識別無檔案檔案:偵測和阻止記憶體中惡意軟體的完整指南

最後更新: 16/11/2025
作者: 丹尼爾·特拉薩(Daniel Terrasa)

  • 無檔案惡意軟體駐留在記憶體中,濫用合法工具(PowerShell、WMI、LoLBins),因此很難根據檔案進行偵測。
  • 關鍵在於監控行為:進程關係、命令列、註冊表、WMI 和網絡,並在端點立即回應。
  • 分層防禦結合了解釋器限制、巨集管理、修補程式、多因素身份驗證 (MFA) 和 EDR/XDR,以及豐富的遙測技術和 24/7 全天候安全營運中心 (SOC)。
識別無文件文件

那些在磁碟上不留下任何痕跡的攻擊已經成為許多安全團隊的一大難題,因為它們完全在記憶體中執行,並利用合法的系統進程。因此,了解這些攻擊至關重要。 如何識別無文件文件 並抵禦他們。

除了新聞標題和趨勢之外,了解它們的運作方式、為何如此難以捉摸以及哪些跡象可以幫助我們識別它們,對於控制事件發生和避免事後追悔莫及至關重要。接下來,我們將分析問題並提出建議。 解決方案。

什麼是無檔案惡意軟體?它為何如此重要?

 

無檔案惡意軟體並非指特定的惡意軟體家族,而是一種運作方式: 避免將可執行檔寫入磁碟 它利用系統中已有的服務和二進位來執行惡意程式碼。攻擊者不會留下易於掃描的文件,而是濫用受信任的工具,將程式碼邏輯直接載入記憶體。

這種方法通常包含在「靠土地生存」的概念中:攻擊者利用土地。 原生工具,例如 PowerShell、WMI、mshta、rundll32 或使用 VBScript 和 JScript 等腳本引擎,以最小的噪音實現他們的目標。

其中最具代表性的特徵包括: 在揮發性記憶體中執行在磁碟上幾乎沒有或完全沒有持久性,使用系統簽署的元件,並且對基於簽署的引擎具有很高的規避能力。

雖然許多有效載荷在重啟後會消失,但不要被迷惑: 敵方可以建立持久性 透過利用註冊表項、WMI 訂閱或排程任務,所有這些都不會在磁碟上留下可疑的二進位。

偵測無檔案惡意軟體的困難

為什麼我們很難辨識無文件文件?

第一個障礙顯而易見: 沒有需要檢查的異常文件。當惡意程式的執行駐留在合法進程中,而惡意邏輯駐留在記憶體中時,基於特徵碼和檔案分析的傳統防毒程式幾乎沒有迴旋餘地。

第二種方法則較為隱蔽:攻擊者將自己偽裝在掩體後。 合法作業系統行程如果每天都使用 PowerShell 或 WMI 進行管理,如何在沒有上下文和行為遙測資料的情況下區分正常使用和惡意使用?

此外,盲目地禁用關鍵工具是不可行的。全面停用 PowerShell 或 Office 巨集可能會導致操作中斷。 它並不能完全杜絕濫用行為。因為有多種替代執行路徑和技術可以繞過簡單的程式碼區塊。

更糟的是,基於雲端或伺服器端的偵測為時已晚,無法預防問題。如果沒有對問題的即時本地可見性… 命令列、進程關係和日誌事件代理無法即時緩解在磁碟上不留下任何痕跡的惡意流量。

獨家內容 - 點擊這裡  如何擺脫RAMNIT

無檔案攻擊從頭到尾是如何運作的

初始存取通常使用與以往相同的向量: 利用辦公室文件進行網路釣魚 要求啟用活動內容、連結到受損網站、利用暴露應用程式中的漏洞,或濫用洩漏的憑證透過 RDP 或其他服務進行存取。

一旦進入比賽區域,對手的目標是在不觸碰飛盤的情況下完成比賽。為此,他們會將系統功能串連起來: 文檔中的巨集或DDE 啟動命令、利用溢位漏洞進行遠端程式碼執行,或呼叫可信任二進位檔案以在記憶體中載入和執行程式碼。

如果操作需要連續性,則無需部署新的可執行檔即可持久化: 註冊表中的啟動項WMI 訂閱會對系統事件或排程任務做出反應,並在特定條件下觸發腳本。

執行方案確定後,目標決定了以下步驟:橫向移動, 竊取資料這包括竊取憑證、部署遠端存取木馬 (RAT)、挖掘加密貨幣,或在勒索軟體攻擊中啟動檔案加密。所有這些操作都盡可能地利用現有功能來完成。

清除證據是計劃的一部分:攻擊者透過不編寫可疑的二進位文件,大大減少了需要分析的痕跡。 在正常活動之間穿插他們的活動 清除系統中的臨時痕跡(如果可能)。

識別無文件文件

他們通常使用的技術和工具

目錄內容豐富,但幾乎總是圍繞著原生實用程式和可信任路由。以下是一些最常見的範例,其目標始終是: 最大化記憶體執行 並模糊痕跡:

  • PowerShell的強大的腳本編寫能力、對 Windows API 的存取以及自動化功能。其多功能性使其成為管理和惡意濫用的首選工具。
  • WMI(Windows 管理規格)它允許您查詢系統事件並做出反應,以及執行遠端和本地操作;對以下方面非常有用: 持久性和編排.
  • VBScript 和 JScript:存在於許多環境中的引擎,可促進透過系統元件執行邏輯。
  • mshta、rundll32 和其他受信任的二進位檔案:眾所周知的LoLBins,當正確連結後,可以 執行程式碼而不丟棄任何工件 磁碟上有明顯痕跡。
  • 包含活動內容的文檔Office 中的巨集或 DDE,以及具有進階功能的 PDF 讀取器,都可以作為在記憶體中啟動命令的跳板。
  • Windows註冊表:自啟動密鑰或加密/隱藏的有效載荷存儲,由系統組件啟動。
  • 癲癇發作和注射過程:修改正在運行的程序的記憶體空間 主機惡意邏輯 在合法的可執行檔中。
  • 手術包:偵測受害者係統中的漏洞,並部署自訂的漏洞程序,以在不觸及磁碟的情況下執行攻擊。

企業面臨的挑戰(以及為什麼僅僅屏蔽所有內容是不夠的)

一個簡單粗暴的方法是採取極端措施:封鎖 PowerShell、禁止巨集、阻止 rundll32 等二進位檔案。但實際情況要複雜得多: 這些工具很多都是必備的。 用於日常IT運維和管理自動化。

獨家內容 - 點擊這裡  在 LibreOffice 中保存文檔時如何加密或設置密碼?

此外,攻擊者還會尋找漏洞:以其他方式運行腳本引擎, 使用備用副本你可以將邏輯打包到鏡像中,或是使用監控較少的LoLBins。暴力攔截最終只會造成摩擦,而無法提供全面的防禦。

純粹的伺服器端或雲端分析也無法解決問題。如果沒有豐富的端點遙測數據,以及沒有 代理本身的回應能力決定來得太晚,預防措施也不可行,因為我們必須等待外部裁決。

同時,市場報告長期以來一直指出該領域將出現非常顯著的成長,並在以下方面達到高峰: 濫用 PowerShell 的嘗試次數幾乎翻了一番 在短時間內,這證實了這是敵方反覆使用且有利可圖的策略。

主教冠攻擊

現代檢測:從文件到行為

關鍵不在於誰執行,而在於如何執行以及為什麼執行。監控 過程行為及其關係 它具有決定性意義:命令列、進程繼承、敏感 API 呼叫、出站連接、註冊表修改和 WMI 事件。

這種方法大幅縮小了規避面:即使涉及的二進位檔案發生變化, 攻擊模式重複出現 (例如,下載並在記憶體中執行的腳本、濫用 LoLBins、呼叫解釋器等)。分析腳本本身,而不是檔案的“身份”,可以提高檢測率。

有效的EDR/XDR平台將訊號關聯起來,重建完整的事件歷史,從而識別出 根本原因 這種敘述方式並沒有責怪「出現」的過程,而是將附件、巨集、解釋器、有效載荷和持久性聯繫起來,以緩解整個流程的問題,而不僅僅是某個孤立的部分。

應用以下框架: 斜接 它有助於繪製觀察到的戰術和技術 (TTP),並指導威脅狩獵朝著感興趣的行為發展:執行、持久化、防禦規避、憑證存取、發現、橫向移動和資料外洩。

