黑客辞典：什么是“无文件恶意软件”攻击？我们应该如何防范？

相信大多数人第一次看到“无文件恶意软件”时都会心生疑问，真的没有文件？没有文件又如何实施攻击？如何检测？如何防御……别急，通过本篇文章，将为你解答所有疑惑！

什么是“无文件恶意软件”？

据GoogleTrends监测结果显示，“无文件恶意软件”（也叫“无形恶意软件”、“零足迹攻击”或“无／宏恶意软件攻击”，后文有详述其名称进化史）这个词出现在2012年到2014年之间。不过随着恶意软件的开发者开始在攻击中频繁的使用这一技术，网络安全人员对这一术语的集中大规模讨论却发生在2015年，直至2017年随着网络安全的概念深入人心，这个词也被大众所熟知。

不过，从字面来看，“无文件”恶意软件很容易让人误以为，攻击者在使用该技术进行攻击时真的不需要使用任何文件，显然，这种理解是错误的！有一点需要明确，就是无文件恶意软件有时候也会使用文件。

最初，“无文件”恶意软件是指没有持久注入在内存中的恶意代码，不过随着时间的变化，该术语的范围逐渐扩大，现在已经将那些依赖文件系统的某些方面以实现恶意代码激活和驻留的恶意软件也包括进来。由于在无文件恶意软件攻击中，系统变得相对干净，传统的防毒产品很难或根本无法识别这种感染并及时通知技术人员进行防御。

据悉，“无文件”这一术语也是经历了长时间的变迁，早在2012年，有文章最初就使用了“无文件”恶意软件的这一词汇，但是后来，人们开始倾向于使用“无形恶意软件”（bodilessmalware）这一词汇。卡巴斯基实验室在2016年之前用的都是“无形恶意软件”这个术语。

而CarbonBlack在其2016年的威胁报告中引入了“无恶意软件攻击”（non-malwareattack）一词，其官方解释为，“无恶意软件攻击是攻击者使用现有软件，利用允许的应用程序和授权的协议来进行的一种恶意攻击。无恶意软件攻击能够获得对计算机的控制，无需下载任何恶意文件。”

Gartner在2017年的报告中也使用了“无恶意软件攻击”一词，不过，一个月后，在Gartner发表的另外一篇报告中则改为使用“无文件攻击”（filelessattack）一词。

“无文件恶意软件”威胁越来越大

Carbon Black公司首席技术官Mike Viscuso表示，

无文件恶意软件的攻击率从2016年初的3%上升到了去年11月的13%，而且这种增长趋势还在持续，我们发现，平均每3个感染中就有1个是无文件组件造成的。

在最近的一项研究报告中，Carbon Black对超过1000名用户（拥有超过250万个终端）进行分析后发现，几乎每个组织都在2016年遭到了无文件攻击。

Viscuso表示，无文件攻击对攻击者而言意义重大。他说，

我在美国政府做了10多年的攻击黑客（offensive hacker），可以说，我本人非常了解攻击者的心态。从攻击者的角度来看，在受害者的计算机上安装新软件可能会引起人们的注意。如果不在受害者设备上放入这些文件，那么他们受到审查的程度和威胁都会小很多，如此一来，攻击也就更容易成功。

除Carbon Black外，McAfee也发布报告表示，“无文件恶意软件”正在呈现增长趋势，已经从2015年底的40万起增加到了2017年Q2的110万起。McAfee公司战略研究首席科学家兼首席工程师Christiaan Beek表示，“无文件恶意软件”攻击呈现增长趋势的原因之一就是易于使用的工具包的出现，这些工具包中包含这些类型的漏洞。

“无文件恶意软件”是如何实现的？　

早在2015年，McAfee还归属Intel时曾发表过一份威胁报告，其中详细介绍了“无文件恶意软件”如何删除它在受感染系统磁盘中保存的所有文件，在注册表中保存加密数据，注入代码到正在运行的进程，并使用PowerShell、Windows Management Instrumentation和其他技术使其难以被检测以及分析。

注册表中保存数据的方式让恶意软件可在启动时运行而不被用户查看或访问，此时攻击者便有更多的时间利用其恶意软件继续执行攻击。实际上，恶意软件也可能会被检测到，但在分析前大多数反恶意软件产品都很难发现和移除无文件恶意软件。

