- 無檔案惡意軟體在記憶體中運行,並濫用 PowerShell 或 WMI 等合法工具。
- 它可以竊取資料、加密檔案或監視計算機,而不會在磁碟上留下明顯的痕跡。
- 有效的檢測需要監控行為和過程,而不僅僅是文件。
- 防禦需要 EDR、分段、打補丁,以及減少腳本和巨集的使用。
近年來 無檔案惡意軟體 無檔案惡意軟體已成為IT和安全團隊最頭痛的問題之一。我們說的不是那種透過附件下載、可以用防毒軟體清除的典型病毒,而是更隱密、藏匿於系統自身進程中的惡意軟體。
這種類型的威脅會利用… 合法的作業系統工具尤其是在Windows系統下,它可以直接在記憶體中執行惡意程式碼。由於它幾乎不會在磁碟上留下任何痕跡,因此可以繞過許多傳統的防毒軟體,並保持足夠長的時間以竊取資訊、加密檔案或建立後門而不被偵測到。
什麼是無檔案惡意軟體?
當我們談到無文件惡意軟體時,我們指的是 不依賴磁碟上經典可執行檔的惡意程式碼 它並非像其他程式那樣安裝,而是依靠系統中已有的元件(腳本、服務、命令解釋器等)直接在記憶體中載入和執行其指令。
從技術角度來看,這種惡意軟體通常 注入到正在運行的進程中 或者,它們可以透過將所有內容載入到記憶體中的命令啟動。這意味著,一旦電腦關閉或重啟,許多變種程式就會消失,但在此期間,它們有足夠的時間造成嚴重損害。
與基於檔案的惡意軟體相比,這些威脅是 更輕、更隱密、更難追蹤。你不會在磁碟上找到可疑的 .exe 文件,也不一定能找到惡意安裝程式:問題在於看似可信的進程內部發生的事情。
這種方法的興起大約在2017年左右呈現爆炸性成長,當時競選活動開始將無文件技術與 點擊器木馬、進階廣告軟體和遠端存取工具 (RAT)如今,它們已被整合到各種行動中:從間諜活動和高級持續性威脅 (APT) 到勒索軟體和加密貨幣挖礦。
無文件惡意軟體的內部運作原理
為了理解它的工作原理,值得注意的是,大多數普通應用程式都是以…的形式分發的。 寫入磁碟後再載入到記憶體中的文件 當用戶運行它時。而無檔案惡意軟體則跳過了第一步,直接利用作業系統本身的機制在記憶體中產生。
許多競選活動都依賴「自給自足」的理念(在陸地上生活攻擊者 濫用合法行政權力 攻擊者不會引入新的二進位。在 Windows 系統中,最典型的例子是 PowerShell,但 WMI、mshta、rundll32、VBScript 或 JScript 腳本以及其他受信任的二進位檔案(LoLBins)也容易被利用。
一個典型的場景是:使用者開啟了一個包含惡意內容的 Office 文件或點擊了一個釣魚連結;然後… 呼叫 PowerShell 的腳本 或使用其他工具下載、解密或將下一階段的程式碼注入記憶體。所有這些操作都可以在不於硬碟上建立永久檔案的情況下完成。
另一種常見的途徑是利用優勢 遠端程式碼執行漏洞例如瀏覽器、插件或伺服器應用程式中的緩衝區溢位漏洞。攻擊者利用這些漏洞可以直接在易受攻擊的進程中執行 shellcode,並由此將其餘元件載入記憶體。
有些變種甚至訴諸於 Windows 登錄或排程任務 攻擊者會儲存腳本或命令,以便在系統啟動或使用者登入時重新啟動攻擊。即使註冊表中寫入了某些內容,主要的惡意邏輯仍然會在記憶體中繼續運行,這使得僅關注檔案系統的工具難以檢測到它。
感染途徑及初始感染
前門通常都很經典: 網路釣魚郵件、惡意連結和偽造文件 即使底層採用了無檔案技術,它們仍然是初始訪問領域的佼佼者。訣竅在於,在整個流程中,都竭盡全力最大限度地減少磁碟佔用空間。
在許多事件中,它們都被使用。 帶有巨集的 Microsoft Office 文檔 啟動後,這些巨集會呼叫 PowerShell 或 WMI 將攻擊的下一階段下載到記憶體中並執行。即使沒有巨集,攻擊者也可以利用 Word、Excel 等軟體中的漏洞。 PDF閱讀器 或腳本引擎本身來實現程式碼執行。
另一種方法是直接利用 看似無害的可執行文件 使用者透過電子郵件接收或從網路下載的檔案。該可執行檔可以提取惡意模組,並利用諸如 .NET 中的反射等技術將其載入到記憶體中,而無需將其作為單獨的檔案儲存到磁碟。
