无文件进犯是当时较为常见的一种进犯手法，歹意软件经过其payload来躲避检测，而无需在磁盘上编写可履行文件。无文件履行最常见的技能之一是代码注入——进犯者不需要直接履行歹意软件，而是将歹意软件代码注入另一个进程的内存中去履行。
PowerShell在一切Windows 7及以上的版别中都含有，而且支撑的特性非常多，因而PowerShell已经成为进犯者最常运用的东西之一。FireEye曾经在多个陈述中提及过PowerShell用于歹意软件初始传递期间或后缝隙运用阶段的业绩。运用PowerShell，进犯者能方便地与其他Windows组件进行交互，从而隐秘快速地履行他们的活动。
本篇文章讨论的是在2019年2月调查到的垂钓活动。它是一场无文件感染进犯，进犯者运用VBScript、PowerShell和.NET framework，运用process hollowing技能履行了代码注入进犯。经过运用.NET程序 *** 被直接加载到PowerShell内存中这一功能来履行歹意代码，而无需在磁盘上创立PE文件。
总结
图1展现了此次进犯中运用的垂钓邮件，其内容是诱导用户翻开存储在Google Drive上的文档。文件的称号标明参与者的方针是航空人员。咱们注意到越来越多的进犯者挑选运用云文件存储服务，为的是绕过防火墙约束来承载其payload。

图1.保管在Google Drive上的歹意脚本
图2展现了翻开脚本时Internet Explorer宣布的正告音讯，说无法验证发布者。但依据咱们的经历，许多用户会疏忽正告并翻开文档。

图2.Internet Explorer提示正告
履行期间。经过多层混杂之后，一个PowerShell脚本将被履行，该脚本会从长途URL加载. net程序集，并运用这些函数将终究payload(NETWIRE Trojan)注入到运用了process hollowing的良性Microsoft可履行文件中。这项动作是有或许绕过应用程序白名单的，因为进犯期间生成的一切进程都是合法的Microsoft可履行程序。
技能细节
初始文档里含有VBScript代码。当用户翻开它时，iexplore会生成Wscript来履行此文件。该脚本运用了多层混杂来绕过静态扫描器，并终究运转一个PowerShell脚原本履行二进制payload。
图3和图4展现了在不同等级的脚本履行期间运用的混杂技能。

图3.之一类混杂技能，它运用log函数来解析宽字符

图4.第二类混杂技能，它运用切割和替换操作
然后，此脚本从paste.ee处下载一个编码的.vbs脚本并履行，如图5所示。Paste.ee是对Pastebin的一种较低标准的代替计划，咱们在之前的许多进犯事情中也调查到过进犯者运用Paste.ee来承载其payload的事例。因为网站运用的是TLS（传输层安全协议），大多数防火墙解决计划无法检测经过 *** 下载的歹意内容。

图5.下载第二阶段脚本并创立调度使命
该脚本会将本身复制到Appdata / Roaming，并运用schtasks.exe创立一个VBScript的计划使命（每15分钟运转一次）来完成持久性。
在对下载的第二阶段VBScript进行进一步去混杂之后，咱们获得了经过shell目标履行的PowerShell脚本，如图6所示。

图6.去混杂的PowerShell脚本
该PowerShell脚本会从paste.ee上下载两个Base64编码的payload，payload里包含了二进制可履行文件。文件中的字符串将被存储为PowerShell脚本变量，而且不在磁盘上创立任何文件。
微软在PowerShell中供给了多种与.NET framework交互的办法，用户能够经过自定义开发的办法来增进这种交互。因为传统安全监督东西在.NET进程运转时，对其行为的可见性是有限的，因而运用PowerShell与.NET的集成对进犯者而言非常具有吸引力。出于这个原因，比如CobaltStrike和Metasploit之类的缝隙运用结构能够挑选在.NET汇编代码中生成它们的植入。
在此例中，进犯者运用了System.Reflection.Assembly .NET Framework类中的Load办法。将程序集作为System.Reflection.Assembly的实例加载后，能够经过这个类似于C＃目标拜访成员，如图7所示。

图7：格式化的PowerShell代码
这段代码会标识核算机上已装置的.NET版别，并用它动态解析. net装置文件夹的途径。解码的dropper程序集作为参数传递给Load办法，生成的类实例将被存储为一个变量。
经过此变量能拜访dropper的目标并调用办法R。.NET dropper的办法R担任履行终究的payload。
以下是办法R的参数：
· InstallUtil.exe（或其他.NET framework东西）的途径
· 解码的NETWIRE木马
当咱们调查进犯期间发生的进程列表时（图8），并没有看到payload成为一个独自的进程。

[1] [2]  黑客接单网