无文件存储

对手可能会将数据存储在“无文件”格式中，以隐藏恶意活动免受防御措施的检测。无文件存储可以广泛定义为任何文件以外的格式。Windows系统中常见的非易失性无文件存储示例包括Windows注册表、事件日志或WMI存储库。(引用: Microsoft Fileless)(引用: SecureList Fileless) 在Linux系统中，共享内存目录如/dev/shm、/run/shm、/var/run和/var/lock也可以被视为无文件存储，因为写入这些目录的文件直接映射到RAM而不是存储在磁盘上。(引用: Elastic Binary Executed from Shared Memory Directory)(引用: Akami Frog4Shell 2024)(引用: Aquasec Muhstik Malware 2024) 类似于无文件内存行为（如反射代码加载和进程注入），无文件数据存储可能不会被只能访问特定磁盘存储文件格式的防病毒和其他端点安全工具检测到。利用无文件存储还可以使对手绕过Linux中只读文件系统提供的保护。(引用: Sysdig Fileless Malware 23022) 对手可能会使用无文件存储来隐藏各种类型的存储数据，包括负载/外壳代码（可能用于持久性）和尚未从受害者处外传的收集数据（例如，本地数据暂存）。对手还经常在存储时加密、编码、拼接或以其他方式混淆这些无文件数据。 某些形式的无文件存储活动可能会间接在文件系统中创建工件，但以中央和其他难以检查的格式存在，例如WMI（例如，%SystemRoot%\System32\Wbem\Repository）或注册表（例如，%SystemRoot%\System32\Config）物理文件。(引用: Microsoft Fileless)