- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
揭秘无文件恶意软件的入侵轨迹
无文件并不是真的不依靠文件 从字面来看,“无文件”恶意软件很容易让人误以为攻击者在使用该技术进行攻击时不需要使用任何文件,显然,这种理解是错误的!有一点需要明确,无文件恶意软件有时候也会使用文件。 无文件恶意软件不需要文件即可启动,但它确实需要修改它试图攻击的本地环境和工具,这也是使用无文件恶意软件的一种更高级的方法。 即便在入侵阶段,无文件恶意软件执行起来也有一定困难,因为攻击者必须在内存中为它找到一个位置。这要求入侵者动作必须快,因为当系统重新启动时,无文件恶意软件会从内存中清除。 为了有效,无文件恶意软件攻击者还需要正确的环境。 无文件恶意软件攻击的阶段 与传统的恶意软件攻击一样,无文件恶意软件攻击的典型阶段是: 第 1 阶段:攻击者获得对受害者系统的远程访问权限。 所以当发生凭据被盗或用户名被黑客入侵或信用卡信息被盗等事件时,就很有可能会接着发生无文件恶意软件攻击。 一旦无文件恶意软件获得了对系统的访问权限,它就可以开始启动传统的恶意软件。
51210编辑于 2023-03-30 - 来自专栏李洋博客
CentOS系统下的tmp目录总有恶意文件入侵,怎么预防?
不知道大家使用腾讯云主机的时候有没有收到过类似【主机安全】恶意文件的通知,我最近不知道是怎么了,偶尔就收到一两条,而且到服务器里面查看发现有没有这个恶意文件,可能是腾讯云主机的防御系统直接消灭了,不管怎么样收到这样的信息还是有些疑虑的 在 CentOS 系统下,/tmp 目录通常是用来存放临时文件的,默认情况下是开放的,任何用户都可以在其中创建和修改文件。这也就导致了/tmp 目录成为潜在的恶意文件入侵的目标。 PS:修改【/etc/fstab】文件有未知风险,小白请勿操作,大神随意!使用tmpfs文件系统tmpfs 是一个基于内存的文件系统,可以用来代替磁盘上的/tmp。 nosuid: 禁止设置文件的setuid和setgid权限。nodev: 不允许设备文件。noexec: 不允许执行任何二进制文件。relatime: 使用相对访问时间(适合用于/tmp目录)。 当然后续是否还会收到类似的恶意文件提示我们拭目以待吧,希望不再有,如果你有任何疑问或遇到问题,请随时查看系统日志以获取更多信息,如遇其他问题欢迎留言反馈~
1.8K10编辑于 2024-08-15 - 来自专栏betasec
入侵检测之sqlmap恶意流量分析
测试链接是否能够访问 判断操作系统版本 传递一个数组,尝试爆绝对路径 指定上传路径 使用lines terminated by 写入一个php文件,该php文件可以进行文件上传 尝试找到上传的文件的访问路径 ;直到找到正确的路径 通过上传的临时文件,尝试上传另外一个php文件, 该文件可以进行命令执行 尝试进行命令执行 echo command execution test 直接输入对应的命令即可 退出–os-shell , 该php文件可以进行文件上传, 它先传一个小马, 再传一个命令执行马, 其实是留了一手的, 避免命令马直接被杀掉 GET /Less-1/? , 就可以认定为是sqlmap上传的后门, 直接杀掉就好了 接着看一下命令执行的小马, 这个特征更加明显, 同一个文件中, 竟然出现了所有的命令执行函数, 不说出现所有的, 正常文件出现一个都不应该 , 一般被删除的命令马跟上传马在同级目录下, 且文件名默认都以tmpxxx.php命名, 溯源起来还是比较方便的, GET /Less-1/tmpbqsur.php?
