從歷史上看,大多數惡意軟件都是以文件形式交付的,這些文件會被下載到計算機、寫入內存,然后執行。這種設計使某些安全解決方案更容易檢測到這些類型的惡意軟件。然而,無文件惡意軟件僅存在于受感染計算機的內存中,不會向磁盤寫入任何內容。
怎么運行的
大多數應用程序和基于文件的惡意軟件都是從寫入磁盤的文件開始的。執行該文件時,會將一個副本加載到內存中,然后執行程序的命令。無文件惡意軟件跳過了寫入磁盤的步驟,只存在于內存中。
實現這一目標的一些方法包括:
- Living Off the Land:惡意軟件執行的許多操作都可以通過合法的系統功能來完成。無文件惡意軟件通常使用 PowerShell 來訪問通常在惡意可執行文件中使用的內置 Windows API 函數。
- 惡意文檔:Microsoft Office 文檔可能包含使用 PowerShell 執行命令的惡意宏。這可能包括下載和運行其他惡意軟件而不將其寫入磁盤。
- 漏洞利用:應用程序可能包含緩沖區溢出或其他遠程代碼執行(RCE) 漏洞。通過利用此漏洞,攻擊者可以在易受攻擊的進程中運行惡意命令,而無需向磁盤寫入任何內容。
- 進程劫持:一旦一個文件被加載到內存中,它的內存空間就可以被修改。惡意軟件可以將代碼寫入現有進程的內存空間,并在該進程內啟動其惡意功能。
- 基于注冊表的惡意軟件:Windows 注冊表包含 Windows 操作系統的配置信息,包括自動運行。無文件惡意軟件可以定義一個自動運行,在系統啟動或用戶登錄時通過 LoLBins 啟動惡意代碼。
無文件惡意軟件可以做什么?
無文件惡意軟件可以做傳統的基于文件的惡意軟件變體可以做的任何事情。這包括充當信息竊取器、勒索軟件、遠程訪問工具包 (RAT) 和加密礦工。
無文件惡意軟件和基于文件的惡意軟件之間的主要區別在于它們實施惡意代碼的方式。無文件惡意軟件通常更多地依賴于操作系統的內置功能,而不是在獨立的可執行文件中實現惡意功能。
無文件攻擊的階段
無文件惡意軟件攻擊看起來與基于文件的惡意軟件攻擊非常相似。一些關鍵階段包括:
- 初始訪問:惡意軟件需要一種獲取組織系統訪問權限的方法。無文件惡意軟件可能會通過網絡釣魚或利用易受攻擊的 Web 應用程序來傳送惡意文檔。
- 執行:無文件惡意軟件可以通過各種方式實現代碼執行。例如,惡意文檔可能會使用社會工程學來誘騙收件人啟用宏,從而允許惡意宏運行 PowerShell 命令。
- 持久性:一旦惡意軟件獲得對目標系統的訪問權限,它就會希望保持該訪問權限。將自動運行鍵添加到 Windows 注冊表是實現持久性的常用方法,無需將代碼寫入磁盤即可完成。
- 目標:惡意軟件旨在完成某些任務。無文件惡意軟件可能會嘗試竊取憑據、加密文件、下載其他惡意軟件或執行其他一些惡意活動。
檢測和防御無文件惡意軟件攻擊
無文件惡意軟件旨在比傳統的基于文件的惡意軟件變體更難檢測。這樣做的原因是一些端點安全解決方案側重于掃描系統上的文件,而不檢查主動運行的進程是否存在惡意代碼或異常活動。
但是,更難檢測與無法檢測并不相同。組織可以保護自己免受無文件惡意軟件攻擊的一些方法包括:
- 鎖定功能:無文件惡意軟件通常“遠離陸地”,使用內置功能來實現其目標。禁用或監控高風險應用程序(例如 PowerShell)有助于預防和檢測無文件惡意軟件攻擊。
- 管理宏: Microsoft Office 宏是無文件惡意軟件實現初始訪問和執行的常用方法。禁用宏有助于阻止這種感染媒介。
- 補丁漏洞:攻擊者可能利用緩沖區溢出等漏洞在易受攻擊的應用程序中運行代碼。使用入侵防御系統(IPS)應用補丁和實施虛擬補丁可以限制漏洞利用的風險。
- 安全身份驗證:網絡犯罪分子越來越多地使用受損憑據和遠程訪問解決方案(例如 RDP)來部署和執行惡意軟件。實施多因素身份驗證 (MFA) 和零信任安全策略可以限制受損帳戶的潛在影響。
