什么是“不带持久文件的恶意软件”，以及如何使用免费工具检测它。

外观 没有持久文件的恶意软件 这给安全团队带来了真正的难题。我们面对的不是那种从磁盘删除可执行文件时“感染”的典型病毒，而是潜伏在内存中、滥用合法系统工具，而且在很多情况下几乎不留下任何可用取证痕迹的威胁。

这种类型的攻击在高级犯罪团伙和网络犯罪分子中尤其流行，他们寻求…… 绕过传统杀毒软件，窃取数据，并保持隐蔽。 尽可能长时间地了解它们的工作原理、使用的技术以及如何检测它们，对于任何想要认真对待网络安全的组织来说都至关重要。

什么是无文件恶意软件？为什么它如此令人担忧？

当我们谈论 无文件恶意软件 我们并非说完全没有涉及任何字节，而是说恶意代码 它并非以传统可执行文件的形式存储在磁盘上。 它并非从终端运行，而是直接在内存中运行，或者托管在不太显眼的容器中，例如注册表、WMI 或计划任务。

在许多情况下，攻击者会利用系统中已有的工具——PowerShell、WMI、脚本、已签名的Windows二进制文件——来进行攻击。 直接在 RAM 中加载、解密或执行有效载荷这样可以避免留下明显的、基于特征码的防病毒软件在正常扫描中可以检测到的可执行文件。

此外，攻击链的一部分可能是“无文件”的，而另一部分则可能使用文件系统，所以我们讨论的是不止一种攻击方式。 无文件技术的范畴 因为它属于同一个恶意软件家族。这就是为什么没有一个单一的、封闭的定义，而是根据恶意软件对计算机造成的影响程度划分了几个类别。

不含持久文件的恶意软件的主要特征

这些威胁的一个关键特性是它们的 内存中心执行恶意代码会被加载到内存中，并在合法进程内执行，而无需在硬盘上存储稳定的恶意二进制文件。在某些情况下，它甚至会被注入到关键系统进程中，以更好地伪装自己。

另一个重要的特点是 非常规坚持许多无文件攻击活动纯粹是易失性的，重启后就会消失，但其他一些攻击活动则能够使用注册表自动运行项、WMI 订阅、计划任务或 BITS 重新激活，因此“可见”的痕迹极小，而真正的有效载荷每次都会重新驻留在内存中。

这种方法大大降低了……的有效性 基于签名的检测由于没有固定的可执行文件可供分析，因此您经常会看到一个完全合法的 PowerShell.exe、wscript.exe 或 mshta.exe，但它却以可疑的参数启动或加载混淆的内容。

最后，许多演员将无文件技术与其他技术结合起来。 恶意软件的类型，例如木马、勒索软件或广告软件从而形成了融合了两种策略优缺点的混合型策略：持久战和潜行。

根据其对系统的影响程度，将无文件威胁分为以下几类：

多家安防制造商 他们根据“无文件”威胁在计算机上留下的痕迹对其进行分类。这种分类方法有助于我们理解所看到的情况以及如何进行调查。

第一类：无可见文件活动

在最隐蔽的层面上，我们发现了恶意软件， 它完全不会向文件系统写入任何内容。例如，代码通过利用漏洞（例如 EternalBlue）的网络数据包传入，直接注入内存，并被维护，例如作为内核中的后门（DoublePulsar 就是一个典型的例子）。

在其他情况下，感染源存在于…… BIOS固件、网卡、USB设备，甚至CPU内部的子系统这种类型的威胁可以经受住操作系统重装、磁盘格式化，甚至某些完全重启的考验。

问题在于大多数安全解决方案 他们不检查固件或微代码即使他们真的这么做了，补救措施也十分复杂。幸运的是，这些技术通常只用于技术极其高超的攻击者，在群体攻击中并不常见。

第二类：间接使用文件

第二组是基于 恶意代码包含在存储在磁盘上的结构中但它们并非以传统可执行文件的形式存在，而是存在于混合了合法数据和恶意数据的存储库中，很难在不损坏系统的情况下进行清理。

典型的例子是存储在……中的脚本 WMI存储库混淆链 注册表项 或者，恶意软件可以通过定时任务启动危险命令，而无需明确的恶意二进制文件。恶意软件可以直接从命令行或脚本安装这些条目，然后几乎完全隐蔽。

虽然从技术上讲，这里涉及到文件（Windows 存储 WMI 存储库或注册表单元的物理文件），但实际上我们讨论的是…… 无文件活动 因为没有明显的、可以直接隔离的可执行文件。

第三类：需要文件才能运行

第三种类型包括以下威胁： 他们使用文件，但这种方式对检测来说作用不大。一个著名的例子是 Kovter，它会在注册表中注册随机扩展名，这样，当打开具有该扩展名的文件时，就会通过 mshta.exe 或类似的本地二进制文件执行脚本。

这些诱饵文件包含无关数据，真正的恶意代码则包含在其中。 它是从其他注册表项中检索的。 或者内部存储库。虽然磁盘上“存有一些东西”，但很难将其用作可靠的入侵指标，更不用说用作直接的清理机制了。

最常见的入侵途径和感染点

除了足迹分类之外，了解如何进行足迹分类也很重要。 这就涉及到不留持久文件的恶意软件了。 在日常生活中，攻击者通常会根据环境和目标组合使用多种攻击手段。

漏洞利用和漏洞

最直接的途径之一是滥用 远程代码执行 (RCE) 漏洞 攻击者可以利用浏览器、插件（例如早期的 Flash）、Web 应用程序或网络服务（SMB、RDP 等）来实施攻击。该漏洞会注入 shellcode，直接将恶意载荷下载或解码到内存中。

在此模型中，初始文件可以位于网络上（利用类型） WannaCry或者在用户打开的文档中，但是 有效载荷永远不会以可执行文件的形式写入磁盘。：它从 RAM 中即时解密并执行。

恶意文档和宏

另一个被大量利用的途径是 包含宏或DDE的Office文档以及旨在利用阅读器漏洞的 PDF 文件。看似无害的 Word 或 Excel 文件可能包含 VBA 代码，这些代码会启动 PowerShell、WMI 或其他解释器来下载代码、执行命令或将 shellcode 注入到受信任的进程中。

这里，磁盘上的文件“仅仅”是一个数据容器，而实际的向量是…… 应用程序的内部脚本引擎事实上，许多大规模垃圾邮件活动都滥用了这种策略，对企业网络发起无文件攻击。

合法脚本和二进制文件（自给自足）

攻击者非常喜欢Windows系统已经提供的工具： PowerShell、wscript、cscript、mshta、rundll32、regsvr32Windows 管理规范 (Windows Management Instrumentation)、BITS 等。这些经过签名和信任的二进制文件可以执行脚本、DLL 或远程内容，而无需可疑的“virus.exe”。

通过传递恶意代码 命令行参数将其嵌入图像中、在内存中加密和解码，或将其存储在注册表中，可确保防病毒软件只能看到合法进程的活动，从而使仅基于文件的检测变得更加困难。

受损的硬件和固件

在更低的层级，高级攻击者可以渗透 BIOS固件、网卡、硬盘，甚至CPU管理子系统 （例如 Intel ME 或 AMT）。这类恶意软件运行在操作系统底层，可以在操作系统不知情的情况下拦截或修改网络流量。

虽然这是一个极端情况，但它说明了无文件威胁的危害程度。 在不触及操作系统文件系统的情况下保持持久性以及为什么传统终端工具在这些情况下会失效。

恶意软件攻击如何在不产生持久文件的情况下运作？

在流程层面，无文件攻击与基于文件的攻击非常相似，但有以下区别： 相关差异 有效载荷的实现方式和访问权限的维护方式。

1. 系统初始访问权限

一切都始于攻击者获得第一个立足点之时： 带有恶意链接或附件的网络钓鱼邮件例如，利用易受攻击的应用程序漏洞、窃取 RDP 或 VPN 凭据，甚至是篡改 USB 设备。

在此阶段，将使用以下方法： 社会工程学恶意重定向、恶意广告活动或恶意 Wi-Fi 攻击，诱骗用户点击不应该点击的地方，或利用互联网上暴露的服务。

2. 在内存中执行恶意代码

一旦获得第一个入口，无文件组件就会被触发：Office 宏启动 PowerShell，漏洞利用程序注入 shellcode，WMI 订阅触发脚本等等。目标是 直接将恶意代码加载到 RAM 中可以通过从互联网下载，也可以通过从嵌入数据中重建。

从那里，恶意软件可以 提升权限、横向移动、窃取凭据、部署 Web Shell、安装远程访问木马或加密数据所有这些都通过合法的流程来降低噪音。

3. 建立持久性

常用技术 分别是：

• 自动运行键 在注册表中，用于在登录时执行命令或脚本。
• 计划任务 启动脚本、带有参数的合法二进制文件或远程命令。
• WMI订阅 当某些系统事件发生时，会触发该代码。
• BITS 的使用 用于定期从命令与控制服务器下载有效载荷。

在某些情况下，持久组件非常小，仅用于…… 将恶意软件重新注入内存 每次系统启动或满足特定条件时。

4. 对目标采取行动和撤离

在确保了攻击的持续性之后，攻击者会将注意力集中在他真正感兴趣的事情上： 窃取信息、加密信息、操纵系统或进行长达数月的间谍活动。数据泄露可以通过 HTTPS、DNS、隐蔽渠道或合法服务进行。在实际事件中，了解这一点至关重要。 黑客攻击发生后的24小时内应该做什么 可以有所作为。

在APT攻击中，恶意软件通常会持续存在。 长时间保持安静和隐蔽即使部分基础设施被检测和清除，也需要建立额外的后门以确保访问。

无文件恶意软件的功能和类型

通过这种方法，几乎​​可以实现传统恶意软件能够执行的任何恶意功能。 无文件或半无文件改变的不是目标，而是代码的部署方式。

仅驻留在内存中的恶意软件

此类别包含有效载荷， 它们只存在于进程或内核的内存中。现代的 rootkit、高级后门或间谍软件可以加载到合法进程的内存空间中，并一直保留在那里，直到系统重新启动。

这些组件使用面向磁盘的工具尤其难以查看，因此必须使用…… 活体记忆分析具备实时检测或高级取证功能的EDR。

基于 Windows 注册表的恶意软件

另一种常用的方法是存储 注册表项中的加密或混淆代码 并使用合法的二进制文件（例如 PowerShell、MSHTA 或 rundll32）在内存中读取、解码和执行它。

初始投放器在写入注册表后可以自毁，因此最终只会留下一些看似无害的数据混合物。 每次系统启动时，它们都会激活威胁。 或者每次打开特定文件时。

勒索软件和无文件木马

无文件方法与非常激进的加载方法（例如……）并不冲突。 勒索有些攻击活动会使用 PowerShell 或 WMI 在内存中下载、解密和执行整个加密过程，而不会在磁盘上留下勒索软件可执行文件。

同样， 远程访问木马（RAT）键盘记录器或凭证窃贼可以以半无文件的方式运行，按需加载模块并将主要逻辑托管在合法的系统进程中。

漏洞利用工具包和被盗凭证

Web漏洞利用工具包是另一个关键因素：它们可以检测已安装的软件， 他们选择合适的漏洞利用程序，并将有效载荷直接注入内存。通常根本不会在磁盘上保存任何内容。

另一方面，使用 被盗凭证 这种攻击方式非常适合无文件技术：攻击者以合法用户的身份进行身份验证，然后滥用本地管理工具（PowerShell Remoting、WMI、PsExec）部署脚本和命令，从而不留下任何恶意软件的典型痕迹。

为什么无文件恶意软件如此难以检测？

根本原因在于，这种威胁是专门设计用来…… 绕过传统的多层防御基于签名、白名单和定期文件扫描。

如果恶意代码从未以可执行文件的形式保存到磁盘上，或者隐藏在 WMI、注册表或固件等混合容器中，那么传统的杀毒软件几乎没有什么可分析的。你面对的不是“可疑文件”，而是…… 行为异常的合法流程.

此外，它还会彻底阻止 PowerShell、Office 宏或 WMI 等工具的使用。 在许多组织中，这种做法是不可行的。因为它们对行政管理、自动化和日常运营至关重要。这就迫使倡导者们必须非常谨慎地行事。

一些供应商试图通过快速修复措施来弥补（例如，通用 PowerShell 阻止、完全禁用宏、仅限云端检测等），但这些措施通常效果不佳。 不足或过度干扰 商业用途。

检测和阻止无文件恶意软件的现代策略

为了应对这些威胁，仅仅扫描文件是不够的，需要采取更有针对性的方法。 行为、实时遥测和深度可见性 最后一点。

行为和记忆监测

有效的方法之一是观察流程的实际运行情况： 它们执行哪些命令，访问哪些资源，建立哪些连接它们之间的相互关系等等。尽管存在数千种恶意软件变种，但恶意行为模式却要有限得多。这一点也可以通过以下方式加以补充： YARA高级检测.

现代解决方案将遥测技术与内存分析、高级启发式算法相结合， 机器学习 即使代码经过高度混淆或从未见过，也能识别攻击链。

使用诸如 AMSI 和 ETW 之类的系统接口

Windows 提供以下技术： 反恶意软件扫描接口（AMSI） y Windows 事件跟踪 (ETW) 这些数据源允许对系统脚本和事件进行极底层的检查。将这些数据源集成到安全解决方案中可以简化检测过程。 恶意代码在执行前或执行过程中.

此外，分析关键领域（例如计划任务、WMI 订阅、启动注册表项等）有助于识别问题。 隐蔽的无文件持久化 简单的文件扫描可能无法发现这个问题。

威胁狩猎和攻击指标 (IoA)

由于传统指标（哈希值、文件路径）存在不足，因此建议依赖以下方法： 攻击指标（IoA）这些行为描述了可疑的行为和符合已知策略的行动序列。

威胁狩猎团队（无论是内部团队还是通过托管服务组建的团队）可以主动搜索 横向移动模式、滥用原生工具、PowerShell 使用异常 或未经授权访问敏感数据，在无文件威胁引发灾难之前检测到它们。

EDR、XDR 和 SOC 全天候 24/7

现代平台 EDR 和 XDR （扩展级别的端点检测和响应）提供了重建事件完整历史所需的可见性和关联性，从第一封网络钓鱼邮件到最终的数据泄露。

结合 全天候运营安全运营中心它们不仅可以用于检测，而且还可以 自动包含和补救 恶意活动：隔离计算机、阻止进程、还原注册表更改或尽可能撤销加密。

无文件恶意软件技术的出现改变了游戏规则：仅仅运行杀毒软件扫描并删除可疑的可执行文件已远远不够。如今，防御的关键在于了解攻击者如何通过将代码隐藏在内存、注册表、WMI 或固件中来利用漏洞，并结合行为监控、内存分析、EDR/XDR、威胁狩猎和最佳实践等多种手段。 切实降低影响 那些旨在不留痕迹的攻击，与传统的应对措施相比，需要制定全面且持续的策略。一旦遭到攻击，了解情况至关重要。 严重病毒后修复 Windows 是必不可少的。