无文件攻击不再隐形，Trellix NDR + Wise 揭示攻击路径并引导修复

无文件横向移动，隐藏于系统信任之中的威胁

网络攻击者的战术不断演变，试图绕过安全供应商的防护。如今的攻击者不再依赖传统的恶意软件，而是以“无文件”方式，利用受信任的系统组件，在网络中横向移动。其中，滥用 Windows SCM（Service Control Manager，服务控制管理器）就是一种极其隐蔽的技术。攻击者可以通过内置API（例如ChangeServiceConfigA）远程修改服务配置，在不向磁盘写入任何文件的情况下，执行恶意负载。这种无文件横向移动，用传统的、仅监控终端或文件的安全解决方案很难检测到。攻击者可能使用有效凭证、避免写入磁盘，并伪装成正常的管理行为，使其操作看起来毫无异常。

接下来介绍一个真实案例：攻击者使用 SCShell 工具或 Windows命令（如 sc.exe）入侵目标主机，并在网络中悄无声息地横向移动。这种方法突显了攻击者越来越倾向于利用可靠工具实施攻击，类似于攻击乌克兰基础设施时所采用的 Living-off-the-land 策略。

还探讨 Trellix NDR（NetworkDetection and Response，网络检测与响应）是如何发现这些隐秘攻击的。

终端之外的战场，网络层级的威胁检测与响应

当您已修补了终端漏洞，安装了杀毒软件，也部署了XDR（extended detection and response，扩展检测与响应）来监控可疑文件。但如果攻击者不使用任何文件呢？攻击者仅利用系统中已有的合法工具和网络路径进行渗透呢？

攻击者绕过传统防护机制，利用 Windows SCM 在远程电脑上悄悄执行命令。没有文件，没有恶意载荷（Payload），仅凭几次网络调用，攻击者就可能完全控制目标系统。这时候，您应该使用Trellix NDR了。

Trellix NDR 不会坐等恶意软件入侵磁盘，而是直接监控网络本身。即使是无文件攻击，也会在网络中留下痕迹。Trellix NDR 可以检测到异常的流量模式、配置错误的服务、可疑的横向移动行为。尤其是当这些攻击来自低权限系统，并试图入侵 Active Directory 或域控制器等高价值资产时。Trellix NDR 不依赖终端来告诉您发生了什么，而是主动发现攻击者用来移动、提升权限和扩散的隐秘路径。

滥用不安全的服务权限，为无文件横向移动打开大门

Windows Services 是用于管理长时间运行的可执行应用程序的重要组件。为了确保服务的正常控制与安全性，每个服务都受到ACL（access control lists，访问控制列表）的约束，规定了哪些用户可以与其配置进行交互。然而，如果这些权限设置过于宽泛或配置错误，就可能为攻击者提供可乘之机。在某些环境中，如果非特权用户或组（如“Authenticated Users 已验证用户”）拥有可修改服务配置的权限，攻击者就可以利用这些错误配置远程更改服务行为。如果该服务由高权限帐户（如 LocalSystem）运行，则风险会加剧。任何对其可执行路径的更改，都可能导致以高权限执行恶意代码。

MITRE ATT&CK Enterprise框架把权限设置不当的问题归类为以下几种类型：

• 具有不安全二进制路径的服务，例如包含空格的未加引号的路径。
• 允许非管理员用户写入可执行文件或目录的服务。
• 允许未经授权的配置更改的服务，例如 binPath。

图1：不安全或薄弱的服务权限技术

服务配置薄弱通常是由于默认设置或第三方应用程序安装管理不当造成的。将SERVICE_CHANGE_CONFIG 或 SERVICE_ALL_ACCESS 权限授予范围过广的用户组（如“Authenticated Users 已验证用户”）是一个常见错误，因为这使攻击者能够更改服务的执行方式和内容。服务可执行文件的二进制路径（binPath）是最常被滥用的控制项。攻击者可以将其替换为自己控制的命令或脚本，从而劫持下一次服务启动流程，在不向磁盘写入任何文件的情况下，以 SYSTEM 级权限执行恶意载荷。

