上周六，美國最大的燃油管道運營商Colonial Pipeline遭受網絡勒索攻擊，導致部分IT系統(tǒng)停機，管道運營中斷。為了預防事態(tài)進一步擴大，該公司已主動將關鍵系統(tǒng)脫機，暫時停止了所有管道的運行，以避免勒索軟件的感染范圍持續(xù)蔓延。

[[399366]]

勒索軟件是惡意軟件攻擊的一種類型，也是最常見的網絡安全威脅之一，一旦被非法組織得逞，受害組織和個人的的核心數據則會被牢牢控制在對方手中。據聯邦調查局互聯網犯罪報告顯示，每天平均有4000個勒索軟件事件發(fā)生。Verizon的《 2018年數據泄露調查報告》顯示，在發(fā)現的惡意軟件案例中，有39%是勒索軟件，僅2019年就造成了115億美元的損失。

通常，勒索軟件比較難以防護。如果是有文件的仍可以在一定程度上被基于行為和樣本庫的安全產品進行查殺和響應;而無文件的勒索攻擊由于其可以繞過主流的安全防護產品駐留在內存中，傳統(tǒng)安全防護產品缺乏對于底層CPU指令集與內存的實時監(jiān)控，則防御難度增加了很多。截至目前，越來越多的攻擊者采用這種攻擊方式。而攻擊者之所以選擇無文件攻擊是因為通過這種方式，被攻者主機上無落地的PE惡意文件，常常會駐留在內存中隨著系統(tǒng)而自啟甚至會在達到攻擊目的后自我停止，這樣在被攻者主機上會留下最少的犯罪痕跡，而且可以逃避或者推遲一些安全產品的檢測，方便犯罪活動的進行。那么，無文件攻擊應該如何防御呢?

以“隱秘”而得名

一般來講，惡意軟件攻擊通常涉及到寫入磁盤的惡意文件或需要交互來執(zhí)行他們的惡意意圖，這些特征會以一種或多種形式為感染后取證留下痕跡。但是，由于無文件攻擊是內存駐留的，所以它們通常不會在執(zhí)行后留下內存占用。惡意有效負載發(fā)生在RAM中，這意味著它不會向磁盤寫入任何內容或借助不會被檢測出異常特征的文件再通過遠程無文件形式執(zhí)行額外的指令，因此而得名“無文件攻擊”。也正因如此，這使得基于內存的攻擊比基于文件的惡意軟件更難檢測。

盡管攻擊者不必安裝代碼即可發(fā)起無文件惡意軟件攻擊，但他們仍需要訪問環(huán)境，以便他們可以修改其本機工具以達到其目的?？梢酝ㄟ^多種方式來完成訪問和攻擊，例如通過使用以下方式：

• 漏洞利用套件
• 被劫持的本機工具
• 注冊表惡意軟件
• 內存惡意軟件
• 無文件勒索軟件
• 憑證被盜

無文件攻擊以隱秘和微妙的方式蓬勃發(fā)展，由此引起的網絡犯罪活動也越來越多，這一切歸因于使用不同的無文件技術，可以逃避傳統(tǒng)的黑名單檢測和解決方案。特別是在過去的幾年時間里，無文件攻擊已經成為了終端安全的新威脅。

無文件惡意軟件難以檢測

傳統(tǒng)的防病毒軟件工具和端點檢測與響應(EDR)安全平臺在檢測無文件威脅方面存在困難。有一些因素使無文件威脅特別難以檢測和緩解：

• 首先，由于很多無文件攻擊是借助系統(tǒng)自帶工具例如Powershell等來執(zhí)行，它沒有可識別的代碼或簽名，因此傳統(tǒng)的防病毒工具無法檢測到無文件的惡意軟件。
• 無文件威脅存在于系統(tǒng)的內存(RAM)中，這意味著通常沒有可追蹤的基于文件特征的數字足跡。
• 最后，由于無文件惡意軟件沒有遵循一定的行為模式，并且經常利用受信任的進程來掩蓋惡意行為，因此依賴行為分析的EDR平臺無法搜尋和暴露無文件威脅，因此無法檢測到它。

與傳統(tǒng)的惡意軟件攻擊相比，由于無文件攻擊很難被檢測到，因此在過去的一年中，無文件攻擊的數量激增。根據Trend Micro’s 2019 Roundup Report，與2018年相比，2019年上半年對無文件威脅的檢測量增加了265%。攻擊者開始選擇無文件攻擊的攻擊方法，以繞過基于病毒樣本庫、網絡流量、日志、黑白名單、漏洞補丁的傳統(tǒng)防護工具的防護。

隨著新興技術的發(fā)展，諸如無文件攻擊之類的威脅和復雜威脅逐漸興起并被利用，應對瞬息萬變的環(huán)境并防范是眾多企業(yè)面臨的挑戰(zhàn)。針對性的選擇解決方案，可以很好的解決此類威脅問題。