近年來，一種被稱為無文件攻擊的滲透形式與日俱增，逐漸引起人們重視。這類攻擊從2016年初的3%上升到了2018年11月的13%， 并且還在持續(xù)增長，知名安全公司Carbon Black對超過1000名用戶（擁有超過250萬個包括服務(wù)器和PC在內(nèi)的主機）進行分析后發(fā)現(xiàn)，幾乎每個組織都遭到了無文件攻擊。平均每3個感染中就有1個是無文件攻擊造成的。早在2017年4月，黑客通過新型惡意軟件 “ATMitch”，以“無文件攻擊”方式，一夜劫持俄羅斯8臺ATM機，竊走80萬美元。在今年年初，全球40個國家的140多家包括銀行、電信和政府機構(gòu)等組織遭到 “ATMitch”無文件攻擊，感染機構(gòu)遍布美國、法國、厄瓜多爾、肯尼亞、英國和俄羅斯等國家。在全球經(jīng)濟和網(wǎng)絡(luò)一體化的時代，中國用戶同樣不能幸免。據(jù)悉，國內(nèi)54%的公司經(jīng)歷過1次或多次破壞了數(shù)據(jù)或基礎(chǔ)設(shè)施的成功攻擊，其中77%的攻擊利用了漏洞或無文件攻擊。

1. 首先，挖礦模塊啟動，持續(xù)進行挖礦。
2. 其次，Minikatz模塊對目的主機進行SMB爆破，獲取NTLMv2數(shù)據(jù)。
3. 然后，WMIExec使用NTLMv2繞過哈希認(rèn)證，進行遠程執(zhí)行操作，攻擊成功則執(zhí)行shellcode使病原體再復(fù)制一份到目的主機并使之運行起來，流程結(jié)束。