实际执行步骤如下：

攻击者在使用有效凭证获得初始访问权限后，通常会执行以下步骤：

• 发现（Discovery）：使用Sysinternals工具（如accesschk.exe），识别哪些服务允许非管理员用户修改配置。

图2：检查服务权限

• 访问（Access）：攻击者使用 RPC（Remote Procedure Call，远程过程调用）连接到目标机器的 SCM。
• 枚举（Enumeration）：攻击者使用 QueryServiceConfig() 或类似的调用读取服务详细信息。
• 滥用（Abuse）：通过 ChangeServiceConfig() 将 binPath 重定向为攻击者控制的命令，例如创建新的管理员帐户或运行反向 shell。
• 执行（Execution）：当服务被重新启动，例如通过 StartServiceA()，该命令会悄无声息地执行，通常不会触发任何警报。

值得注意的是，该方法无需文件，无需更改二进制文件或注册表项。整个执行流程完全依赖于 Windows 功能，很难被传统的终端检测响应（EDR）或杀毒软件（AV）检测到。

攻击者利用服务注册表项的权限配置缺陷（T1574.011），劫持执行流程

图 3 展示了一个横向移动攻击场景。设想某企业中，一名用户成为钓鱼邮件或被入侵网站的受害者。攻击者借此建立初始据点，并开始探测内部网络。掌握了收集到的凭证后，他们会寻找运行在高权限帐户下、可被利用的服务。

图3：攻击流程

Accesschk.exe 是 Sysinternals 的一款工具，配合 Windows 命令如 sc.exe，可以帮助您枚举系统中的服务并检查其权限配置，如图 4 和图 5 所示。如果某个服务允许“Authenticated Users（已验证用户）” 组更改其配置，它就很容易因配置不当而成为攻击目标。例如，攻击者可能会发现某个服务在高权限的 LocalSystem 帐户下运行，但却拥有过于宽松的访问权限。

图4：枚举服务权限

图5：检查服务配置

SCShell 利用相同的ChangeServiceConfigAAPI，悄无声息地更改服务路径，将某个命令指定为新的可执行文件。修改命令后，只需简单的服务重启即可激活该命令。即使该可执行文件不是有效的服务二进制文件，Windows 仍会尝试运行它。虽然可能会抛出错误，但攻击者的代码仍然会执行，从而达到预期的效果。

图6：ChangeServiceConfig参数

一旦攻击者通过权限提升获得了对受害系统的 SYSTEM 级访问权限，他们就可以使用 lsa_dump_sam 模块转储本地 SAM 数据库。如图 7 所示，这种技术会暴露敏感的帐户信息，包括默认用户和手动创建用户的 NTLM 哈希值。这些凭证可用于“哈希传递”（Pass-the-Hash，PtH）攻击，在无需破解密码的情况下实现网络身份验证。当这些哈希值与工具（如 SCShell）结合使用时，如图 8 所示，攻击者可以远程滥用其他系统上的服务权限，仅凭这些收集到的哈希值，通过内置的 Windows 功能实现横向移动。

图7：受害者主机上权限提升后的 NTLM 凭证转储

图8：使用 SCShell 枚举服务配置

如图 9 和图 10 所示，Xbox Live Auth Manager 服务通过 Windows Services 的 GUI 打开。该服务当前运行的是合法命令 svchost.exe，并带有 -k netsvcs 参数，路径位于 C:\Windows\System32\ 目录下。由于该二进制路径通常与系统进程相关联，常常因其合法性而被忽视。然而，如果该服务的权限允许非管理员帐户（例如“Authenticated Users 已验证用户”组）进行修改，攻击者就可以劫持该路径。通过识别运行在高权限帐户（如LocalSystem）下的服务，攻击者便为注入恶意命令奠定了基础。一旦服务重新启动，这些命令将以完整的系统权限执行。

图9：修改服务可执行路径，添加新的管理员用户

图10：劫持服务二进制路径，把用户添加到管理员组

如图 11 所示，当被篡改的服务重新启动时，Windows 会尝试执行其二进制路径中当前定义的命令，在本例中是通过 cmd.exe 添加一个新用户到管理员组的命令。从命令提示符的输出可以看出，该操作已成功执行，说明注入的恶意载荷已以完全权限运行。这进一步验证了二进制路径劫持如预期般生效，在没有触发杀毒软件警报或留下明显痕迹的情况下，攻击者获得了系统的高权限访问。

