無文件攻擊類型有哪些

• 按攻擊方式分三大類：

  • 漏洞型攻擊

    漏洞型攻擊是殺傷力最大的無文件攻擊方式，典型的漏洞有Office漏洞、SMB漏洞、以及各種WEB服務的漏洞，當目標主機存在漏洞時，病毒可以通過漏洞直接執行惡意命令攻擊主機或將自己復制到主機實現擴散。漏洞型攻擊行為隱蔽，且一般不會釋放文件到本地，所以使用殺軟幾乎無法防御。

  • 灰色工具型攻擊

    灰色工具是指那些可以被用來執行惡意代碼的合法工具，如：Powershell、PsExec等，病毒可以使用這些工具來間接執行惡意代碼。由于IT管理員日常工作中都會使用這些合法工具來輔助管理系統、網絡，所以殺軟對這類攻擊的檢測也極具挑戰性。

  • 潛伏性攻擊

    為了讓病毒母體被刪除后以及每次開機后還能繼續執行惡意代碼，持久化潛伏成為一種常見的無文件攻擊方式。通過將惡意代碼存儲在注冊表、WMI、系統進程（進程注入）、MBR、定時任務等地方，可以讓惡意代碼隱蔽地自動執行。

• 按磁盤文件的活動分三個類型：

  • 沒有任何的文件活動

    簡單說就是攻擊活動沒有任何的磁盤文件落地和磁盤文件的操作行為，一般這種攻擊的實施都脫離了操作系統，是由更上層的硬件固件和軟件層發起的。

  • 沒有磁盤落地文件

    沒有磁盤落地文件，但通過文件間接活動，惡意代碼一般通過白文件間接加載到內存中執行。這類攻擊惡意代碼的載體大多數都是腳本，通過程序命令執行，也有通過磁盤引導記錄等特定機制的執行。

  • 需要操作文件進行活動

    比較容易能理解的意思是惡意代碼變成了數據，利用文件相關的程序漏洞或功能特性將惡意數據轉換為惡意代碼執行。

• 按擊入口點可分為三類：

  • 完全無文件攻擊

    可以被視為不需要在磁盤上寫入文件的惡意軟件也可以實現攻擊；

  • 間接利用文件

    就是惡意軟件還有其他方法可以在機器上實現無文件存在，并且無需進行大量的工程工作。這種類型的無文件惡意軟件不會直接在文件系統上寫入文件，但最終可能會間接使用文件；

  • 僅操作需要的文件

    就是一些惡意軟件可以具有某種無文件的持久性，但并非不使用文件進行操作。

回答所涉及的環境：聯想天逸510S、Windows 10。