关于新型的无文件网络攻击，你需要知道的5件事

在今年早些时候 ，在Equifax漏洞事件和全球性的WannaCry勒索软件爆发之后，关于目前的网络安全环境情况已经达到了刻不容缓的时候。企业需要面临着提供更多资金来购买新的安全策略和产品来保护企业内重要敏感的数据。

但是，在增加安全预算的同时，更多的公司真正担心地是以现在的安全技术是否会跟得上以后网络攻击进化的速度。

相关文章：有效的网络安全实践？要意识到：联邦贸易委员会正在关注你。

尤其是，他们担忧会有越来越多的网络攻击企图偷取系统的访问权限，然后在无形之中侵染整个系统，而不必在下载的恶意程序或者是留下任何明显的攻击痕迹。

这些攻击有着许多的名字，“无文件攻击”是最常见的一种方式，但也会用"非恶意软件攻击"和"伪装攻击"（适应性攻击）。最重要的是，这些恶意的行为是专门为了躲避检测而设计的，主要是使用受害者公司中的可信赖软件和系统工具进行躲避。所以，这些攻击很快就成为了IT和信息安全专业人员的头号威胁。

为了更加清楚了解无文件攻击的构成和工作原理，下面是每个业务负责人应该知道的5件事：

1.无文件攻击利用的是网络端口安全上的一个基本漏洞。

关于涉及恶意软件的网络攻击，一般来说，攻击者首先获取对受害者计算机的访问权限（通常通过利用软件漏洞或欺骗受害者下载他或她不应该的东西），然后安装可执行文件（可执行数据）造成损害。

从攻击者的视角来说，难点是那些电脑上构建了病毒解决方案，同时阻止计算机上的任何可疑文件的运行。然而，通过不安装恶意软件，攻击者可以简单地绕过这些解决方案。他们所需要做的就是劫持其他合法的系统工具和受信任的应用程序来为他们做肮脏的工作。

相关文章：各种形式的网络钓鱼对小企业的威胁

2.攻击者可以使用各种无文件技术。

在较高的层面上，攻击可以分为两个主要阶段：初始攻击让攻击者能够访问目标系统，以及攻击者在目标电脑上进行的开发活动。攻击者可以在这些阶段中的一个或两个阶段利用无文件技术来实现他们的目标，甚至他们可以躲过传统甚至下一代机器学习驱动的防病毒软件的检查。

为了获得初始访问权限，攻击者通常会利用受害者已经在运行中的软件里的漏洞进行攻击。最近的Equifax漏洞就是一个例子。攻击者能够利用该公司未修补的Apache Struts版本中的漏洞并使用它来执行恶意命令。

利用易受攻击的应用程序并将代码注入正常的系统进程都是最常用的无文件攻击方式，在机器上获取访问和执行而不会引起注意。

初始攻击完成后，攻击者可以使用PowerShell，PsExec和Windows Management Instrumentation（WMI）等强大的系统管理工具避免检测然后继续进行操作。由于这些工具具有合法的使用案例，因此它们被攻击者利用在升级权限时隐藏在检测范围内，在整个网络中横向移动过程中，通过更改注册表来实现持久性。

3.无文件攻击可以涉及文件。

在进一步讨论之前，我们应该打消关于fileless攻击最常见的误解之一——他们往往不涉及文件，特别是在攻击的初始阶段。主要区别在于这些文件不是恶意可执行文件，而是Microsoft Office文档等文件。

从传统的端点安全角度来看，问题在于这些文件本身没有任何内在的危险因素，因此扫描它们不一定会引起任何危险信号。所以这使得它们成为开始攻击的完美工具。

例如，攻击可能开始于员工被误导打开了收到的钓鱼邮件中Word文档; 接着，员工无意中激活了嵌入其中的宏或脚本。

然后，该宏或脚本将启动PowerShell，而PowerShell是Windows内置的合法框架，用于自动执行系统管理任务。从这里开始，攻击者使用PowerShell直接在内存中执行恶意代码，使得攻击真正无文件化。

由于攻击的各个组成部分不都是恶意的，因此安全解决方案需要能够观察它们在一起运行时候的行为，并且能够识别来自其他合法程序的一系列行为会在什么时候组合成危险攻击。

4.无文件攻击的规模正在增加。

事实上，无文件攻击所使用的许多技术已经存在了一段时间。例如，内存中的攻击可以追溯到21世纪初的Code Red和SQL SLammer蠕虫。但由于便于操作的攻击工具和漏洞利用工具包的出现和广泛使用让这些攻击形式变得更加普遍。特别是像Metasploit和PowerSploit这样的渗透测试框架正在被利用，因为它们提供了现成的无文件漏洞，可以添加到任何攻击中。

因此，这些技术不再局限于复杂的黑客和国家的间谍组织。它们随时可以被普通的网络犯罪分子使用，与此同时，公司所遭受的无文件攻击数量也在大幅增加。根据SANS 2017威胁景观调查，一度被认为是边缘案例，近三分之一的受访组织报告了无文件攻击。

5.预防无文件攻击。

虽然无文件技术极难检测，但可以采取一些措施来保护业务并降低风险。好的第一步是禁用组织未主动使用的管理工具，或者至少限制其权限和功能。由于许多无文件技术依赖于它，因此PowerShell应该位于警惕列表的第一位，或者是考虑完全限制或禁用。

同样，禁用Office宏是可以消除无文件攻击最常见的启动点之一。应尽可能维护操作系统和应用系统的漏洞，并且当补丁不可行时，应隔离这些系统以防止潜在的攻击蔓延。

相关：每个在乎安全的企业家需要知道的4个重要的网络安全措施

由于不用扫描的文件，所以检测和阻止无文件攻击最终要依靠IT部门识别网端上的恶意活动和行为的能力 - 最好是在发生任何损坏之前。有新的网端解决方案可以实现该任务并实时停止无文件攻击危及电脑设备。IT和安全负责人应该结合自身情况，做出适合的选择，以确定保持组织安全的正确解决方案。