图11：执行恶意载荷并将攻击者添加到管理员组

图 12 展示了一个使用 SCShell 实现无文件横向移动的示例。在左侧，攻击者利用 SCShell 远程劫持目标机器上 XblAuthManager 服务的二进制路径。修改后的路径运行一个简单的无文件载荷：cmd.exe /c echo 'Trellix' > C:\Trellix.txt，该命令会将“Trellix” 写入系统上的一个新文本文件中。这是一种简单有效的方式，无需使用任何恶意软件即可实现命令执行。一旦载荷执行完毕，SCShell 会自动恢复服务的原始路径，将其还原为默认值（svchost.exe -k netsvcs），从而使攻击者不易被发现，避免在日志或后续审计中引起怀疑。在图片右侧，生成的文件（Trellix.txt）已出现在 C:\ 根目录，并在记事本中打开，确认该命令已以提升的权限执行。

图12：通过 SCShell 执行无文件载荷并自动恢复服务路径

从警报到修复，Trellix NDR 搭配 Wise 提升威胁检测与响应能力

图 13 展示了 Trellix NDR 控制台的截图，突出显示了由 无文件横向移动活动 引发的两个警报。这两个警报均与滥用 SCM 有关，SCM 是一种众所周知的技术，可在远程系统上执行命令而无需将载荷写入磁盘。警报列表中的每一行都包含可操作的元数据，便于分析人员迅速展开调查。例如，“Fileless Lateral Movement Using Service Manager（使用服务管理器进行无文件横向移动）”之类的警报名称直接指向所使用的技术。两个警报在 MITRE TTP 列中均被归类为“Create or ModifySystem Process（创建或修改系统进程）”，对应MITRE ATT&CK技术 T1543.003，该技术涉及服务执行滥用。源 IP 地址和目标 IP 地址表明两个内部系统之间存在横向活动。

图13：Trellix NDR Alert 视图，通过服务管理器检测无文件横向移动

Trellix NDR 搭配 由 AI 驱动的调查助手 Trellix Wise 来提升威胁检测与响应的能力。

Trellix Wise 能够自动化处理警报调查的多个环节，减少误报，加快安全团队的响应速度。通过这一集成，企业能够提高威胁检测的准确性，自动执行复杂任务，并专注于战略防御。Trellix Wise 为用户提供全面的信息，可查看多个模块，请见图 14 右侧：

• Summarize this alert（警报摘要）
• MITRE findings（MITRE分析结果）
• Remediation steps（修复步骤）
• Knowledge graph（知识图谱）

图14：Trellix Wise 视图总结了无文件服务管理器的利用情况

Summarize this alert（警报摘要）

图15：从检测到上下文，Trellix Wise 将无文件横向移动映射到 MITRE ATT&CK 框架

silent-pivot-trellix-ndr-detects-fileless-lateral-movement-15.jpg

（可点击放大查看）

MITRE findings（MITRE 分析结果）

提供了关于 MITRE ID、分类、相关策略的全面信息，还提供有关生成的警报的详细信息。

图16：基于 MITRE 框架的无文件横向移动尝试（通过 Windows Service）上下文分析

Remediation steps（修复步骤）

高级分析(Advanced analysis)模块生成可行的缓解与修复建议，关联威胁与漏洞，以识别潜在攻击路径，评估风险等级，并提供优先级排序的建议与修复措施。

图17：Trellix Wise 提供的修复措施

Knowledge graph（知识图谱）

可以把多个来源的数据转化为图谱，展示各个实体、其属性、它们之间的关系。在此过程中，所有环节都被关联起来，包括攻击者的 IP 地址、其活动的性质、Trellix 网络安全产品所生成的警报类型。

图18：Trellix Wise 中的端到端攻击链可视化

以上展示了攻击者如何利用合法机制（如 ChangeServiceConfigA 和远程服务操作）来执行恶意命令、创建高权限帐户，并在不接触磁盘的情况下实现横向移动。在这种情况下，安全可视化必须从终端延伸到网络层。这正是 Trellix NDR 大显身手的地方。

Trellix NDR 通过分析网络层的遥测数据，识别那些绕过终端控制和文件防御的横向移动行为。借助对资产行为的上下文洞察和近乎实时的异常活动关联分析，Trellix NDR 能够帮助安全团队发现无文件威胁。而 Trellix Wise 可以让调查更迅速、更智能，为每条警报提供上下文信息，包括 MITRE 技术映射、攻击链分析以及引导式修复建议。