什麼是“不帶持久文件的惡意軟體”，以及如何使用免費工具檢測它。

外觀 沒有持久文件的惡意軟體 這給了安全團隊真正的難題。我們面對的不是那種從磁碟刪除可執行檔時「感染」的典型病毒，而是潛伏在記憶體中、濫用合法系統工具，而且在許多情況下幾乎不留下任何可用取證痕蹟的威脅。

這種類型的攻擊在高級犯罪團夥和網路犯罪分子中尤其流行，他們尋求… 繞過傳統防毒軟體，竊取數據，並保持隱藏。 盡可能長時間地了解它們的工作原理、使用的技術以及如何檢測它們，對於任何想要認真對待網路安全的組織來說都至關重要。

什麼是無檔案惡意軟體？為什麼它如此令人擔憂？

當我們談論 無檔案惡意軟體 我們並非說其中完全沒有涉及任何字節，而是說惡意程式碼 它並非以傳統可執行檔的形式儲存在磁碟上。 它並非從終端機運行，而是直接在記憶體中運行，或託管在不太顯眼的容器中，例如註冊表、WMI 或排程任務。

在許多情況下，攻擊者會利用系統中已有的工具－PowerShell、WMI、腳本、已簽署的Windows二進位檔案－來進行攻擊。 直接在 RAM 中載入、解密或執行有效載荷這樣可以避免留下明顯的、基於特徵碼的防毒軟體在正常掃描中可以偵測到的可執行檔。

此外，攻擊鏈的一部分可能是「無檔案」的，而另一部分則可能使用檔案系統，所以我們討論的是不只一種攻擊方式。 無文件技術的範疇 因為它屬於同一個惡意軟體家族。這就是為什麼沒有一個單一的、封閉的定義，而是根據惡意軟體對電腦造成的影響程度劃分了幾個類別。

不含持久文件的惡意軟體的主要特徵

這些威脅的一個關鍵特性是它們的 記憶體中心執行惡意程式碼會被載入到記憶體中，並在合法進程內執行，而無需在硬碟上儲存穩定的惡意二進位。在某些情況下，它甚至會被注入到關鍵系統進程中，以便更好地偽裝自己。

另一個重要的特點是 非常規堅持許多無檔案攻擊活動純粹是易失性的，重啟後就會消失，但其他一些攻擊活動則能夠使用註冊表自動運行項目、WMI 訂閱、計劃任務或 BITS 重新激活，因此「可見」的痕跡極小，而真正的有效載荷每次都會重新駐留在內存中。

這種方法大大降低了…的有效性 基於簽名的檢測由於沒有固定的可執行檔可供分析，因此您經常會看到一個完全合法的 PowerShell.exe、wscript.exe 或 mshta.exe，但它卻以可疑的參數啟動或載入混淆的內容。

最後，許多演員將無文件技術與其他技術結合。 惡意軟體的類型，例如木馬、勒索軟體或廣告軟體從而形成了融合了兩種策略優缺點的混合型策略：持久戰和潛行。

根據其對系統的影響程度，將無文件威脅分為以下幾類：

多家安防製造商 他們根據「無檔案」威脅在電腦上留下的痕跡對其進行分類。這種分類方法有助於我們理解所看到的情況以及如何進行調查。

第一類：無可見文件活動

在最隱密的層面上，我們發現了惡意軟體， 它完全不會寫入任何內容到檔案系統。例如，程式碼透過利用漏洞（例如 EternalBlue）的網路封包傳入，直接注入內存，並被維護，例如作為核心中的後門（DoublePulsar 就是一個典型的例子）。

在其他情況下，感染源存在於… BIOS韌體、網路卡、USB設備，甚至CPU內部的子系統這種類型的威脅可以經受住作業系統重裝、磁碟格式化，甚至是某些完全重啟的考驗。

問題在於大多數安全解決方案 他們不檢查韌體或微代碼即使他們真的這麼做了，補救措施也十分複雜。幸運的是，這些技術通常只用於技術極高超的攻擊者，在群體攻擊中並不常見。

