无文件恶意软件(Fileless Malware)

作者:{Esi, Anice}@ArkTeam

主流恶意代码多以文件形态驻留于计算机硬盘上,而无文件恶意代码(Fileless Malware)则另辟蹊径,它只会驻留在内存或注册表中,而没有任何文件存放于硬盘,目的是提高系统级的生存性。那么,一个没有文件实体的恶意代码,如何实现开机自启动并正常运行呢?我们先从无文件恶意代码的历史说起。

图1 传统恶意代码

无文件恶意代码,其根源可追溯2001年爆发的Code Red蠕虫和2003年爆发的Slammer蠕虫,这两个里程碑级别的蠕虫都只存在于内存之中,关机即会消失,但其快速的全网扫描能力会使得新开机的节点很快被再次感染,因此可保持总感染量的平衡。内存型无文件恶意代码的缺点是无法做到持久化。

图2 内存型无文件恶意代码

2014年,持久化无文件恶意代码的代表—Poweliks—会将自身文件体写入了注册表的某个键值里,然后进行文件自删除。

图3 注册表型无文件恶意代码

为了实现攻击的持久化与隐蔽化,将恶意代码文件内容写入注册表多个键值里,当注册表中脚本(如下图中的alert)获得运行权后会读取注册表其他键值还原恶意代码,这种方法可以绕过很多安全产品的检测,效果显著。

下面,我们通过一个实例来形象化展示一个最简单的无文件恶意代码的工作机理。

这样,开机后,就会弹框。

图4 开机自运行

附录:维基百科的定义

Fileless malware is a variant of computer related malicious software that exists exclusively as a computer memory-based artifact i.e. in RAM. It does not write any part of its activity to the computer’s hard drive, and leaves very little by way of evidence that could be used by digital forensic investigators to identify illegitimate activity. As malware of this type is designed to work in-memory, its longevity on the system exists only until the system is rebooted.

发表评论

电子邮件地址不会被公开。 必填项已用*标注