1.6K10发布于 2021-09-02 - 来自专栏FreeBuf
新型恶意软件DecoyDog正大规模入侵DNS
安全厂商 Infoblox 的调查研究显示,一个名为 DecoyDog(诱饵狗)的复杂恶意工具包通过域名系统(DNS),从事网络间谍活动已达1年以上。 目前尚不清楚该恶意软件的幕后黑手是谁,但 Infoblox 的研究人员认为,有4个参与者正在利用和开发该恶意软件来进行具有高度针对性的操作。 Burton预估,目前被入侵设备的数量仅有几百台,表明目标非常小,是典型的情报行动。 在Infoblox披露DecoyDog后,该恶意软件开始增加地理围栏机制,限制控制器域对来自特定地区 IP 地址的 DNS 查询响应。 DecoyDog尚存诸多疑点 目前,DecoyDog仍然比较神秘,需要进行额外的研究来确定目标、初始入侵方法(例如供应链、已知漏洞、目标设备中的零日漏洞)以及是如何进入网络的。
56010编辑于 2023-08-08 - 来自专栏用户5909132的专栏
云查毒:避免恶意程序入侵的正确姿势
恶意肆虐如何防,病毒检测替您扛。 近日,腾讯云数据万象 CI 推出了云端病毒检测功能,针对上传到对象存储 COS 中的文件,利用先进的查毒引擎进行病毒扫描。 二、网络下载入侵 没办法,只好忍痛放弃“高速下载“,换成”普通下载“,看到这次的文件大小有100多MB,心里的石头稍稍落了地,等待两分钟后双击安装程序,打开首先发现桌面的右下角多出了一块小广告“超高爆率 的病毒检测功能目前支持的病毒类型有勒索病毒、感染型病毒、蠕虫病毒、后门木马、WebShell 木马、挖矿木马、漏洞利用程序、广告软件、黑客工具、风险程序、外挂辅助木马、宏病毒、木马病毒等多种病毒的检测与识别,自动为您规避恶意程序入侵风险 <Region>.myqcloud.com/virus/detect/<jobId>" -k 获取到结果后,您可以根据返回的结果进行相应处置,可以看到示例中的文件“打地鼠.exe”是含有病毒的恶意程序, 当然,您也可以直接访问我们的数据万象体验馆进行体验,体验链接:https://cloud.tencent.com/act/pro/ciExhibition 避免恶意程序的入侵,腾讯云云查毒—病毒检测为您的网络安全保驾护航
97840编辑于 2022-01-10 - 来自专栏腾讯云存储
云查毒:避免恶意程序入侵的正确姿势
恶意肆虐如何防,病毒检测替您扛。 近日,腾讯云数据万象 CI 推出了云端病毒检测功能,针对上传到对象存储 COS 中的文件,利用先进的查毒引擎进行病毒扫描。 二、网络下载入侵 没办法,只好忍痛放弃“高速下载“,换成”普通下载“,看到这次的文件大小有100多MB,心里的石头稍稍落了地,等待两分钟后双击安装程序,打开首先发现桌面的右下角多出了一块小广告“超高爆率 的病毒检测功能目前支持的病毒类型有勒索病毒、感染型病毒、蠕虫病毒、后门木马、WebShell 木马、挖矿木马、漏洞利用程序、广告软件、黑客工具、风险程序、外挂辅助木马、宏病毒、木马病毒等多种病毒的检测与识别,自动为您规避恶意程序入侵风险 <Region>.myqcloud.com/virus/detect/<jobId>" -k 获取到结果后,您可以根据返回的结果进行相应处置,可以看到示例中的文件“打地鼠.exe”是含有病毒的恶意程序 病毒6小程序.png 当然,您也可以直接点击链接访问数据万象体验馆进行体验,体验链接:https://cloud.tencent.com/act/pro/ciExhibition 避免恶意程序的入侵
1.6K20编辑于 2022-01-08 - 来自专栏网络安全技术点滴分享
反无人机系统技术指南:防御恶意空中入侵
反无人机系统指南:防御恶意空中入侵无人机(UAV)正日益成为我们日常生活中的常见景象。这种增长主要受到生产成本下降和应用范围扩大的推动。 例如,无人机可以充当恶意Wi-Fi热点,利用社会工程学诱骗附近人员连接。无人机带来的安全风险无人机被用于恐怖袭击的威胁也已成为一个严重问题。包括炼油厂和其他工业设施在内的关键基础设施需要加强安全措施。 除了警报保护区域附近的空中入侵者外,反无人机系统还记录关键数据,如无人机的速度、移动方向、飞行高度和可能的无人机类型。 通过使用此类系统,可以保护人员的生命和健康,提高对空中威胁的响应速度,防止攻击或最小化无人机入侵的影响。在选择反无人机系统时,考虑目标区域的具体特征至关重要。
41410编辑于 2025-10-17 - 来自专栏网络安全攻防
MpCmdRun恶意文件下载
文章前言 Windows Defender是Windows 10系列自带的一款系统保护程序,可以对系统中的恶意程序、恶意行为进行查杀,与此同时,我们可以使用Windows Defender自带的命令执行工具 "MpCmdRun.exe"来实现远程下载恶意文件的目的,但是免杀好像还是不太可靠,不过我们可以在cmd中关闭Windows Defender,所以这样一来,一结合就变得有意思多了,不管在使用该思路的过程中还需要权限提升 ,但是CS因为在后渗透测试中有很好的辅助功能,所以总体来说还是划算的~ 具体实现 Step 1:在cobaltstrike中生成恶意攻击载荷 ? Step 3:在目标主机上使用Windows Defender自带的MpCmdRun.exe程序下载恶意文件 "C:\ProgramData\Microsoft\Windows Defender\Platform Step 4:之后执行恶意文件,可以看到在CS中成功上线 ?
