| ID | Name |
|---|---|
| T1059.001 | 内存驻留无文件执行 |
| T1059.002 | 合法系统工具链式调用 |
| T1059.003 | 动态代码混淆与反射加载 |
| T1059.004 | 低频时序触发型脚本执行 |
| T1059.005 | 跨进程注入式解释器劫持 |
内存驻留无文件执行(Fileless In-Memory Execution)是一种通过完全在内存中加载和执行恶意代码的隐蔽攻击技术。该技术利用系统内置解释器(如PowerShell、Python)的运行时环境,直接将加密或编码的脚本载荷注入内存执行,避免在磁盘留存可检测的恶意文件。攻击者通过进程空心化、内存映射文件或反射式加载等技术,将恶意指令转化为解释器可识别的字节流,实现零接触文件系统的攻击闭环。
该技术的匿迹核心在于消除传统恶意软件的文件特征和磁盘I/O痕迹。通过利用合法解释器的内存操作接口,攻击载荷以加密形态存在于网络传输过程,在内存解密后直接注入解释器进程。执行过程中,恶意代码不生成磁盘文件或注册表项,规避基于文件特征扫描的检测机制。同时,攻击者通过进程伪装(如将恶意PowerShell实例命名为系统管理进程)和内存地址随机化技术,干扰动态行为分析。内存驻留机制还可与进程迁移技术结合,在父进程终止后将代码注入新创建的合法进程,形成持续性内存威胁。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon