到目前为止,有一些所谓的无文件感染。通过无文件感染或无文件恶意软件,我们指的是不向受感染系统的硬盘驱动器写入任何文件的感染或恶意软件。

通过留下尽可能少的痕迹,恶意软件作者试图尽可能长时间地推迟安全供应商的检测。这是恶意软件和安全产品之间的武装战争的又一大步,安全供应商基于文件进行检测的过程已成为过去。

在一些现代开发工具(尤其是垂钓者),无文件感染正迅速成为普通的方法。如果我们想要对无文件感染进行分类,第一个分割将取决于感染是希望驻留还是在完成其工作后或有时在重启后消失。

打了就跑

基于USB Thief的属性,PowerSniff和exploit工具包可以被归类为“肇事逃逸”恶意软件。他们在被感染的系统上运行,完成任务后就消失了。这使得研究人员很难获得样本并研究它们的行为。

  • 无文件利用工具包直接在内存中运行,经常在恶意广告中看到。他们可以指纹识别他们激活的系统,然后通过下载和运行其他恶意软件进一步感染他们。
  • PowerSniff通过邮件作为一个宏在附加的Word文档中传播。它收集受感染系统的信息并将其发送到命令与控制服务器。
  • USB Thief驻留在受感染的USB设备上,作为流行的便携式软件中的插件安装。它收集目标系统上的信息,并将其写入USB设备。

在此停留

还有像Poweliks, PhaseBot和Kovter使用rootkit技术隐藏在Windows注册表中。

  • Poweliks在注册表中使用“NULL”Runkey(使内容不可见)来运行JavaScript,并使用PowerShell运行隐藏在注册表其他地方的编码脚本。它窃取系统信息,并有能力下载和安装其他恶意软件。
  • PhaseBot使用PowerShell运行隐藏在注册表中的编码脚本组件。PhaseBot可以执行僵尸网络操作员发出的命令。
  • Kovter使用非ascii字符创建包含模糊JavaScript的不可读注册表项。JavaScript依次执行PowerShell加载同样创建的脚本。Kovter是一种以锁屏(FBI勒索软件)和点击欺诈活动而闻名的木马。

总结

我们讨论了迄今为止最知名的无文件感染,并简要描述了它们是如何操作的。有关上述无文件感染的更详细描述,我们鼓励您查看以下链接:

Pieter Arntz