Malwarebytes報(bào)告稱最近無文件惡意軟件攻擊飆升，并建議企業(yè)監(jiān)控進(jìn)程內(nèi)存以抵御這些威脅。那么，監(jiān)控進(jìn)程內(nèi)存如何阻止無文件攻擊以及企業(yè)的做法是什么？

對(duì)于保護(hù)端點(diǎn)，最重要的是在端點(diǎn)部署可作為安全監(jiān)控器的東西，這是指執(zhí)行授權(quán)訪問策略的系統(tǒng)組件，在美國(guó)國(guó)防部“橙皮書”中被稱為參考監(jiān)控器。

端點(diǎn)安全監(jiān)控器獨(dú)立于操作系統(tǒng)，并跟蹤可能影響端點(diǎn)的任何不安全配置或惡意活動(dòng)。Windows防病毒軟件用于監(jiān)控大多數(shù)端點(diǎn)；該軟件旨在保護(hù)用戶免受各種威脅，包括惡意軟件、廣告軟件、特洛伊木馬和基于文件的攻擊。

[[260441]]

企業(yè)在評(píng)估無文件惡意軟件攻擊時(shí)，端點(diǎn)系統(tǒng)內(nèi)存監(jiān)控是應(yīng)該考慮的安全工具，盡管它會(huì)產(chǎn)生大量數(shù)據(jù)。

通過監(jiān)控內(nèi)存，安全監(jiān)控器可確定在系統(tǒng)上執(zhí)行了哪些命令，包括檢測(cè)使用PowerShell的無文件惡意軟件攻擊。我們可監(jiān)控內(nèi)存以尋找正在系統(tǒng)上執(zhí)行的某個(gè)操作–不管開始執(zhí)行惡意代碼的程序是什么，以識(shí)別潛在有害的操作，例如程序或腳本被配置為在登錄時(shí)執(zhí)行或在端點(diǎn)更改與持續(xù)性相關(guān)的其他方面。例如，如果Microsoft Word宏在執(zhí)行復(fù)雜PowerShell下載程序作為攻擊的一個(gè)階段，我們可通過監(jiān)控內(nèi)存以檢測(cè)與Microsoft Word宏相關(guān)的活動(dòng)。

同樣，系統(tǒng)內(nèi)存監(jiān)控可能產(chǎn)生大量數(shù)據(jù)。但企業(yè)可以使用策略（包括行為規(guī)則或簽名）來標(biāo)記動(dòng)作序列或嘗試訪問可能是惡意的內(nèi)存。此時(shí)，該系統(tǒng)可以為分析師生成警報(bào)以進(jìn)行調(diào)查。

最終，惡意軟件開發(fā)人員將找到方法來克服這種防御，部分是通過改變用于訪問內(nèi)存的API來避免檢測(cè)，就像他們?cè)噲D操縱磁盤訪問API一樣。這樣的話，端點(diǎn)安全供應(yīng)商將需要改進(jìn)其防篡改保護(hù)措施，以防止這些攻擊禁用或繞過防病毒工具。

近日Malwarebytes實(shí)驗(yàn)室發(fā)布的報(bào)告主要在研究這些無文件惡意軟件攻擊的演變。該實(shí)驗(yàn)室建議，端點(diǎn)安全工具應(yīng)包括監(jiān)視內(nèi)存的功能，以及診斷基于PowerShell攻擊的功能。如果你的端點(diǎn)安全工具無法抵御這些類型的攻擊，請(qǐng)確定供應(yīng)商何時(shí)計(jì)劃添加這些功能或轉(zhuǎn)移到新產(chǎn)品。