96320发布于 2021-07-21 守护云端堡垒:主机安全恶意软件与入侵检测全解析
然而,这片数字疆域并非净土,恶意软件与黑客入侵如同暗处的毒蛇与窃贼,时刻威胁着企业的命脉。从悄无声息植入的挖矿木马、到加密勒索的病毒,再到利用漏洞发起的精准渗透,安全防护已从“可选项”变为“生存线”。 二、入侵检测:对抗黑客的“智能哨兵” 如果说恶意软件是静态的“毒”,那么黑客的入侵行为就是动态的“刀”。 支持全面的漏洞检测、CIS/等保基线、多维度入侵检测(恶意请求、高危命令、本地提权等)及更完整的资产指纹管理。 旗舰版 180元 企业级防护。 在专业版基础上,增加安全预警大屏、恶意文件自动隔离、勒索防御(备份与还原)、核心文件监控、AI应用基线及更深度的事件调查与自动响应能力。 五、结语 服务器安全无小事。 从精准查杀恶意软件到敏锐洞察入侵企图,它正成为万千企业云端服务器值得信赖的“守护神”。立即评估您的业务风险,选择合适的防护版本,为您的数字堡垒筑牢智能防线。
14710编辑于 2026-03-13全面解析主机安全:腾讯云如何抵御恶意软件与入侵威胁?
摘要 随着数字化转型加速,企业服务器面临日益严峻的恶意软件攻击与入侵风险。本文基于腾讯云主机安全产品,从功能特性、应用场景到价格策略,深度解析其如何为企业构建全方位防护体系。 传统安全方案因依赖静态规则、难以应对新型攻击(如无文件攻击、内存马)等问题,亟需智能化升级。 技术亮点 适用场景 恶意文件查杀 基于百亿恶意样本库,集成TAV引擎+Webshell沙箱检测,支持Linux/Windows双系统 挖矿木马、勒索病毒查杀 入侵防御 实时拦截暴力破解、SQL注入、反弹Shell等20 专业版 旗舰版 资产指纹 10类 16类 漏洞修复 系统+Web +容器镜像 入侵防御
32110编辑于 2025-10-14- 来自专栏ops技术分享
文件服务器入侵排查
起因: 早上10点半,在查看资源服务器的文件目录时,发现多了一个pc.php,问了一圈发现没人知道这个文件。 查看/tmp目录也发现很多奇怪的文件。通过删除这些东西和重做系统解决,这次危害较小,没有控制其它机器,因为无法登陆,对方也没有提权到root登陆系统做更大危害,但也要注重安全。
4.6K20发布于 2021-05-27 - 来自专栏kali blog
对恶意PDF文件的取证
如下图,攻击者通常会在邮件中,发送带有恶意代码的附件。 带有恶意代码的PDF文件 作为普通用户,我们怎样识别附件是否为恶意附件呢?这里为大家分享一款恶意PDF检测工具pdfid,使用也很简单。 pdfid xxx.pdf 如果一个PDF文件没有xref或者trailer关键字段,那么可以确定它不是恶意的PDF文件。 同时,JS与JavaScript指明PDF文件中含嵌有JavaScript代码。通常恶意的PDF文件都嵌套有JavaScript代码。这也是判断是否为恶意文件的重要依据。 总结 如果一个PDF文件包含有AA或OpenAction自动执行动作的关键字段,而且含有JavaScript代码,那么这个PDF文件就极有可能是恶意的PDF文件。 除了上面的判断方法之外,我们可以利用PDFParser这款工具来查看pdf中的恶意代码。 pdf-parser template.pdf 恶意代码的调用 因此,作为普通用户。
43210编辑于 2025-07-28 - 来自专栏一己之见安全团队
应急响应篇——恶意文件分析
恶意文件分析在应急响应中也是十分重要的一环,up把恶意文件分析分为两个大类来讲。 一、常见病毒木马样本分析 这类简而言之,那就是市面上拥有姓名的病毒or木马文件,什么老一辈的灰鸽子啊,现在新型的银狐,还有Windows提权的土豆家族这种,最简单的方式就是放入云沙箱一查杀,底细十分清楚 到这一步就已经知道恶意文件具有什么样的特殊功能了,就拿土豆来说,提权利用的也是Windows操作系统的底层漏洞,对相应位置进行做修补填补等紧急措施就可以了。 外附——上传了黑客工具 其他类型的木马可能有修改注册表或者上传了恶意工具的,我放在这里讲,红队嘛,或者黑客,只拿下了某台服务器一定不是最终目的黑客上传的工具也是恶意文件分析的一环,因为从他上传的工具以及跑工具的结果就能推测出目前的一个形式 毕竟也要与时俱进,很多培训课程可能更倾向于让大家从头排查到尾一点不落,当然,时间充足的情况下当然是越细致越好,但就实际情况来看应急本来就是很紧急且仓促的一件事情,对恶意文件的分析是较为后面的事情了,紧急处理完