還有一些攻擊活動針對暴露在互聯網上的網頁伺服器或應用程序,利用這些漏洞部署攻擊。 帶有無文件組件的 webshell最近的一個例子是使用 Godzilla 和類似工具,惡意程式碼透過 HTTP 請求傳播,並直接注入到受感染伺服器的記憶體中。
最後,攻擊者經常訴諸於 被盜憑證如果他們獲得了管理員或特權帳戶的使用者名稱和密碼,他們可以透過 RDP 或其他管道登錄,並手動啟動 PowerShell 腳本、WMI 命令或管理工具,將惡意軟體載入到記憶體中,而不會在系統上留下任何新的執行檔。
無檔案惡意軟體使用的特定技術
這些攻擊的關鍵之一是重複使用 本機 Windows 工具 作為其腳本的載體。這導致惡意活動與正常的管理任務混雜在一起,使分析和應對變得更加複雜。
最常見的技術之一是使用… PowerShell 作為嵌入式程式碼啟動器 可以直接從命令列執行操作。例如,傳遞一個混淆腳本作為參數,禁用執行策略,隱藏窗口,並將有效載荷直接下載到內存中,所有這些操作都不會留下任何 .ps1 檔案或任何可疑的可執行檔。
另一個非常流行的策略是將惡意腳本儲存在… Windows 管理規格 (WMI) 訂閱WMI 會不時觸發腳本,該腳本可以從記憶體執行程式碼、連接到命令和控制伺服器,或啟動感染的新階段。
同樣,許多團體也使用 Windows登錄和任務排程程序 作為腳本和命令的避難所。他們不將可執行檔放在啟動資料夾中,而是定義啟動項目或排程任務,執行包含嵌入式或動態程式碼的 PowerShell、mshta 或 rundll32 腳本。
技術也體現在 .NET 中的反射其中,輕量級可執行檔包含加密或壓縮的組件,這些組件使用 Reflection.Load 直接載入到記憶體中,而無需以 .dll 檔案的形式寫入磁碟。這使得在看似正常的單一進程中部署非常複雜的木馬程式成為可能。
無文件攻擊能造成什麼後果?
儘管名稱如此,但無文件攻擊的影響範圍並不局限於文件。事實上,它可以執行… 與傳統惡意軟體相同的功能資訊竊取、資料加密、橫向移動、間諜活動、加密貨幣挖礦或安裝永久後門。
許多無文件活動的行為類似於 憑證竊賊這包括從敏感進程的記憶體中捕獲密碼、會話令牌或身份驗證雜湊值。這使得提升權限、入侵更多系統以及在無需使用其他二進位檔案的情況下維持長時間存取變得更加容易。
其他人則專注於 無檔案勒索軟體其中部分加密和通訊邏輯直接在記憶體中執行。雖然磁碟組件可能會在某些時候出現,用於操作大量文件,但攻擊的初始載入和控制是透過無檔案技術完成的,以避免早期被發現。
攻擊者還可以安裝 rootkit 或高級 RAT 這些工具一旦部署到位,便會利用無檔案通道接收命令、在網路中傳輸資料並更新模組。由於它們已整合到系統進程或關鍵服務中,因此很難徹底清除。
在經濟方面,其影響體現在以下方面: 資料遺失、服務中斷、監管罰款和聲譽損害由於這些入侵往往數月都未被發現,因此被竊取的資訊量和洩漏的範圍可能非常巨大。
無檔案惡意軟體攻擊的階段
儘管技術層面有所不同,但無文件攻擊的生命週期與任何高級入侵都非常相似。有哪些變化呢? 各階段所採用的機制 以及它們偽裝自己的方式。
在階段 初步訪問攻擊者需要一個初始立足點:點擊釣魚連結、開啟包含巨集的文件、利用存在漏洞的伺服器,或重複使用被盜用的憑證。之後,他們的目標是在目標系統中執行惡意程式碼。
一旦完成這一步,下一階段就開始了。 在記憶體中執行這時就需要用到 PowerShell、WMI、mshta、rundll32、VBScript、JScript 或其他解釋器來載入和啟動有效載荷,而無需在磁碟上產生永久性可執行檔。程式碼通常會經過混淆或加密處理,並且僅在 RAM 中進行解密。
然後,追捕開始了。 堅持雖然許多無檔案有效載荷會在電腦重新啟動時消失,但老練的攻擊者會將 RAM 駐留腳本與登錄項目、排程任務或 WMI 訂閱結合起來,以便在每次滿足特定條件(例如係統啟動或使用者登入)時重新啟動程式碼。
最後, 最終目標 攻擊者的行為包括:資料竊取和洩漏、資訊加密、部署更多惡意軟體、持續間諜活動以及破壞關鍵系統。所有這些行為都力求保持最低限度的隱蔽性,以避免被及早發現和進行取證分析。
為什麼這麼難檢測出來?
