寫(xiě)在前面的話

在信息安全領(lǐng)域中，“無(wú)文件攻擊”屬于一種影響力非常大的安全威脅。攻擊者在利用這種技術(shù)實(shí)施攻擊時(shí)，不會(huì)在目標(biāo)主機(jī)的磁盤(pán)上寫(xiě)入任何的惡意文件，因此而得名“無(wú)文件攻擊”。然而，為了更好地應(yīng)對(duì)“無(wú)文件攻擊”，我們必須深刻理解這種攻擊方式的底層實(shí)現(xiàn)技術(shù)，這樣才能幫助我們?cè)谔囟ǖ沫h(huán)境下部署更好的防御策略。

雖然有的網(wǎng)絡(luò)系統(tǒng)部署了類(lèi)似反病毒產(chǎn)品和應(yīng)用程序白名單之類(lèi)的安全控制措施，但是無(wú)文件攻擊仍然可以結(jié)合多種其他的攻擊策略來(lái)入侵你的網(wǎng)絡(luò)。接下來(lái)，我們一起分析一下無(wú)文件攻擊所采用的攻擊方法以及策略，我們會(huì)對(duì)無(wú)文件攻擊所涉及到的特定技術(shù)進(jìn)行介紹，并解釋為什么這種攻擊方式在大多數(shù)情況下不會(huì)被安全防御系統(tǒng)發(fā)現(xiàn)。

技術(shù)一：惡意文檔

其實(shí)一開(kāi)始，很多安全研究專(zhuān)家所稱(chēng)之為的“無(wú)文件攻擊”實(shí)際上是會(huì)涉及到文檔文件的。在這種場(chǎng)景下，攻擊者需要使用到惡意文檔(例如電子郵件附件)，目的有以下幾種：

• 文檔作為攜帶其他文件的容器，靈活性更好。比如說(shuō)，攻擊者可以在Microsoft Office文檔中嵌入惡意JavaScript文件，喜歡社工技術(shù)的攻擊者還可以誘導(dǎo)目標(biāo)用戶雙擊文件后執(zhí)行嵌入的腳本等等。其他類(lèi)型的文檔還可以攜帶PDF和RTF等類(lèi)型的文件，這種功能屬于應(yīng)用程序的一種特性，所以反病毒技術(shù)一般不會(huì)干擾其使用。
• 文檔還可以攜帶漏洞利用代碼或Payload。如今，文檔的復(fù)雜程度越來(lái)越高，因此提供的攻擊面也就越來(lái)越廣。在這種場(chǎng)景下，漏洞利用代碼可以直接在目標(biāo)設(shè)備的內(nèi)存中運(yùn)行綁定的Shellcode，并給攻擊者提供文件系統(tǒng)的完整讀寫(xiě)權(quán)限。
• 文檔還可以執(zhí)行惡意攻擊流程并實(shí)現(xiàn)初始感染。現(xiàn)代文檔提供了強(qiáng)大的腳本功能支持，比如說(shuō)Microsoft Office能夠執(zhí)行VBA宏文件，這種功能將允許攻擊者在不需要編譯惡意可執(zhí)行程序的情況下在目標(biāo)主機(jī)上實(shí)現(xiàn)惡意邏輯，而這種技術(shù)利用的就是反病毒工具無(wú)法區(qū)分腳本代碼惡意性的缺陷。除此之外，腳本還可以啟動(dòng)程序或下載惡意代碼。

只要攻擊者制作的文檔存儲(chǔ)在了目標(biāo)系統(tǒng)中，攻擊者就已經(jīng)不需要再通過(guò)傳統(tǒng)方式(在目標(biāo)主機(jī)中運(yùn)行惡意可執(zhí)行文件)來(lái)進(jìn)行攻擊了。在很多情況下，惡意文檔可以直接在內(nèi)存中執(zhí)行惡意代碼，從某種角度來(lái)看，這也算是一種“無(wú)文件攻擊”了。

參考資料：

【參考資料一】【參考資料二】

技術(shù)二：惡意腳本

為了不將惡意代碼編譯成傳統(tǒng)的可執(zhí)行文件，攻擊者會(huì)在攻擊過(guò)程中使用具有“無(wú)文件”性質(zhì)的“腳本文件”。除了文檔支持腳本之外，像上面提到的Microsoft Office產(chǎn)品同樣支持腳本功能，這就給攻擊者提供了以下幾個(gè)優(yōu)勢(shì)：