94710编辑于 2024-06-17 - 来自专栏betasec
初识(fileless malware)无文件非恶意软件
本文作者:Twe1ve(贝塔安全实验室-核心成员) 0x00、什么是无文件非恶意软件 区别于传统的基于文件的攻击,无文件非恶意软件攻击在内存中运行,不需要利用可执行文件就能达到攻击的目的。 1) 、隐秘性高:无文件非恶意软件使用的是合法工具,所以几乎不会出现无文件非恶意软件被**加入黑名单从而导致不能使用的情况。 ) 0x02.1.2、使用 powershell 作为无文件非恶意软件的优点 除了满足上面三点无文件非恶意软件流行的原因,使用 powershell 作为无文件非恶意软件还有如下优点: 1) 、易于混淆 没有.NET,就没有 PowerShell 0x02.3.2、使用.NET 作为无文件非恶意软件的优点 除了满足上面三点无文件非恶意软件流行的原因,使用.NET 作为无文件非恶意软件还有如下优点: 1 宏是一系列命令和指令,您可以将它们组合为一个命令以自动完成任务 0x02.4.2、使用宏作为无文件非恶意软件的优点 除了满足上面三点无文件非恶意软件流行的原因 ,使用宏作为无文件非恶意软件攻击还有如下优点
1.6K10发布于 2020-07-31 - 来自专栏FreeBuf
fireELF:无文件Linux恶意代码框架
fireELF是一个开源的跨平台无文件Linux恶意代码框架,它允许用户轻松的创建和管理payloads。 默认情况下附带了'memfd_create',这是一种从内存中完全运行linux elf可执行文件的新方法。 截图 ? ? payloads能够缩小payloads 能够通过将payloads上传到pastebin来缩小payloads,然后创建一个与python <= 2.7兼容的非常小的stager 输出已创建的payloads到文件 能够从URL或本地二进制文件创建payloads 包含的 payload memfd_create 这是一个linux系统的底层调用函数,它在内核3.17中引入,会创建一个匿名文件并返回一个文件描述符指向它 ,该文件表现和常规文件类同, 可以进行修改,截断,内存映射等等,但不同的是,它存在于RAM当中。
1.4K10发布于 2019-05-17 - 来自专栏Python和安全那些事
恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击)
这篇文章将翻译一篇LNK文件发起的恶意攻击,主要是LNK文件伪装成证书执行RokRAT恶意软件,并利用Powershell命令发起无文件攻击和执行相关行为。基础性技术文章,希望您喜欢! 受感染的文本编辑器notepad++ [译文] 恶意代码分析:2.LNK文件伪装成证书传播RokRAT恶意软件(含无文件攻击) 声明:本人坚决反对利用工具或渗透技术进行犯罪的行为,一切犯罪行为必将受到严惩 :RedEyes (ScarCruft) 这种类型的恶意软件有一个显著特点:它在LNK文件中包含了合法的文档文件、脚本代码和恶意PE数据。 RokRAT恶意软件的简化操作过程如下所示,是一种比较常见的LNK攻击: 通过Email发起鱼叉式钓鱼攻击,包括恶意LNK文件(可执行Powershell) 整个LNK文件包含:正常PDF文件、viwer.dat 该恶意软件根据威胁行为体(behaviors)或攻击者的命令可以执行的恶意行为包括: 执行cmd命令 收集目录信息 删除启动项文件夹中的特定文件(包括VBS、CMD、BAT和LNK扩展名) 收集启动文件夹列表