無檔案惡意軟體最大的問題在於: 它打破了基於文件和簽名的傳統防禦模型。如果沒有可疑的可執行檔需要分析,許多防毒引擎就無法了解記憶體和合法進程中發生的事情。
磁碟上沒有文件意味著 沒有需要定期掃描的物件。 攻擊者會尋找已知的攻擊模式。此外,透過利用作業系統本身簽署的二進位檔案(例如 PowerShell.exe、wscript.exe 或 rundll32.exe),惡意活動會被偽裝在管理員通常信任的名稱背後。
此外,許多繼承產品都有 對運行過程的可見度有限他們專注於檔案系統和網路流量,但幾乎不檢查內部 API 呼叫、命令列參數、腳本行為或登錄事件,而這些都可能暴露無檔案攻擊。
攻擊者意識到這些局限性,於是訴諸於… 混淆、加密和程式碼碎片化技術例如,他們將惡意腳本分成幾個片段,即時組裝;或者他們將指令隱藏在圖像、嵌入式資源或看似無害的字串中。
在系統很少重啟的環境中(例如關鍵伺服器、生產終端等),記憶體駐留惡意軟體可能會… 持續數週或數月。 在不被察覺的情況下,尤其是在謹慎行事並儘量減少車流量或引人注目的舉動時。
傳統防禦的局限性
許多供應商對這種威脅的最初反應是嘗試 限製或直接封鎖 PowerShell 或 Office 巨集等工具。雖然它可以減少一些風險因素,但對於大多數組織而言,這並不是一個現實或完整的解決方案。
PowerShell 已成為 Windows 系統管理的關鍵元件任務自動化、軟體部署和伺服器管理。完全阻止它會導致IT工作流程癱瘓,並迫使大量內部流程重做。
此外,從攻擊者的角度來看,有多種方法可以… 繞過簡單的阻止策略可以使用 rundll32 從庫 (dll) 加載 PowerShell 引擎,使用 PS2EXE 等工具將腳本轉換為可執行文件,使用修改後的 PowerShell.exe 副本,甚至可以將 PowerShell 腳本嵌入 PNG 映像中,並使用混淆的命令列運行它們。
Office巨集也會出現類似的情況: 許多公司都依賴它們。 用於自動化報告、計算和業務流程。全域停用這些功能可能會導致內部應用程式崩潰,而僅依賴 VBA 程式碼的靜態分析通常會導致難以控制的誤報率和漏報率。
此外,有些基於以下方法 基於雲端的偵測即服務 它們需要持續連接,而且有時延遲過長,無法阻止惡意軟體的初始執行。如果攔截決定在幾秒鐘或幾分鐘後才做出,傷害可能已經造成。
關注點轉移:從文件到行為
由於文件不再是主要元素,現代防禦解決方案的重點在於 監控進程的行為 而不僅僅是檢查文件內容。這樣做的目的是,儘管惡意軟體變種成千上萬,但惡意活動的模式卻相對單一。
這種方法依賴引擎 行為分析與機器學習 持續監控每個進程的操作:它啟動哪些命令,它存取哪些系統資源,它如何與外部世界通信,以及它試圖在環境中引入哪些變更。
例如,如果出現以下情況,則 Office 流程可能會被標記為可疑: 執行混淆的 PowerShell 指令 透過參數停用安全性策略並從可疑網域下載程式碼。或者,某個進程會在沒有任何明顯原因的情況下突然存取數百個敏感檔案或修改關鍵登錄項目。
最新一代的EDR系統和XDR平台收集資訊 端點、伺服器和網路的詳細遙測數據並且能夠重現事件的起源、涉及的流程以及受影響機器發生的變化等完整故事(有時稱為故事線)。
一個優秀的行為引擎不僅能夠偵測威脅,而且還能 減輕或自動逆轉惡意行為:終止相關進程,隔離計算機,恢復加密文件,撤銷註冊表更改,並切斷與命令和控制域的通訊。
