我們一直都知道的惡意軟件攻擊是以一種形式寫入磁盤的文件，需要執(zhí)行以執(zhí)行其惡意范圍。另一方面，無文件惡意軟件僅用于駐留內(nèi)存，理想情況下在執(zhí)行后不留痕跡。惡意有效載荷動態(tài)地存在于RAM中，這意味著沒有任何東西直接寫入HD。

[[242420]]

惡意軟件攻擊是以一種形式寫入磁盤的文件

攻擊者的目的是使感染后的取證變得困難。此外，這種形式的攻擊使得防病毒幾乎不可能觸發(fā)檢測，在特定情況下，甚至檢索要分析的樣本的唯一方法是捕獲實時發(fā)生的攻擊。這是處理無文件惡意軟件時面臨的最大挑戰(zhàn)之一。

現(xiàn)在，無文件攻擊已經(jīng)不是新事件了，早在15年前的Lehigh病毒，它在其堆?？臻g中“填充主機(jī)文件代碼中未使用的部分，導(dǎo)致主機(jī)大小沒有增加。如果病毒在內(nèi)存中插入DOS磁盤，可以感染另一個COMMAND.COM文件。然而隨著時間的推移，用于實施這些攻擊的技術(shù)和工具變得越來越先進(jìn)，也使得無文件惡意軟件近年來受到安全專家的廣泛關(guān)注。

現(xiàn)階段，無文件惡意軟件諸如Poweliks之類的惡意軟件在注冊表中使用“NULL”Runkey(使內(nèi)容不可見)，運(yùn)行JavaScript并使用PowerShell運(yùn)行隱藏在注冊表中其他位置的編碼腳本。本質(zhì)上，有效負(fù)載存儲在注冊表中，僅在運(yùn)行時檢索，解碼和執(zhí)行;現(xiàn)代漏洞利用工具包，例如Magnitude EK，可以流式傳輸有效負(fù)載，并在不首先將其丟棄在磁盤上的情況下執(zhí)行;DNSMessenger等惡意軟件 從C2服務(wù)器檢索惡意PowerShell腳本;SamSam 將加密的惡意軟件負(fù)載寫入磁盤，并且只有在攻擊者手動運(yùn)行腳本并提供解密密碼時才會解密等仍然在運(yùn)行。

在網(wǎng)絡(luò)中記錄基于文件的惡意軟件可為SOC團(tuán)隊提供明確的審核起點，這些文件允許工程師跟蹤惡意軟件的來源，并且通?？梢郧宄亓私饩W(wǎng)絡(luò)是如何被破壞的。無論是通過電子郵件鏈接到惡意下載還是網(wǎng)站泄露，擁有文件歷史記錄都能提供干凈的時間表，最終使網(wǎng)絡(luò)工作變得更加輕松。

將無文件惡意軟件與黑客可能執(zhí)行的手動攻擊進(jìn)行比較，如果他獲得了對遠(yuǎn)程計算機(jī)的直接訪問權(quán)限。在許多方面，無文件惡意軟件與手動黑客方法完全相同，但無需在遠(yuǎn)程受害者周圍爬行，無法自動執(zhí)行無文件惡意軟件。在許多情況下，手動黑客使用的完全相同的工具被無文件惡意軟件使用。例如，使用PowerShell腳本執(zhí)行的攻擊使用內(nèi)置Windows工具來執(zhí)行惡意活動。由于像PowerShell這樣的工具通常被列入白名單(因為它們每天用于非惡意活動)，因此手動攻擊者和無文件惡意軟件都可以使用免費工具來執(zhí)行攻擊。這使得針對SOC團(tuán)隊的惡意活動更加難以追蹤。沒有文件可以追蹤歷史記錄。安全工程師現(xiàn)在必須查看其他工件和記錄的事件以嘗試并形成結(jié)論。無論是無文件攻擊還是手動攻擊，都會給安全工程師帶來同樣的問題。

如何降低風(fēng)險

在無文件/瀏覽器內(nèi)部利用的示例中，首先嘗試在攻擊開始之前阻止攻擊是很重要的。這就是為什么Malwarebytes 在其軟件程序中開發(fā)了類似漏洞利用緩解的技術(shù)。監(jiān)視內(nèi)存并檢查執(zhí)行鏈?zhǔn)悄軌蛞话阈缘刈柚惯@些攻擊發(fā)生的重要的第一步。歷史證明，我們的漏洞利用緩解技術(shù)可有效抵御此類攻擊，但是，即使代碼能夠感染系統(tǒng)，一個好的端點保護(hù)解決方案也可以識別異常活動，跟蹤隱藏代碼并將其從系統(tǒng)中刪除，可以破壞惡意軟件的重啟能力。

正如上文所述，修補(bǔ)、啟用日志記錄和訪問控制是必要的預(yù)防措施;保護(hù)系統(tǒng)可以作為第一道防線和最后一道防線，這也有助于在惡意軟件入侵導(dǎo)致，文件妥協(xié)時加快系統(tǒng)的反應(yīng)時間。