• 他們可以在不受某些應(yīng)用程序限制的情況下與操作系統(tǒng)進(jìn)行交互。
• 和惡意可執(zhí)行程序想必，腳本可以增強(qiáng)反惡意軟件產(chǎn)品檢測(cè)和控制的難度。
• 腳本可以更加方便攻擊者將攻擊邏輯分散到多個(gè)攻擊步驟中實(shí)現(xiàn)，以躲避某些基于行為分析的安全檢測(cè)機(jī)制。
• 可以通過(guò)代碼混淆來(lái)增加安全分析的難度，并繞過(guò)反病毒技術(shù)。

MicrosoftWindows提供了針對(duì)PowerShell、VBScript、Batch和JavaScript等腳本的支持，這些腳本可以直接在powershell.exe、cscript.exe、cmd.exe和mshta.exe中運(yùn)行。除此之外，攻擊者還可以使用開(kāi)源框架來(lái)對(duì)腳本代碼進(jìn)行混淆處理。

參考資料：

【參考資料一】【參考資料二】【參考資料三】【 參考資料四】【參考資料五】

技術(shù)三：無(wú)需任何依賴(lài)組件

每次談到無(wú)文件攻擊，或多或少都會(huì)涉及到濫用Microsoft Windows實(shí)用工具的情況。這些工具允許攻擊者在不需要編譯惡意可執(zhí)行文件的情況下實(shí)現(xiàn)攻擊步驟的推進(jìn)。

只要攻擊者的惡意代碼能夠與目標(biāo)主機(jī)的本地程序交互，他們就可以利用操作系統(tǒng)的內(nèi)置工具來(lái)下載額外的惡意組件，啟動(dòng)腳本、竊取數(shù)據(jù)、實(shí)現(xiàn)橫向滲透以及實(shí)現(xiàn)持續(xù)感染。這些工具包括但不僅限于regsvr32.exe、rundll32.exe、certutil.exe和schtask.exe等等。

值得注意的是，在操作系統(tǒng)的內(nèi)置工具中，WMI則是重災(zāi)區(qū)，WMI內(nèi)置于操作系統(tǒng)中，并允許攻擊者通過(guò)wmic.exe并配合PowerShell腳本直接跟終端進(jìn)行交互。

參考資料

【參考資料一】【參考資料二】【 參考資料三】

技術(shù)四：內(nèi)存中的惡意代碼

毫無(wú)疑問(wèn)，掃描磁盤(pán)文件肯定是反病毒產(chǎn)品必備的“技能”了，但是檢測(cè)內(nèi)存中的惡意代碼可就不一定了。內(nèi)存是動(dòng)態(tài)變化的，這也給惡意軟件提供了可乘之機(jī)。

內(nèi)存滲透技術(shù)允許攻擊者繞過(guò)大多數(shù)反病毒控制策略，包括應(yīng)用程序白名單。雖然反病毒工具會(huì)嘗試捕捉內(nèi)存注入行為，但是攻擊者的持續(xù)感染能力仍然會(huì)限制反病毒工具的效果。

參考資料

【參考資料一】【參考資料二】【參考資料三】【 參考資料四】

總結(jié)

無(wú)文件攻擊的實(shí)現(xiàn)得益于某些應(yīng)用程序和操作系統(tǒng)所特有的性質(zhì)，它利用了反惡意軟件工具在檢測(cè)和防御方面的缺陷。雖然在現(xiàn)代網(wǎng)絡(luò)攻擊活動(dòng)中，無(wú)文件攻擊只是其中的一種攻擊技術(shù)，但很多惡意軟件一般都會(huì)引入一些“無(wú)文件攻擊”技術(shù)來(lái)嘗試躲避安全產(chǎn)品的檢測(cè)。對(duì)于攻擊者來(lái)說(shuō)，與其去思考某種技術(shù)是否無(wú)懈可擊，還不如思考怎么樣使用這些技術(shù)才能繞過(guò)企業(yè)的防御策略，這樣效率還會(huì)更高。