88710编辑于 2024-05-17 - 来自专栏Bypass
如何从Docker镜像中提取恶意文件
当发生容器安全事件时,需要从容器或镜像中提取恶意文件进行分析和处理。 本文主要介绍3种常见的方法: (1) 从运行的容器中复制文件 首先,需要从镜像运行启动一个容器,然后,使用docker cp命令从容器中提取文件到宿主机。 将镜像保存为tar文件,解压tar镜像文件到宿主机,从分层目录找到目标文件。 docker文件系统是分层的,镜像在宿主机上有自己的文件系统,可以通过docker inspect 快速定位容器文件系统在宿主机上对应的目录,直接从宿主机上获取目标文件。 事实上,这也是最简单最安全的提取恶意文件的方式。
1.1K20编辑于 2023-09-12 - 来自专栏FreeBuf
抵御无文件型恶意软件的那些事儿
前言 目前,针对企业环境的无文件型恶意软件威胁正在日趋增长。 无文件型恶意软件所使用的代码不需要驻留在目标Windows设备上,而普通的Windows安装程序涉及到很多的东西:PowerShell、WMI、VB、注册表键和.NET框架等等,但对于无文件型恶意软件来说 鉴于这类日趋严重的安全威胁,安全团队可以做些什么来保护他们的组织抵御无文件型恶意软件呢? 因为很多无文件型恶意软件攻击都是通过一封简单的网络钓鱼邮件开始的,因此这样的安全培训或操作方案是非常重要的。 更新访问权限和特权账号 组织应该了解无文件型恶意软件的攻击机制,因为就算你点击了一封邮件中的恶意附件,也并不意味着你的电脑就会立即感染恶意软件。
87230发布于 2019-05-16 - 来自专栏技术大杂烩
【AI】恶意文件静态检测模型检验及小结
前言 在之前的博文 【AI】浅析恶意文件静态检测及部分问题解决思路 中,博主提及过恶意文件静态检测的一种方法,并因此训练了模型,由于样本量巨大以及资源有限,训练一个 epoch 就需要一周多的时间,因此就先拿训练过一个 pd.merge(new_sample_df, label_df, on="sha256") 这里的话,根据入库时间进行拉取,选取 2022-12-01 之后入库的样本: 因为这里只需要 exe 类型的文件 batch 的损失,loss.item() 每个样本的平均损失 running_loss += loss.item() * label.size(0) 因为是检验模型,我们需要去评价模型的好坏,判断是否为恶意文件其实就是个二分类问题 后记 以上就是 【AI】恶意文件静态检测模型检验及小结 的全部内容了。 本文介绍了拉取数据集的一些小细节,以及如何对模型进行检验,排查相关问题,希望对大家有所帮助!
45140编辑于 2023-08-30 - 来自专栏FreeBuf
新的 PyPI 包提供无文件 Linux 恶意软件
但经过仔细分析观察,该软件包在用户 Linux 机器上暗中运行加密矿工(直接从用户的 RAM 中),这种技术主要由无文件的恶意软件和加密器采用。 该软件包可以从远程服务器获取 Linux 可执行文件并执行,以将 ELF 文件(“memfd”)直接放入内存中,它是一个可能通过“memfd_create”系统调用创建的门罗币加密矿工。 研究人员发现了其它恶意软件包 研究人员发现,“像 memfd_create”这样的 Linux 系统调用使程序员能够在 RAM 中投放 “匿名 ”文件,而不是将文件写入磁盘。 这种情况跳过了将恶意文件输出到硬盘的中间步骤,因此防病毒产品可能并不容易主动捕获到还驻留在系统易失性内存中的无文件恶意软件。 值得一提的是,几天前,Check Point 研究人员在 Python 包索引 (PyPI) 上发现了另外十个恶意包,这些软件包安装了信息窃取程序,允许攻击者窃取开发人员的私人数据和个人凭据。
1.2K10编辑于 2023-03-30
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号