Windows 中的關鍵事件技術與來源
要分析 Windows 中的無檔案威脅,利用以下方法尤其有用: 原生作業系統遙測機制這些網站已經存在,並提供了許多關於幕後運作的資訊。
一方面是 Windows 事件追蹤 (ETW)ETW 是一種框架,它允許記錄與進程執行、API 呼叫、記憶體存取和其他內部系統方面相關的極其詳細的事件。許多 EDR 解決方案都依賴 ETW 來即時偵測異常行為。
另一個關鍵點是 反惡意軟件掃描接口 (AMSI)AMSI 是微軟設計的 API,它允許安全引擎在腳本和動態內容運行之前對其進行檢查,即使這些內容經過混淆處理。 AMSI 與 PowerShell、VBScript、JScript 和其他腳本語言配合使用尤其有用。
此外,現代引擎也會定期進行分析。 註冊表、任務計劃程序、WMI 訂閱或腳本執行策略等敏感區域這些區域的可疑變化通常表示無檔案攻擊已經建立了持久性。
所有這些都輔以啟發式方法,這些方法不僅考慮當前流程,還考慮… 執行上下文:父進程來自哪裡,之前和之後觀察到了哪些網路活動,是否有奇怪的故障、異常阻塞或其他訊號,這些訊號加在一起,會使人產生懷疑。
實用檢測與預防策略
實際上,保護自己免受這些威脅需要結合使用 技術、流程和培訓僅僅安裝防毒軟體然後置之不理是不夠的;需要採取分層策略,以適應無文件惡意軟體的真實行為。
從技術層面來說,部署至關重要。 EDR 或 XDR 解決方案 這些工具必須具備行為分析能力和流程級可視性,能夠即時記錄和關聯活動,阻止異常行為,並向安全團隊提供清晰的取證資訊。
也很方便 限制使用 PowerShell、WMI 和其他解釋器 嚴格來說,應該採取必要的措施,例如應用存取控制清單、腳本簽名(程式碼簽署)和執行策略,以限制哪些程式碼可以運行以及擁有哪些權限。
對使用者而言,培訓仍然至關重要:必須加強… 提高對網路釣魚、可疑連結和意外文件的防範意識對於能夠接觸敏感資訊或擁有高權限的人員來說,這一點尤其重要。減少誤操作次數可以顯著縮小攻擊面。
最後,我們不能忽視… 修補程式和軟體更新周期許多無檔案攻擊鏈都是從利用已知漏洞開始的,而這些漏洞通常已有修補程式可以修復。保持瀏覽器、外掛程式、企業應用程式和作業系統的更新,可以有效堵住攻擊者可利用的漏洞。
託管服務和威脅搜尋
在中大型組織中,事件數量龐大,內部團隊很難面面俱到。這就是它們越來越受歡迎的原因。 監控和管理回應服務 (MDR/EMDR)和外部安全營運中心(SOC)。
這些服務將先進技術與 分析團隊全天候監控 他們會分析客戶端環境,關聯那些原本會被忽略的微弱訊號。其目的是在造成損害之前檢測到無文件惡意軟體的典型行為。
許多安全營運中心 (SOC) 依賴諸如以下框架: 斜接 對敵方的戰術、技術和程序 (TTP) 進行分類,並制定針對記憶體執行、LoLBins 濫用、惡意 WMI 或隱藏資料外洩模式的特定規則。
除了持續監測外,這些服務通常還包括 法證分析、事件回應與諮詢 改進安全架構,彌補反覆出現的漏洞,加強對終端和伺服器的控制。
對許多公司而言,將部分職能外包是應對此類複雜威脅的最可行方法,因為並非每個人都能負擔得起專門負責搜尋高階惡意軟體的內部團隊。
事實上,無檔案惡意軟體已經徹底改變了我們對終端安全的理解: 文件不再是唯一的關鍵指標只有透過深入的洞察力、行為分析、良好的管理實踐和廣泛的網路安全文化,才能在日常工作中有效抵禦網路攻擊。
