识别无文件文件:检测和阻止内存中恶意软件的完整指南

最后更新: 16/11/2025
作者: 丹尼尔·特拉萨(Daniel Terrasa)

  • 无文件恶意软件驻留在内存中,滥用合法工具(PowerShell、WMI、LoLBins),因此很难根据文件进行检测。
  • 关键在于监控行为:进程关系、命令行、注册表、WMI 和网络,并在端点立即做出响应。
  • 分层防御结合了解释器限制、宏管理、补丁、多因素身份验证 (MFA) 和 EDR/XDR,以及丰富的遥测技术和 24/7 全天候安全运营中心 (SOC)。
识别无文件文件

那些在磁盘上不留下任何痕迹的攻击已经成为许多安全团队的一大难题,因为它们完全在内存中执行,并利用合法的系统进程。因此,了解这些攻击至关重要。 如何识别无文件文件 并抵御他们。

除了新闻标题和趋势之外,了解它们的运作方式、为何如此难以捉摸以及哪些迹象可以帮助我们识别它们,对于控制事件发生和避免事后追悔莫及至关重要。接下来,我们将分析问题并提出建议。 soluciones。

什么是无文件恶意软件?它为何如此重要?

 

无文件恶意软件并非指特定的恶意软件家族,而是一种运行方式: 避免将可执行文件写入磁盘 它利用系统中已有的服务和二进制文件来执行恶意代码。攻击者不会留下易于扫描的文件,而是滥用受信任的工具,将代码逻辑直接加载到内存中。

这种方法通常包含在“靠土地生存”的理念中:攻击者利用…… 原生工具,例如 PowerShell、WMI、mshta、rundll32 或者使用 VBScript 和 JScript 等脚本引擎,以最小的噪音实现他们的目标。

其中最具代表性的特征包括: 在易失性内存中执行在磁盘上几乎没有或完全没有持久性,使用系统签名的组件,并且对基于签名的引擎具有很高的规避能力。

虽然许多有效载荷在重启后会消失,但不要被迷惑: 敌方可以建立持久性 通过利用注册表项、WMI 订阅或计划任务,所有这些都不会在磁盘上留下可疑的二进制文件。

检测无文件恶意软件的困难

为什么我们很难识别无文件文件?

第一个障碍显而易见: 没有需要检查的异常文件。当恶意程序的执行驻留在合法进程中,而恶意逻辑驻留在内存中时,基于特征码和文件分析的传统防病毒程序几乎没有回旋余地。

第二种方法更为隐蔽:攻击者将自己伪装在掩体后。 合法操作系统进程如果每天都使用 PowerShell 或 WMI 进行管理,如何在没有上下文和行为遥测数据的情况下区分正常使用和恶意使用?

此外,盲目地禁用关键工具是不可行的。全面禁用 PowerShell 或 Office 宏可能会导致操作中断。 它并不能完全杜绝滥用行为。因为有多种替代执行路径和技术可以绕过简单的代码块。

更糟糕的是,基于云端或服务器端的检测为时已晚,无法预防问题。如果没有对问题的实时本地可见性…… 命令行、进程关系和日志事件代理无法即时缓解在磁盘上不留下任何痕迹的恶意流量。

独家内容 - 点击这里  黑手党的结构是什么?

无文件攻击从头到尾是如何运作的

初始访问通常使用与以往相同的向量: 利用办公文件进行网络钓鱼 要求启用活动内容、链接到受损网站、利用暴露应用程序中的漏洞,或滥用泄露的凭据通过 RDP 或其他服务进行访问。

一旦进入比赛区域,对手的目标是在不触碰飞盘的情况下完成比赛。为此,他们会将系统功能串联起来: 文档中的宏或DDE 启动命令、利用溢出进行远程代码执行,或调用可信二进制文件以在内存中加载和执行代码。