第二類：間接使用文件

第二組是基於 惡意程式碼包含在儲存在磁碟上的結構中但它們並非以傳統可執行檔的形式存在，而是存在於混合了合法資料和惡意資料的儲存庫中，很難在不損壞系統的情況下進行清理。

典型的例子是儲存在…中的腳本 WMI儲存庫混淆鏈 註冊表項 或者，惡意軟體可以透過定時任務啟動危險命令，而無需明確的惡意二進位。惡意軟體可以直接從命令列或腳本安裝這些條目，然後幾乎完全隱藏。

雖然從技術上講，這裡涉及到文件（Windows 儲存 WMI 儲存庫或註冊表單元的實體文件），但實際上我們討論的是… 無文件活動 因為沒有明顯的、可以直接隔離的可執行檔。

第三類：需要文件才能運作

第三種類型包括以下威脅： 他們使用文件，但這種方式對檢測來說作用不大。一個著名的例子是 Kovter，它會在註冊表中註冊隨機副檔名，這樣，當開啟具有該副檔名的檔案時，就會透過 mshta.exe 或類似的本機二進位執行腳本。

這些誘餌檔案包含無關數據，真正的惡意程式碼則包含在其中。 它是從其他註冊表項中檢索的。 或內部儲存庫。雖然磁碟上“存有一些東西”，但很難將其用作可靠的入侵指標，更不用說用作直接的清理機制了。

最常見的入侵途徑和感染點

除了足跡分類之外，了解如何進行足跡分類也很重要。 這就牽涉到不留持久文件的惡意軟體了。 在日常生活中，攻擊者通常會根據環境和目標組合使用多種攻擊手段。

漏洞利用和漏洞

最直接的途徑之一是濫用 遠端程式碼執行 (RCE) 漏洞 攻擊者可以利用瀏覽器、外掛程式（例如早期的 Flash）、Web 應用程式或網路服務（SMB、RDP 等）來實施攻擊。此漏洞會注入 shellcode，直接將惡意負載下載或解碼到記憶體中。

在此模型中，初始檔案可以位於網路上（利用類型） WannaCry或在使用者開啟的文檔中，但是 有效載荷永遠不會以可執行檔的形式寫入磁碟。：它從 RAM 即時解密並執行。

惡意文檔和巨集

另一個被大量利用的途徑是 包含巨集或DDE的Office文檔以及旨在利用閱讀器漏洞的 PDF 檔案。看似無害的 Word 或 Excel 檔案可能包含 VBA 程式碼，這些程式碼會啟動 PowerShell、WMI 或其他解釋器來下載程式碼、執行命令或將 shellcode 注入到受信任的進程中。

這裡，磁碟上的檔案「僅僅」是一個資料容器，而實際的向量是… 應用程式的內部腳本引擎事實上，許多大規模垃圾郵件活動都濫用了這種策略，對企業網路發動無檔案攻擊。

合法腳本和二進位（自給自足）

攻擊者非常喜歡Windows系統已有的工具： PowerShell、wscript、cscript、mshta、rundll32、regsvr32Windows 管理規格 (Windows Management Instrumentation)、BITS 等。這些經過簽署和信任的二進位檔案可以執行腳本、DLL 或遠端內容，而無需可疑的「virus.exe」。

透過傳遞惡意程式碼 命令列參數將其嵌入影像中、在記憶體中加密和解碼，或將其儲存在註冊表中，可確保防毒軟體只能看到合法進程的活動，從而使僅基於檔案的偵測變得更加困難。

受損的硬體和韌體

在較低的層級，高級攻擊者可以滲透 BIOS韌體、網卡、硬碟，甚至CPU管理子系統 （例如 Intel ME 或 AMT）。這類惡意軟體運行在作業系統底層，可以在作業系統不知情的情況下攔截或修改網路流量。

雖然這是一個極端情況，但它說明了無文件威脅的危害程度。 在不修改作業系統檔案系統的情況下保持持久性以及為什麼傳統終端工具在這些情況下會失效。

惡意軟體攻擊如何在不產生持久文件的情況下運作？

在流程層面，無文件攻擊與基於文件的攻擊非常相似，但有以下差異： 相關差異 有效載荷的實作方式和存取權限的維護方式。

1. 系統初始存取權限

一切都始於攻擊者獲得第一個立足點之時： 帶有惡意連結或附件的網路釣魚郵件例如，利用易受攻擊的應用程式漏洞、竊取 RDP 或 VPN 憑證，甚至是篡改 USB 裝置。

