在發(fā)生病毒感染事件之后，常見的安全修復(fù)策略常是刪除特定位置里面的病毒文件，并使用防毒軟件進(jìn)行全盤查殺。但如今，這個策略正在面臨失效的風(fēng)險，趨勢科技發(fā)現(xiàn)了一種無文件載體的惡意軟件，該軟件擺脫了傳統(tǒng)惡意軟件的安裝行為，使防毒軟件的文件監(jiān)測功能無法偵測到它們的存在。已經(jīng)有跡象表明越來越多的病毒采用這種方式來躲避查殺，趨勢科技建議企業(yè)與個人消費(fèi)者務(wù)必要關(guān)注此類防毒軟件的蔓延跡象，并采用行為監(jiān)控的方式來防范病毒威脅。

無文件惡意軟件肆虐 傳統(tǒng)防毒軟件喪失用武之地

如果將安全攻防當(dāng)做一場“見招拆招”的劍術(shù)比賽，那么無文件惡意軟件顯然已經(jīng)達(dá)到了“無招勝有招”的極高境界。與大多數(shù)惡意軟件不同，無文件惡意軟件并不會在目標(biāo)電腦的硬盤中留下蛛絲馬跡，而是針對傳統(tǒng)防毒軟件在掃描機(jī)制上的特點(diǎn)，直接將惡意代碼寫入內(nèi)存或注冊表中。由于沒有病毒文件，文件掃描程序很難掃描或偵測到它們的存在。“POWELIKS”即是一個無文件惡意軟件的例子，它可以利用另一個傳統(tǒng)惡意軟件將惡意程序代碼加入注冊表內(nèi)，從而將自己隱藏在防毒軟件的視線之外。

無文件惡意軟件的攻擊技術(shù)正在不斷精進(jìn)，在趨勢科技監(jiān)測到的另一個無文件惡意軟件“Phasebot”中，軟件除了會將惡意代碼寫入內(nèi)存以避免監(jiān)測之外，還加入了虛擬機(jī)偵測、外部模組載入等新功能。前者有利于惡意軟件更快速的在企業(yè)虛擬機(jī)中傳播，后者則支持黑客隨時在受感染電腦上新增或移除功能。而且，該惡意軟件更加強(qiáng)調(diào)隱蔽和躲避監(jiān)測的機(jī)制，每次連接C&C服務(wù)器時，它都會通過隨機(jī)密碼來加密其通訊鏈路。

趨勢科技(中國區(qū))技術(shù)總監(jiān)蔡昇欽指出：“Phasebot之所以能夠躲避安全軟件的偵測，一個重要原因是它利用了Windows 7及更新版本所自帶的Windows PowerShell工具，這本是正常的系統(tǒng)管理工具，但是Phasebot成功的利用該工具來執(zhí)行它隱藏在Windows注冊表內(nèi)的組件，很容易讓安全軟件誤以為這是一個正常的系統(tǒng)操作行為。”

當(dāng)無文件惡意軟件感染電腦之后，會執(zhí)行黑客的后續(xù)指令，如竊取用戶信息、綁架用戶電腦以執(zhí)行拒絕服務(wù)攻擊(DDoS)攻擊、自我更新、下載并執(zhí)行其它惡意程序等。而且，黑客還試圖在地下黑色市場銷售這些攻擊工具，這將導(dǎo)致更多的企業(yè)與個人用戶處于安全風(fēng)險之中。

趨勢科技建議用戶通過行為監(jiān)控來防范威脅

無文件惡意軟件的出現(xiàn)對于不熟悉此類病毒感染事件的用戶來說會造成嚴(yán)重的威脅。當(dāng)病毒感染事件發(fā)生之后，用戶往往被建議去尋找可疑的文件或文件夾，而非Windows注冊表這樣被無文件惡意軟件感染的地方。趨勢科技預(yù)計(jì)會有更多黑客會使用無文件攻擊技術(shù)，而且很有可能并不會局限在只用Windows注冊表隱藏惡意軟件。

無文件惡意軟件的發(fā)展讓那些嚴(yán)重依賴于惡意文件偵測的廠商面臨嚴(yán)峻的挑戰(zhàn)，安全廠商將不得不加緊腳步，跳出傳統(tǒng)基于文件的偵測模式，采用新的安全防護(hù)手段。蔡昇欽表示：“要想成功防范無文件惡意軟件的安全威脅，關(guān)鍵之處在于通過行為監(jiān)控的方式，檢查整個文件結(jié)構(gòu)、尋找篡改和惡意代碼注入的跡象，實(shí)現(xiàn)有效地偵測和阻斷。”

個人消費(fèi)者可以使用趨勢科技PC-cillin 2015云安全版來防范無文件惡意軟件的威脅，PC-cillin 2015云安全版具備行為監(jiān)控功能，可以持續(xù)偵測軟件的惡意行為，并在惡意行為執(zhí)行前就先封鎖惡意軟件，甚至可以在病毒碼更新之前就提供充足的防護(hù)能力。

對于企業(yè)用戶來說，趨勢科技建議部署OfficeScan 、Worry-Free Business Security等終端安全防護(hù)軟件或本地支持SPN的深度威脅發(fā)現(xiàn)平臺(Deep Discovery，DD)，這些產(chǎn)品可以在利用沙盒模擬、事件關(guān)聯(lián)等功能發(fā)掘隱秘的攻擊行動，在對系統(tǒng)的實(shí)時監(jiān)控中發(fā)現(xiàn)惡意行為，阻止惡意軟件進(jìn)入到企業(yè)網(wǎng)絡(luò)。

當(dāng)然，在采取安全防護(hù)措施的同時，用戶還需要關(guān)注網(wǎng)絡(luò)環(huán)境的安全性，并養(yǎng)成良好的安全習(xí)慣。例如，用戶在處理電子郵件、打開文件或網(wǎng)址時都要保持謹(jǐn)慎，必須再三確認(rèn)這些文件或鏈接是否安全，以免被不法分子找到可乘之機(jī)。