如果操作需要连续性,则无需部署新的可执行文件即可实现持久化: 注册表中的启动项WMI 订阅会对系统事件或计划任务做出反应,并在特定条件下触发脚本。

执行方案确定后,目标决定了以下步骤:横向移动, 窃取数据这包括窃取凭证、部署远程访问木马 (RAT)、挖掘加密货币,或者在勒索软件攻击中激活文件加密。所有这些操作都尽可能地利用现有功能来完成。

清除证据是计划的一部分:攻击者通过不编写可疑的二进制文件,大大减少了需要分析的痕迹。 在正常活动之间穿插他们的活动 清除系统中的临时痕迹(如果可能)。

识别无文件文件

他们通常使用的技术和工具

目录内容丰富,但几乎总是围绕原生实用程序和可信路由展开。以下是一些最常见的示例,其目标始终是: 最大化内存执行 并模糊痕迹:

  • PowerShell的强大的脚本编写能力、对 Windows API 的访问以及自动化功能。其多功能性使其成为管理和恶意滥用的首选工具。
  • WMI(Windows 管理规范)它允许您查询系统事件并做出反应,以及执行远程和本地操作;对以下方面非常有用: 持久性和编排.
  • VBScript 和 JScript:存在于许多环境中的引擎,可促进通过系统组件执行逻辑。
  • mshta、rundll32 和其他受信任的二进制文件:众所周知的LoLBins,当正确链接后,可以 执行代码而不丢弃任何工件 磁盘上有明显痕迹。
  • 包含活动内容的文档Office 中的宏或 DDE,以及具有高级功能的 PDF 阅读器,都可以作为在内存中启动命令的跳板。
  • Windows注册表:自启动密钥或加密/隐藏的有效载荷存储,由系统组件激活。
  • 癫痫发作和注射入过程:修改正在运行的进程的内存空间 主机恶意逻辑 在合法的可执行文件中。
  • 手术包:检测受害者系统中的漏洞,并部署定制的漏洞利用程序,以在不触及磁盘的情况下执行攻击。

企业面临的挑战(以及为什么仅仅屏蔽所有内容是不够的)

一种简单粗暴的方法是采取极端措施:屏蔽 PowerShell、禁止宏、阻止 rundll32 等二进制文件。但实际情况要复杂得多: 这些工具很多都是必不可少的。 用于日常IT运维和管理自动化。

独家内容 - 点击这里  如何让你的手机在索尼手机上“自毁”?

此外,攻击者还会寻找漏洞:以其他方式运行脚本引擎, 使用备用副本你可以将逻辑打包到镜像中,或者使用监控较少的LoLBins。暴力拦截最终只会造成摩擦,而无法提供全面的防御。

纯粹的服务器端或云端分析也无法解决问题。如果没有丰富的端点遥测数据,以及没有 代理本身的响应能力决定来得太晚,预防措施也不可行,因为我们必须等待外部裁决。

与此同时,市场报告长期以来一直指出该领域将出现非常显著的增长,并在以下方面达到峰值: 滥用 PowerShell 的尝试次数几乎翻了一番 在短时间内,这证实了这是敌方反复使用且有利可图的策略。

斜接攻击

现代检测:从文件到行为

关键不在于谁执行,而在于如何执行以及为什么执行。监控 过程行为及其关系 它具有决定性意义:命令行、进程继承、敏感 API 调用、出站连接、注册表修改和 WMI 事件。

这种方法大幅缩小了规避面:即使涉及的二进制文件发生变化, 攻击模式重复出现 (例如,下载并在内存中执行的脚本、滥用 LoLBins、调用解释器等)。分析脚本本身,而不是文件的“身份”,可以提高检测率。

有效的EDR/XDR平台将信号关联起来,重建完整的事件历史,从而识别出 根本原因 这种叙述方式并没有责怪“出现”的过程,而是将附件、宏、解释器、有效载荷和持久性联系起来,以缓解整个流程的问题,而不仅仅是某个孤立的部分。

应用诸如以下框架: 斜接 它有助于绘制观察到的战术和技术 (TTP),并指导威胁狩猎朝着感兴趣的行为发展:执行、持久化、防御规避、凭证访问、发现、横向移动和数据泄露。