在此階段，將使用以下方法： 社會工程學惡意重新導向、惡意廣告活動或惡意 Wi-Fi 攻擊，誘騙使用者點擊不該點擊的地方，或利用網路上暴露的服務。

2. 在記憶體中執行惡意程式碼

一旦獲得第一個入口，無檔案元件就會被觸發：Office 巨集啟動 PowerShell，漏洞利用程式註入 shellcode，WMI 訂閱觸發腳本等等。目標是 直接將惡意程式碼載入到 RAM 中可以透過從互聯網下載，也可以透過從嵌入資料重建。

從那裡，惡意軟體可以 提升權限、橫向移動、竊取憑證、部署 Web Shell、安裝遠端存取木馬或加密數據所有這些都透過合法的流程來降低噪音。

3. 建立持久性

常用技術 它們是：

• 自動運行鍵 在註冊表中，用於在登入時執行命令或腳本。
• 計劃任務 啟動腳本、帶有參數的合法二進位檔案或遠端命令。
• WMI訂閱 當某些系統事件發生時，會觸發該程式碼。
• BITS 的使用 用於定期從命令與控制伺服器下載有效載荷。

在某些情況下，持久組件非常小，僅用於… 將惡意軟體重新註入內存 每次系統啟動或滿足特定條件時。

4. 對目標採取行動和撤離

在確保了攻擊的持續性之後，攻擊者會將注意力集中在他真正感興趣的事情上： 竊取資訊、加密資訊、操縱系統或進行長達數月的間諜活動。資料外洩可以透過 HTTPS、DNS、隱藏管道或合法服務進行。在實際事件中，了解這一點至關重要。 駭客攻擊發生後的24小時內該做什麼 可以有所作為。

在APT攻擊中，惡意軟體通常會持續存在。 長時間保持安靜和隱蔽即使部分基礎設施被偵測和清除，也需要建立額外的後門以確保存取。

無檔案惡意軟體的功能和類型

透過這種方法，幾乎可以實現傳統惡意軟體能夠執行的任何惡意功能。 無文件或半無文件改變的不是目標，而是程式碼的部署方式。

僅駐留在記憶體中的惡意軟體

此類別包含有效載荷， 它們只存在於進程或內核的記憶體中。現代的 rootkit、高級後門或間諜軟體可以載入到合法進程的記憶體空間中，並一直保留在那裡，直到系統重新啟動。

這些元件使用面向磁碟的工具尤其難以查看，因此必須使用… 即時記憶分析具備即時檢測或進階取證功能的EDR。

基於 Windows 登錄的惡意軟體

另一種常用的方法是存儲 註冊表項中的加密或混淆代碼 並使用合法的二進位（例如 PowerShell、MSHTA 或 rundll32）在記憶體中讀取、解碼和執行它。

初始投放器在寫入註冊表後可以自毀，因此最終只會留下一些看似無害的資料混合物。 每次系統啟動時，它們都會啟動威脅。 或每次開啟特定文件時。

勒索軟體和無文件木馬

無檔案方法與非常激進的載入方法（例如…）並不衝突。 勒索有些攻擊活動會使用 PowerShell 或 WMI 在記憶體中下載、解密和執行整個加密過程，而不會在磁碟上留下勒索軟體可執行檔。

同樣的， 遠端存取木馬（RAT）鍵盤記錄器或憑證竊賊可以以半無檔案的方式運行，按需載入模組並將主要邏輯託管在合法的系統進程中。

漏洞利用工具包和被盜憑證

Web漏洞利用工具包是另一個關鍵因素：它們可以偵測已安裝的軟體， 他們選擇合適的漏洞程序，並將有效載荷直接注入記憶體。通常根本不會在磁碟上保存任何內容。

另一方面，使用 被盜憑證 這種攻擊方式非常適合無檔案技術：攻擊者以合法使用者的身分進行驗證，然後濫用本機管理工具（PowerShell Remoting、WMI、PsExec）部署腳本和命令，從而不留下任何惡意軟體的典型痕跡。

