Page2執(zhí)行體與攻擊技戰(zhàn)術(shù)的全頻譜相關(guān)執(zhí)行體分類與文件格式執(zhí)行體分類與文件格式高級(jí)持續(xù)性威脅中的執(zhí)行體案例多種格式執(zhí)行體的協(xié)同作業(yè)執(zhí)行體分類Page5Page6安天AVLSDK引擎文件格式劃分分類分類(中文)數(shù)量(包含小版本)格式列表軟件數(shù)據(jù)類SoftData/Microsoft.OTF[:FontfileOpenType]SoftData/Microsoft.ANI[:WindowsAnimatedCursor]SoftData/UltraEdit.UEW[:Wordfile]TextText/W3C.XMLText/W3C.CSSText/PGP.PKR[:Publickeyblock]可執(zhí)行文件類BinExecute/Apple.IOS[:IPhone]BinExecute/Python.PYC[:v2.1bytecode]BinExecute/Apple.MAGIC[:X86]Archive包裹類Archive/Microsoft.EX_[:SZDD]Archive/ALZip.ALZArchive/OpenDarwin.XAR[:eXtensibleARchiver]Document/Ichitaro.JTD[:Japan]Document/Hancom.HWP[:MSOffice]Document/Microsoft.XLSX[:Excel2007-2012]媒體類Media/Matroska.MKVMedia/Microsoft.WTV[:WindowsRecordedTVShow]Media/Microsoft.AVI[:AudioVideoInterleave]腳本類Script/Microsoft.AutoItScript/Microsoft.BATScript/Qt.QMLPicture/Microsoft.WMF[:WindowsMetafile]Picture/Flexera.HDR[:InstallShieldsetupheader]Picture/Apple.ICNS[:IconImage]Other7Other/Unknown.BLFOther/Unknown.TLB[:OLETypeLibrary]Other/Unknown.3TFPage8高級(jí)持續(xù)性威脅中依照?qǐng)?zhí)行依賴劃分的執(zhí)行體執(zhí)行體格式執(zhí)行依賴備注可執(zhí)行程序基礎(chǔ)軟件（操作系統(tǒng)）環(huán)境偽編譯程序基礎(chǔ)軟件（操作系統(tǒng)）環(huán)境系統(tǒng)腳本基礎(chǔ)軟件（操作系統(tǒng)）環(huán)境shell文件利用（TeamTNT）利用系統(tǒng)漏洞的執(zhí)行體基礎(chǔ)軟件（操作系統(tǒng)）環(huán)境漏洞利用本質(zhì)是對(duì)執(zhí)行依賴的破壞利用應(yīng)用軟件漏洞的執(zhí)行體應(yīng)用軟件環(huán)境應(yīng)用腳本應(yīng)用軟件環(huán)境AutoCAD-lisp腳本腳本類型與字節(jié)碼類型樓依賴于執(zhí)行環(huán)境字節(jié)碼應(yīng)用軟件環(huán)境Page9編譯的可執(zhí)行類執(zhí)行體——側(cè)加載利用（海蓮花）3FCA8F488E0D8D99CC0FD5F3A256259F00DD1CD189FD589BFACB6016622CB0文件名稱文件名稱文件大小文件大小文件格式文件格式病毒名稱Trojan[Loader]/Win32.OceanLotusPage10偽編譯程序——python編譯的exe文件（海淵）名稱大小21,504字節(jié)格式病毒名稱 