件。脚本用途广泛，可以从文件中运行（通过双击它们），也可以直接在解释器的命令行上执行。在命令行上运行允许恶意软件将恶意脚本编码为自动运行注册表项内的自动启动服务。此外，获得了对受感染机器的访问权限的攻击者可以在命令提示符下输入脚本。

基于磁盘的（类型II：引导记录）：引导记录是磁盘或卷的第一个扇区，并且包含启动操作系统引导过程所需的可执行代码。像Petya这样的攻击能够通过用恶意代码覆盖引导记录来感染引导记录。启动计算机后，恶意软件立即获得控制权。引导记录位于文件系统外部，但可由操作系统访问。对于该攻击现代防病毒产品具有扫描和还原功能。

假作真时真亦假,无为有时有还无。

——《曹雪芹·红楼梦第一回》

欢迎关注以下公众号。

原文始发于微信公众号（虫子安全）：无文件攻击