為什麼無檔案惡意軟體如此難以偵測？

根本原因在於，這種威脅是專門設計用來… 繞過傳統的多層防禦基於簽名、白名單和定期文件掃描。

如果惡意程式碼從未以可執行檔的形式保存到磁碟上，或者隱藏在 WMI、註冊表或韌體等混合容器中，那麼傳統的防毒軟體幾乎沒有什麼可分析的。你面對的不是“可疑文件”，而是… 行為異常的合法流程.

此外，它還會徹底阻止 PowerShell、Office 巨集或 WMI 等工具的使用。 在許多組織中，這種做法是不可行的。因為它們對行政管理、自動化和日常營運至關重要。這就迫使倡導者們必須非常謹慎地行事。

一些供應商試圖透過快速修復措施來彌補（例如，通用 PowerShell 阻止、完全停用巨集、僅限雲端偵測等），但這些措施通常效果不佳。 不足或過度幹擾 用於商業。

偵測並阻止無檔案惡意軟體的現代策略

為了應對這些威脅，僅僅掃描文件是不夠的，需要採取更有針對性的方法。 行為、即時遙測和深度可見性 最後一點。

行為和記憶監測

有效的方法之一是觀察流程的實際運作： 它們執行哪些命令，存取哪些資源，建立哪些連接它們之間的相互關係等等。儘管有數千種惡意軟體變種，但惡意行為模式卻有限得多。這一點也可以透過以下方式加以補充： YARA高級檢測.

現代解決方案將遙測技術與記憶體分析、進階啟發式演算法結合， 自動學習 即使程式碼經過高度混淆或從未見過，也能辨識攻擊鏈。

使用諸如 AMSI 和 ETW 之類的系統接口

Windows 提供以下技術： 反惡意軟件掃描接口 (AMSI) y Windows 事件追蹤 (ETW) 這些資料來源允許對系統腳本和事件進行極底層的檢查。將這些資料來源整合到安全解決方案中可以簡化偵測過程。 惡意程式碼在執行前或執行過程中.

此外，分析關鍵領域（例如排程任務、WMI 訂閱、啟動登錄機碼等）有助於識別問題。 隱蔽的無文件持久化 簡單的文件掃描可能無法發現這個問題。

威脅狩獵和攻擊指標 (IoA)

由於傳統指標（雜湊值、檔案路徑）存在不足，因此建議依賴以下方法： 攻擊指標（IoA）這些行為描述了可疑的行為和符合已知策略的行動序列。

威脅狩獵團隊（無論是內部團隊還是透過託管服務組成的團隊）可以主動搜索 橫向移動模式、濫用原生工具、PowerShell 使用異常 或未經授權存取敏感數據，在無文件威脅引發災難之前檢測到它們。

EDR、XDR 和 SOC 全天候 24/7

現代化平台 EDR 和 XDR （擴展級別的端點偵測和回應）提供了重建事件完整歷史所需的可見性和關聯性，從第一封網路釣魚郵件到最終的資料外洩。

結合 全天候營運安全營運中心它們不僅可以用於檢測，而且還可以 自動包含和補救 惡意活動：隔離電腦、封鎖進程、還原登錄機碼變更或盡可能撤銷加密。

無檔案惡意軟體技術的出現改變了遊戲規則：僅僅運行防毒軟體掃描並刪除可疑的可執行檔已遠遠不夠。如今，防禦的關鍵在於了解攻擊者如何透過將程式碼隱藏在記憶體、註冊表、WMI 或韌體中來利用漏洞，並結合行為監控、記憶體分析、EDR/XDR、威脅狩獵和最佳實踐等多種手段。 切實降低影響 那些旨在不留痕跡的攻擊，與傳統的應對措施相比，需要製定全面且持續的策略。一旦遭到攻擊，了解情況至關重要。 嚴重病毒後修復 Windows 是必不可少的。