例如Kovter恶意软件，其通过电子邮件或恶意软件网站进行分发，在本地计算机执行最初的恶意软件攻击后，Kovter会编写JavaScript到注册表，调用同样存储在该注册表中加密的PowerShell脚本，由于它并不会保存文件，且利用Powershell进行隐藏很难被检测到。

“无文件恶意软件”攻击案例

1. 全球40个国家的140家银行、电信及政府机构遭到攻击

今年早些时候，全球40个国家超过140家包括银行、电信和政府机构等组织遭到“无文件恶意软件”攻击，其中大多数受害者位于美国、法国、厄瓜多尔、肯尼亚、英国和俄罗斯等西方国家，中国也位列其中。

据悉，攻击中使用的软件包括使用广泛的渗透测试攻击以及管理攻击，同时还包括用于Windows任务自动化的PowerShell框架。这种攻击不会在计算机磁盘上释放恶意软件文件，而是隐藏在内存中。此外，该攻击技术还能够躲避白名单技术的检测，同时几乎不会给取证分析人员留下任何证据或恶意软件样本，以进行分析。攻击者会在受感染系统中停留一段时间以确保收集信息，并在系统重启后清除所有痕迹。

2. 针对民主党全国委员会的攻击

Carbon Black表示，另一场高调的“无文件”攻击就是针对民主党全国委员会的攻击事件。对于希望尽可能“隐身”的攻击者而言，无文件攻击确实帮了他们大忙。

3. 俄罗斯ATM一夜失窃80万美元

今年4月，黑客通过新型恶意软件 “ATMitch”采用“无文件攻击”方式，一夜之间成功劫持俄罗斯8台ATM机上窃走80万美元。据悉，攻击全球140多家机构利用的也是这款名为“ATMitch”的恶意软件。

4. Equifax数据泄漏事件

据网络安全公司Virsec Systems的创始人兼首席技术官Satya Gupta介绍称，最近的Equifax数据泄漏事件也是“无文件”攻击的一个例子，其在Apache Struts中使用了一个命令注入漏洞。Gupta表示，

“在这种类型的攻击中，易受攻击的应用程序不能充分验证用户的输入（其可能包含操作系统命令）。因此，这些命令就可以带着与易受攻击的应用程序相同的特权在受感染的设备上执行。”

5. “无文件恶意软件”的新商业应用

最近关于“无文件恶意软件”攻击的例子来自于勒索软件。研究人员发现了一种名为Sorebrect的新的无文件恶意软件，它将恶意代码注入目标系统中的合法系统进程，然后自动从磁盘中删除，以躲避安全工具的检测。

此外，SOREBRECT还可以加密网络共享文件，即SOREBRECT会扫描网络寻找资产，并枚举开放式共享（包括文件夹、内容或通过该网络易访问的外围设备），之后它会启动到共享的连接，无论读取和写入访问是否可用，这款恶意软件都会对发现的共享进行加密。

6. 越来越多的国家网络间谍开始使用该技术实施攻击

FireEye的研究人员还发现，目前已经有越来越多的国家网络间谍活动者（如朝鲜等）开始利用“无文件”攻击技术来试图逃避侦测，对民族国家实施攻击活动。

如何防御无文件恶意软件攻击？

其实，不论面对何种网络安全威胁，及时更新是最基础的。因此，在抵御无文件恶意软件时，首先要做的就是保证端点及时更新。

其次，还要做好终端服务器访问权限的控制，确保用户访问只能以普通用户身份来访问，而不能具有特权。

此外，建议用户可以使用端点反恶意软件工具来保护设备。这些步骤需要采用纵深防御的方法来完成，通过扫描网络连接和电子邮件中是否存在恶意软件，这将帮助减少恶意软件到达端点并执行的机会。

恶意软件编写者正在不断提高自己的无文件恶意软件策略，无论是企业还是普通用户都需要提高安全意识，从了解“无文件恶意软件”开始，不断提升自身安全防范的能力。

本文转载自：

嘶吼 http://www.4hou.com/info/news/7805.html