无文件恶意软件内存中直接执行有害程序集

8月9日下午，卡巴斯基在郑州举行了网络安全研讨会，会议期间就着重谈到了无文件恶意软件在内存中直接执行这类攻击，说明卡巴斯基在此方面已经着手布局，以帮助用户实现抵御无文件恶意软件的攻击。刚刚又从IBM的网站了解到，Mcafee Labs的研究人员，对此也发现了相关的攻击案例。文章说，无文件恶意软件CactusTorch正在使用DotNetToJScript在内存中执行.NET恶意程序集。

7月26日，McAfee Labs的研究人员报告称他们编译了该工具并发现了.NET可执行文件DotNetToJScript.exe。可执行文件接受一个.NET程序集，负责创建一个新的挂起进程，分配内存，在目标的内存进程中编写shellcode并创建一个执行shellcode的线程。

DotNetToJScript最终只产生一个包含.NET程序集的JavaScript文件。脚本宿主（wscript.exe）在目标系统上执行JavaScript文件。

McAfee Labs观察到2017年至2018年间CactusTorch的显着增长。研究人员在2017年4月发现了一两个恶意软件变种。十四个月后，他们记录了近35个变种， 所有这些变种都能够在Windows机器上执行shellcode 。

据估计，2017年企业遭受的攻击中有29％属于无文件攻击，较上一年增加了近20％，而且预计这一数字将在2018年上升到35％。同样，研究显示36％的非软件攻击在2018年第一季度完全无文件攻击。

这种增长形式对安全专业人员来说很重要，因为无文件攻击使用信誉良好的可执行文件来逃避检测。这种技术允许不良行为者渗透到公司网络，然后横向移动到可以泄露敏感数据或进行数字间谍活动的盗窃关键业务资产。

如何防范无文件攻击？为了最大程度地降低无文件攻击的风险，IBM安全专家建议保持应用程序和操作系统的最新状态，定期更新防病毒软件并阻止基于URL和IP的危害指示（IoC）。安全团队还应该投资端点防御，将传统的基于文件的分层安全与机器学习和沙盒技术相结合。

有关这方面，今天在参加卡巴斯基活动过程中，他们也介绍了他们有关云沙盒技术，Kata平台等。从国外到国内，我们看到安全软件厂商都已经对此产生了高度的警觉，同时也给出了一些简单有效的防护措施。同时，卡巴斯基河南地区服务负责人谷燕兵先生也说到，不是每一款叫杀毒软件的杀毒软件都是杀毒软件，找一块值得信赖可靠的杀毒软件，确实有必要性。为了公正性，在此就不再多谈具体软件了，如果有兴趣的朋友可以作比较参考。

在我们的文章中，曾经提到过世界上没有绝对安全的系统，不是入侵是否会发生的问题，而是何时发生的问题，而今天卡巴斯基的活动中，这个理念再次呈现。同时，谷总也谈及了网络安全意识，有关网络安全意识当然包括所有参与者，特别是我们的技术大拿们，往往有时自命不凡太过自信反而大意失荆州，最后系统中招了。这正好体现了我国一句古话，智者百虑，必有一失。世界上没有绝对安全的系统，更没有可以做到思虑绝对周全的人，是系统就有漏洞，是人必然有弱点。只有承认了系统的不安全，人的不稳定性，才能从安全意识上正本清源，打好安全基础。

原文始发于微信公众号（鼎信安全）：无文件恶意软件内存中直接执行有害程序集