最後,端點回應編排必須立即執行:隔離設備, 結束流程 參與其中,撤銷註冊表或任務計劃程序中的更改,並阻止可疑的出站連接,而無需等待外部確認。

有用的遙測數據:應該關注哪些數據以及如何確定優先級

為了在不使系統飽和的情況下提高檢測機率,建議優先處理高價值訊號。一些來源和控制措施可提供上下文資訊。 無文件操作至關重要 聲音:

  • 詳細的 PowerShell 日誌 以及其他解釋器:腳本區塊日誌、命令歷史記錄、已載入模組和 AMSI 事件(如有)。
  • WMI 儲存庫對事件過濾器、使用者和連結的建立或修改進行清點和發出警報,尤其是在敏感命名空間中。
  • 安全事件和 Sysmon:處理關聯、影像完整性、記憶體載入、注入和建立排程任務。
  • 紅色異常出站連接、信標、有效載荷下載模式以及使用隱藏通道進行資料外洩。

自動化有助於去偽存真:基於行為的偵測規則、允許列表 合法管理 透過威脅情報進行增強,可以減少誤報並加快回應速度。

預防和減少表面

任何單一措施都不足以完全解決問題,但多層防禦可以大大降低風險。在預防方面,有幾種行動方案特別突出: 作物載體 並讓對手的日子更難過:

  • 宏觀管理:預設為停用,僅在絕對必要且已簽署時才允許;透過群組原則進行精細控制。
  • 限制解釋器和 LoLBins:應用 AppLocker/WDAC 或同等技術,控制腳本和執行模板,並進行全面的日誌記錄。
  • 修補和緩解:修復可利用的漏洞,並啟動限制遠端程式碼執行和注入的記憶體保護。
  • 強身份驗證多因素身份驗證和零信任原則可遏制憑證濫用。 減少橫向移動.
  • 意識和模擬網路釣魚實戰培訓,包括識別帶有活動內容的文件以及識別異常執行跡象。
獨家內容 - 點擊這裡  在我的 Mac 電腦上使用 Norton AntiVirus for Mac 需要什麼?

這些措施輔以分析流量和記憶體的解決方案,以即時識別惡意行為,以及 細分策略 並限制權限,以控制出現漏洞時的影響。

行之有效的服務與方法

在擁有眾多端點且關鍵性高的環境中,託管偵測與回應服務 全天候監控 事實證明,它們能夠加快事件控制速度。安全營運中心 (SOC)、緊急事件回應/管理事件回應 (EMDR/MDR) 和事件資料回應/擴展事件回應 (EDR/XDR) 的結合,可提供專家視角、豐富的遙測資料和協調一致的回應能力。

最有效的服務提供者已經內化了這種行為轉變:輕量級代理 內核層面的相關活動它們能夠重建完整的攻擊歷史,並在偵測到惡意鏈時應用自動緩解措施,並具有回滾功能以撤銷變更。

同時,端點保護套件和 XDR 平台整合了跨工作站、伺服器、身分、電子郵件和雲端的集中式可視性和威脅管理;其目標是消除… 攻擊鏈 無論是否涉及文件。

威脅搜尋的實用指標

如果必須對搜尋假設進行優先排序,請專注於訊號的組合:例如,啟動具有不尋常參數的解釋器的辦公室流程。 WMI訂閱創建 開啟文件後,對啟動金鑰進行修改,然後連線到信譽不佳的網域。

另一種有效的方法是依靠環境中的基準:伺服器和工作站上的正常情況是什麼?任何偏差(例如,新簽署的二進位檔案會作為解釋器的父級出現) 性能突然飆升 (腳本、帶有混淆的命令字串)值得調查。

最後,別忘了記憶體:如果您有用於檢查運行區域或捕獲快照的工具, RAM 中的研究結果 它們可以作為無文件活動的最終證據,尤其是在文件系統中沒有任何痕跡的情況下。

這些戰術、技術和控制措施的結合並不能消除威脅,但可以讓你更好地及時發現威脅。 剪斷鏈條 並減少影響。

當所有這些技術——包括豐富的端點遙測資料、行為關聯分析、自動化反應和選擇性強化——合理運用時,無檔案策略的優勢就會大大降低。而且,儘管它還會繼續發展演變, 注意行為 它不是以文件的形式呈現,而是為你的防禦體系的演進奠定了堅實的基礎。