黑客转向"无文件攻击"技术利用Windows内置工具绕过EDR防护

网络安全研究人员发现，网络犯罪分子已找到更有效的方法来入侵Windows计算机，同时规避安全软件的检测。

攻击手法升级：利用合法系统工具

安全专家Ivan Spiridonov观察到，黑客不再上传恶意工具，而是转而利用目标系统上已安装的合法Windows程序实施攻击，这种技术被称为"无文件攻击"（LOLBins，即Living Off the Land Binaries）。

与传统攻击依赖Mimikatz或PowerShell Empire等容易被终端检测与响应（EDR）解决方案发现的外部工具不同，这种新方法利用了微软签名的程序，如PowerShell、Windows管理规范（WMI）、Certutil和BitAdmin等。

为何此类攻击难以防范

这些工具之所以有效，是因为系统管理员每天都会使用它们进行合法工作，默认情况下受到安全软件的信任。攻击者利用这些合法程序实施恶意操作时，其活动会与正常管理操作无缝融合，若不进行复杂的行为分析几乎无法检测。

在一次安全评估中，红队操作员亲身体验了这种优势。当上传密码转储工具到Windows机器时，安全人员在15分钟内就检测并阻止了攻击。但仅使用Windows内置工具时，同一操作员维持了长达三周的访问权限，横向移动至15个不同系统，并在未触发任何安全警报的情况下窃取数据。

常见无文件攻击技术手段

攻击者利用各种原生Windows工具实现不同目标：

PowerShell：用于侦察和命令执行

WMI：实现远程系统查询和进程创建

计划任务：提供持久化访问而无需可疑可执行文件

Windows服务：获取系统级权限的长期访问

犯罪分子还使用Certutil下载文件，BitAdmin进行后台传输，DNS建立隐蔽隧道，甚至通过电子邮件应用程序外泄敏感信息。

防御面临的困境

安全团队面临近乎无解的挑战：他们不能简单阻止这些工具，因为IT人员依赖它们进行正常操作。禁用PowerShell会破坏自动化脚本，移除WMI将损害系统管理能力。这形成了根本性困境：允许这些工具意味着接受风险，阻止它们则会破坏正常业务功能。

防御策略转型

防御需要从基于签名的检测转向全面的日志记录和行为分析：

安全团队需要启用PowerShell脚本块日志记录、命令行审计、WMI活动监控，以及使用Sysmon等工具跟踪详细系统行为。防御者还应实施严格的应用程序白名单策略，监控异常进程关系，警惕管理工具的异常网络连接，并建立常规管理活动的基准线。

随着攻击者不断改进方法，组织必须超越简单的工具阻断，转而专注于检测表明系统遭入侵的可疑行为模式，无论攻击者滥用的是哪种合法应用程序。