Page11系統(tǒng)腳本類執(zhí)行體——shell文件利用（TeamTNT） Page11ADD5F824253DC9B2073C2951AFC4C5A1C491A19742C352B2C6221037DFA文件名稱grab_aws-data.sh文件名稱GRABBER_aws-cloud.sh文件大小文件大小文件格式Script/Linux.SH[:Sh文件格式Script/Linux.SH[:Sh病毒名稱病毒名稱Page12利用應(yīng)用軟件漏洞的執(zhí)行體——漏洞利用文檔（綠斑）5Page13D0CB6645E97CF8A574E34E3AE5126054文件名稱D0CB6645E97CF8A574E34E3AE5126054文件名稱文件大小文件格式病毒格式Page14高級(jí)持續(xù)性威脅中依照存儲(chǔ)位置劃分的執(zhí)行體執(zhí)行體存儲(chǔ)位置特點(diǎn)系統(tǒng)加載之前加載，難以發(fā)現(xiàn)和清除固件之后系統(tǒng)之前加載無實(shí)體攻擊常用，無法持久化存在磁盤文件注冊(cè)表利用(Poweliks)非常見腳本且自帶持久化能力Page15MD5文件大小文件格式病毒名稱固件類執(zhí)行體——nls933w.dll（EquationMD5文件大小文件格式病毒名稱1111FB08B9126CDB4668B3F5135CF7A6C5212,480212,480字節(jié)BinExecuteBinExecute/Microsoft.DLL[:X86]Trojan/Win32.EquationDrugTrojan/Win32.EquationDrug引導(dǎo)扇區(qū)類執(zhí)行體——DarkSeoul攻擊活動(dòng)Page17內(nèi)存類執(zhí)行體——內(nèi)存ShellcodePage18磁盤文件類執(zhí)行體——注冊(cè)表利用（Poweliks）代碼拆分且混淆存儲(chǔ)代碼拆分且混淆存儲(chǔ)Page20利用系統(tǒng)漏洞的執(zhí)行體——震網(wǎng)擺渡作業(yè)|LNK震網(wǎng)病毒利用lnk文件解析漏洞CVE編譯的可執(zhí)行程序——震網(wǎng)的簽名驅(qū)動(dòng)震網(wǎng)病毒以帶有簽名的驅(qū)動(dòng)作為持久化、防御規(guī)避和執(zhí)行入口Page22利用系統(tǒng)漏洞的執(zhí)行體——流量中的漏洞利用代碼Page23震網(wǎng)事件——多種格式執(zhí)行體的協(xié)同作業(yè)|PLC震網(wǎng)病毒以LNK等多種手段充當(dāng)執(zhí)行入口,最終利用step7工程庫文件Page25執(zhí)行體案例總結(jié)表執(zhí)行體形態(tài)與模式存在形式格式執(zhí)行環(huán)境/平臺(tái)加載來源例子相關(guān)攻擊組織攻擊事件Windows可執(zhí)行文件Windows驅(qū)動(dòng)程序文件腳本文件批處理文件AutoCAD插件宏引導(dǎo)記錄UEFI驅(qū)動(dòng)UEFI程序庫微碼PXE引導(dǎo)程序APK程序com.ss.android.ugc.aweme_23.9.0_Kimsuky組織使用移動(dòng)端惡意代碼針對(duì)韓國東亞研究所動(dòng)JAR程序海淵使用Python偽編譯的EXE文件攻擊工控P小程序WASM程序容器鏡像TeamTNT組織使用包含而惡意代碼的Docker鏡像SQL代碼SQL注入APT28、APT39在歷史攻擊活動(dòng)中使用SQL注入攻擊對(duì)目標(biāo)網(wǎng)DDE漏洞利用代碼安裝包蔓靈花APT組織針對(duì)國內(nèi)的攻擊活動(dòng)使用過MSI偽編譯可執(zhí)行文件海淵使用Python偽編譯的EXE文件攻擊工控PSNAP應(yīng)用eBPF程序裸機(jī)程序BadUSB非文件/嵌入式復(fù)合固件系統(tǒng)執(zhí)行固件極少數(shù)高級(jí)APT組織NSA水蝮蛇USB攻擊設(shè)備一句話木馬非文件/嵌入式文本應(yīng)用程序解釋執(zhí)行網(wǎng)絡(luò)絕大多數(shù)APT組織Kimsuky組織針對(duì)