无文件恶意软件 - 检测、响应和预防

现代恶意软件比以往更加危险和恶毒。它们不仅能躲过传统安全工具的早期检测，甚至躲过反恶意软件、入侵防御系统和智能电子邮件过滤器等高级解决方案的早期检测。

因此，它们被世界各地的攻击者广泛利用。无文件恶意软件就是当今威胁性最强的一种恶意软件，其使用率正在大幅增加。根据数据，无文件恶意软件的比例 增长了近 900%！  

由于没有留下任何痕迹，这种现代恶意软件很难被发现，但并非不可能。那么，如何检测和防范无文件恶意软件攻击呢？ 

什么是无文件恶意软件？ 

无文件恶意软件是一种恶意程序/代码/软件，它直接在系统内存中而不是硬盘中运行，不会留下任何痕迹。 

作为基于内存的恶意软件，代码不会直接安装或存储在机器中。相反，恶意内容直接进入内存，而不会触及硬盘。由于缺乏恶意文件，无文件恶意软件得名。 

与传统恶意软件不同，它不需要在目标系统上安装代码。因此，很难检测到。相反，这种恶意软件利用本机、合法和其他善意的工具和程序。这些工具和程序已内置在系统中，用于执行攻击并破坏系统。这就是为什么无文件恶意软件被称为“living off the land”或“LOLbins”。 

无文件恶意软件攻击如何运作？ 

尽管攻击者无需安装代码即可发起无文件恶意软件攻击，但他们必须获得环境访问权限才能修改本机工具以执行其命令。他们使用以下一种或多种技术来实现此目的： 

• 社会工程和网络钓鱼攻击。用户在这里点击链接或下载恶意附件

• 漏洞工具包

• 无文件勒索软件

• 凭证被盗

• 仅存在于内存中的恶意软件

• 劫持 JavaScript、Microsoft Word 和 Microsoft PowerShell 等本机工具 

• 注册表常驻恶意软件

一旦无文件恶意软件感染了系统，它就会从一个设备横向移动到下一个设备。攻击者可以远程访问系统。这使他们能够窃取凭证并创建后门以保持持久性。 

他们利用窃取的凭证和后门非法获取数据和系统访问权限，从而窃取数据并破坏运营。

无文件恶意软件为何如此危险？ 

• 无文件恶意软件直接写入 RAM，因此不是恶意程序或文件。此外，它使用受信任的本机工具、应用程序和软件来执行恶意活动。它可以逃避反恶意软件、沙盒和 IPS 系统等高级工具，而不仅仅是防病毒和防火墙等基本工具。 

• 即使防御系统检测并删除原始脚本，恶意软件仍然可以使用 PowerSploit 和 CobaltStrike 等漏洞工具包进行运行。 

如何检测无文件恶意软件？ 

传统的基于文件和基于签名的检测技术在无文件检测中非常无效。这些技术会查找已知签名，检查静态恶意/流氓文件并对操作系统进程执行静态测试。因此，它们最终会漏掉无文件恶意软件。

您必须利用行为和模式分析、指纹识别和全球威胁源来有效检测这种恶意软件。此外，使用智能工具自动重新校准恶意行为的正常变化，并继续检测恶意软件，即使它发生变异。 

不要关注难以检测的入侵指标，而要寻找无文件恶意软件攻击的指标。例如，横向移动、代码执行、数据泄露、看似合法的可疑行为/活动等等。 

为此类活动设置触发器，以便您的 IT 安全团队可以扫描系统并启动无文件恶意软件缓解过程。 

像Indusface这样信誉良好且值得信赖的安全服务提供商提供完全托管的威胁搜寻服务，帮助您主动有效地识别无文件恶意软件。 

他们使用智能扫描、自动渗透测试、手动安全测试和误报管理来监控环境并实时检测恶意软件。 

检测到此类恶意软件并不能自动阻止此类无文件攻击。为了保护无文件攻击，您必须识别恶意攻击者可能利用的漏洞、缺陷和漏洞，并主动保护它们。 

您可以将无文件恶意软件检测与下一代完全托管的安全解决方案相结合，从而防止这些攻击。这样的解决方案必须全面并提供多层安全性。 

其他措施包括： 

• 修补并更新环境中的所有内容

• 持续记录和监控 

• 主动强化安全态势 

• 持续教育员工和用户，确保他们不会成为网络钓鱼和其他诈骗的受害者

前进之路

无文件恶意软件可能行踪隐秘，可逃避传统安全措施。但是，只要采用正确的安全措施和解决方案，您就可以有效地检测和预防它们。

原文始发于微信公众号（河南等级保护测评）：无文件恶意软件 – 检测、响应和预防