最后,端点响应编排必须立即执行:隔离设备, 结束流程 参与其中,撤销注册表或任务计划程序中的更改,并阻止可疑的出站连接,而无需等待外部确认。

有用的遥测数据:应该关注哪些数据以及如何确定优先级

为了在不使系统饱和的情况下提高检测概率,建议优先处理高价值信号。一些来源和控制措施可提供上下文信息。 无文件操作至关重要 是:

  • 详细的 PowerShell 日志 以及其他解释器:脚本块日志、命令历史记录、已加载模块和 AMSI 事件(如有)。
  • WMI 存储库对事件过滤器、使用者和链接的创建或修改进行清点和发出警报,尤其是在敏感命名空间中。
  • 安全事件和 Sysmon:处理关联、图像完整性、内存加载、注入和创建计划任务。
  • 红色异常出站连接、信标、有效载荷下载模式以及使用隐蔽通道进行数据外泄。

自动化有助于去伪存真:基于行为的检测规则、允许列表 合法管理 通过威胁情报进行增强,可以减少误报并加快响应速度。

预防和减少表面

任何单一措施都不足以完全解决问题,但多层防御可以大大降低风险。在预防方面,有几种行动方案尤为突出: 作物矢量图 并让对手的日子更难过:

  • 宏观管理:默认禁用,仅在绝对必要且已签名时才允许;通过组策略进行精细控制。
  • 限制解释器和 LoLBins:应用 AppLocker/WDAC 或同等技术,控制脚本和执行模板,并进行全面的日志记录。
  • 修补和缓解:修复可利用的漏洞,并激活限制远程代码执行和注入的内存保护。
  • 强认证多因素身份验证和零信任原则可遏制凭证滥用。 减少横向移动.
  • 意识和模拟网络钓鱼实战培训,包括识别带有活动内容的文档以及识别异常执行迹象。
独家内容 - 点击这里  哪些工具可用于 Mac 上的安全性?

这些措施辅以分析流量和内存的解决方案,以实时识别恶意行为,以及 细分策略 并限制权限,以控制出现漏洞时的影响。

行之有效的服务和方法

在拥有众多端点且关键性高的环境中,托管检测和响应服务 全天候监控 事实证明,它们能够加速事件控制。安全运营中心 (SOC)、紧急事件响应/管理事件响应 (EMDR/MDR) 和事件数据响应/扩展事件响应 (EDR/XDR) 的结合,可提供专家视角、丰富的遥测数据和协调一致的响应能力。

最有效的服务提供商已经内化了这种行为转变:轻量级代理 内核层面的相关活动它们能够重建完整的攻击历史,并在检测到恶意链时应用自动缓解措施,并具有回滚功能以撤销更改。

与此同时,端点保护套件和 XDR 平台集成了跨工作站、服务器、身份、电子邮件和云的集中式可视性和威胁管理;其目标是消除…… 攻击链 无论是否涉及文件。

威胁搜寻的实用指标

如果必须对搜索假设进行优先级排序,请重点关注信号的组合:例如,启动具有不寻常参数的解释器的办公流程。 WMI订阅创建 打开文档后,对启动密钥进行修改,然后连接到信誉不佳的域。

另一种有效的方法是依靠环境中的基线:服务器和工作站上的正常情况是什么?任何偏差(例如,新签名的二进制文件作为解释器父程序出现) 性能突然飙升 (脚本、带有混淆的命令字符串)值得调查。

最后,别忘了内存:如果您有用于检查运行区域或捕获快照的工具, RAM 中的研究结果 它们可以作为无文件活动的最终证据,尤其是在文件系统中没有任何痕迹的情况下。

这些战术、技术和控制措施的结合并不能消除威胁,但可以让你更好地及时发现威胁。 剪断链条 并减少影响。

当所有这些技术——包括丰富的端点遥测数据、行为关联分析、自动化响应和选择性强化——得到合理运用时,无文件策略的优势就会大大降低。而且,尽管它还会继续发展演变, 关注行为 它不是以文件的形式呈现,而是为你的防御体系的演进奠定了坚实的基础。