无文件攻击利用与防范

“A9 Team 甲方攻防团队，成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域，持续分享安全运营和攻防的思考和实践。”

01

—

(2)Wmic、mshta、rundll32等

(3)Regedit、定时任务、宏等

这类无文件其实还是利用的上述的系统程序来实现，只是实现方式不同。

监控与防范：

通过系统程序执行的无文件攻击最好的防范手段就是禁用相关进程，但是考虑到禁用一些系统默认程序可能会影响自研或者业务程序的运行，在配置策略需要严谨、多次验证。

监控——可以通过配置日志审查策略，依次打开：

本地组策略--->windows 设置--->安全设置--->高级审核策略配置--->特权使用(里面一般会记录用户使用敏感权限进行操作时的日志记录)；

本地组策略--->管理模版--->windows组件--->windows powershell(配置日志记录，可以记录到powershell执行敏感操作时的相关信息)。

开启策略后，相关日志可以在事件查看器--->Windows日志---> 安全；事件查看器--->应用程序和服务日志---> windows powershell。相关事件ID 有：800,4104,4103 等。

监控配置：

防范——可配置相关策略，如进程黑名单，部署EDR设备等。