無文件攻擊有哪些方式

無文件攻擊方式有：

• 完全無文件攻擊：完全無文件的攻擊可以被視為不需要在磁盤上寫入文件的惡意軟件。第一種情況是沒有借助外部設備的完全無文件攻擊。例如，目標計算機接收利用EternalBlue漏洞的惡意網絡數據包，導致DoublePulsar后門的安裝，該后門最終僅駐留在內核內存中。在這種情況下，沒有文件或任何數據寫入文件。另一種情況是利用設備來感染系統，其中惡意代碼可能隱藏在設備固件（例如BIOS），USB外設（例如BadUSB攻擊）甚至網卡固件中。所有這些示例都不需要磁盤上的文件即可運行，并且理論上只能駐留在內存中，即使重新啟動，重新格式化磁盤和重新安裝OS也能幸免。

• 利用間接文件：惡意軟件還有其他方法可以在機器上實現無文件存在，并且無需進行大量的工程工作。這種類型的無文件惡意軟件不會直接在文件系統上寫入文件，但最終可能會間接使用文件。Poshspy后門就是這種情況。攻擊者在WMI存儲空間中放置了惡意的PowerShell命令，WMI存儲庫存儲在物理文件上，該物理文件是CIM對象管理器管理的中央存儲區域，通常包含合法數據。因此，盡管感染鏈從技術上確實使用了物理文件，但出于實際目的，考慮到WMI存儲庫無法簡單地檢測和刪除的多用途數據容器，另外并配置了WMI篩選器以定期運行該命令。通過這種無文件后門技術，攻擊者可以構造一個非常獨立的后門，并與他們之前的普通后門結合使用，確保在普通后門失效后還能實現對目標的持久性滲透。

• 僅操作需要的文件：一些惡意軟件可以具有某種無文件的持久性，但并非不使用文件進行操作。這種情況的一個示例是Kovter，Kovter最常見的感染方法之一是來自基于宏的惡意垃圾郵件的附件。一旦單擊了惡意附件（通常是受損的Microsoft Office文件），惡意軟件就會在通常位于％ApplicationData％或％AppDataLocal％的隨機命名的文件夾中安裝快捷方式文件，批處理文件和帶有隨機文件擴展名的隨機文件。基于隨機文件擴展名的注冊表項也安裝在“HKEY_CLASSES_ROOT”中，以指導隨機文件的執行以讀取注冊表項。這些組件用于執行惡意軟件的外殼生成技術。這是該攻擊的第一階段。在第二個階段中，將為隨機文件創建注冊表項，其中包含執行KOVTER進程的惡意腳本。這意味著當受感染的計算機重新啟動或觸發快捷方式文件或批處理文件時，注冊表項中的惡意腳本就會加載到內存中。惡意腳本包含外殼程序代碼，惡意軟件將其注入到PowerShell進程中。隨后，外殼程序代碼將解密位于同一注冊表項中的二進制注冊表項被注入到一個創建的進程中（通常為regsvr 32.exe），生成的regsvr32.exe將嘗試連接各種URL，這是其點擊欺詐活動的一部分。

回答所涉及的環境：聯想天逸510S、Windows 10。