攻擊者希望盡可能保持隱身來減少他們被檢測的機會，這意味著他們只能對受感染系統進行最少次數的改變，以及在系統留下最少的證據。攻擊者保持不被發現的時間越長，他們就越有可能實現自己的目標。攻擊者早就知道在攻擊過程中刪除自己的工具，而惡意軟件作者也開始刪除在攻擊中使用的文件，這被稱為無文件(fileless)惡意軟件。在無文件惡意軟件攻擊中，系統變得相對干凈，沒有很多惡意文件可被檢測來通知安全管理人員。

[[163260]]

在本文中，讓我們一同探討一下無文件惡意軟件的工作原理，它如何變得越來越復雜，以及企業應該怎樣做來保護自己免受此類威脅。

無文件惡意軟件的工作原理

Intel Security在其2015年11月McAfee實驗室威脅報告中詳細描述了無文件惡意軟件。該報告介紹了無文件惡意軟件如何刪除它在受感染系統磁盤中保存的所有文件，在注冊表中保存加密數據，注入代碼到正在運行的進程，并使用PowerShell、Windows Management Instrumentation和其他技術使其難以被檢測以及分析。在注冊表中保存數據的方式讓惡意軟件可在啟動時運行，而不會讓普通用戶查看或訪問特定的注冊表數據。這讓攻擊者有更多的時間來利用其惡意軟件以及繼續執行其攻擊;惡意軟件可能被自動化工具檢測或提交到惡意軟件庫，但在進行全面分析前，大多數反惡意軟件產品都很難發現和移除這種惡意軟件。他們有合理的原因在注冊表中存儲加密或哈希數據，或者使用惡意軟件編寫者使用的其他技術來模糊化其惡意軟件。例如，有些應用可能在需要保護的注冊表中存儲加密密碼。

為了在Windows計算機執行指令，操作系統首先需要知道執行什么指令;這可通過打開附件、點擊電子郵件中的鏈接、打開計算機中的文件或者使用遠程文件共享來進行。注入代碼到正在運行的進程首先需要這種前期行動。當代碼在內存中后，它可以執行以及采取用戶執行代碼的任何行動，如果該用戶有用管理級訪問權限，系統可被完全破壞，但如果該賬戶只是受限賬戶，攻擊者還要采取額外的步驟來完全破壞整個系統。

在McAfee實驗室報告中，研究人員描述了Kovter惡意軟件如何利用更先進的無文件惡意軟件技術。Kovter通過電子郵件或惡意軟件網站來分發，在本地計算機執行最初的惡意軟件攻擊后，它會編寫JavaScript到注冊表，調用同樣存儲在該注冊表中加密的PowerShell腳本。由于它并不會保存文件，并使用Powershell來隱藏，這更加難以被檢測。而較舊的惡意軟件類型在初次分發后不會采取這些先進的做法。

如何抵御無文件惡意軟件攻擊?

在抵御無文件惡意軟件攻擊的第一步是確保端點保持更新;還要確保用戶只有標準用戶賬戶，而沒有特權賬戶，并使用端點反惡意軟件工具來保護設備。這些步驟需要采用縱深防御的方法來完成，通過掃描網絡連接和電子郵件中是否存在惡意軟件。這將幫助減少惡意軟件到達端點并執行的機會。

端點安全工具可監控可執行文件的行為以及操作系統調用，這些工具也可能檢測未經授權的內部連接或對無文件惡意軟件攻擊需要的注冊表的意外訪問。為了防止惡意PowerShell腳本，技術專家兼微軟MVP Don Jones介紹了PowerShell必要的安全保護措施，但最重要的是確保只能執行數字簽名的腳本。

惡意軟件編寫者正在不斷提高自己的無文件惡意軟件策略，但企業可使用與抵御較舊惡意軟件相同的技術和工具來保護端點。盡管攻擊者的改進讓我們很難分析無文件惡意軟件，但企業使用相同的保護措施可減少惡意軟件初始感染和執行的機會。