我們一直都知道的惡意軟件攻擊是以一種形式寫入磁盤的文件，需要執行以執行其惡意范圍。另一方面，無文件惡意軟件僅用于駐留內存，理想情況下在執行后不留痕跡。惡意有效載荷動態地存在于RAM中，這意味著沒有任何東西直接寫入HD。

[[242420]]

惡意軟件攻擊是以一種形式寫入磁盤的文件

攻擊者的目的是使感染后的取證變得困難。此外，這種形式的攻擊使得防病毒幾乎不可能觸發檢測，在特定情況下，甚至檢索要分析的樣本的唯一方法是捕獲實時發生的攻擊。這是處理無文件惡意軟件時面臨的最大挑戰之一。

現在，無文件攻擊已經不是新事件了，早在15年前的Lehigh病毒，它在其堆棧空間中“填充主機文件代碼中未使用的部分，導致主機大小沒有增加。如果病毒在內存中插入DOS磁盤，可以感染另一個COMMAND.COM文件。然而隨著時間的推移，用于實施這些攻擊的技術和工具變得越來越先進，也使得無文件惡意軟件近年來受到安全專家的廣泛關注。

現階段，無文件惡意軟件諸如Poweliks之類的惡意軟件在注冊表中使用“NULL”Runkey(使內容不可見)，運行JavaScript并使用PowerShell運行隱藏在注冊表中其他位置的編碼腳本。本質上，有效負載存儲在注冊表中，僅在運行時檢索，解碼和執行;現代漏洞利用工具包，例如Magnitude EK，可以流式傳輸有效負載，并在不首先將其丟棄在磁盤上的情況下執行;DNSMessenger等惡意軟件 從C2服務器檢索惡意PowerShell腳本;SamSam 將加密的惡意軟件負載寫入磁盤，并且只有在攻擊者手動運行腳本并提供解密密碼時才會解密等仍然在運行。

在網絡中記錄基于文件的惡意軟件可為SOC團隊提供明確的審核起點，這些文件允許工程師跟蹤惡意軟件的來源，并且通常可以清楚地了解網絡是如何被破壞的。無論是通過電子郵件鏈接到惡意下載還是網站泄露，擁有文件歷史記錄都能提供干凈的時間表，最終使網絡工作變得更加輕松。

將無文件惡意軟件與黑客可能執行的手動攻擊進行比較，如果他獲得了對遠程計算機的直接訪問權限。在許多方面，無文件惡意軟件與手動黑客方法完全相同，但無需在遠程受害者周圍爬行，無法自動執行無文件惡意軟件。在許多情況下，手動黑客使用的完全相同的工具被無文件惡意軟件使用。例如，使用PowerShell腳本執行的攻擊使用內置Windows工具來執行惡意活動。由于像PowerShell這樣的工具通常被列入白名單(因為它們每天用于非惡意活動)，因此手動攻擊者和無文件惡意軟件都可以使用免費工具來執行攻擊。這使得針對SOC團隊的惡意活動更加難以追蹤。沒有文件可以追蹤歷史記錄。安全工程師現在必須查看其他工件和記錄的事件以嘗試并形成結論。無論是無文件攻擊還是手動攻擊，都會給安全工程師帶來同樣的問題。

如何降低風險

在無文件/瀏覽器內部利用的示例中，首先嘗試在攻擊開始之前阻止攻擊是很重要的。這就是為什么Malwarebytes 在其軟件程序中開發了類似漏洞利用緩解的技術。監視內存并檢查執行鏈是能夠一般性地阻止這些攻擊發生的重要的第一步。歷史證明，我們的漏洞利用緩解技術可有效抵御此類攻擊，但是，即使代碼能夠感染系統，一個好的端點保護解決方案也可以識別異常活動，跟蹤隱藏代碼并將其從系統中刪除，可以破壞惡意軟件的重啟能力。

正如上文所述，修補、啟用日志記錄和訪問控制是必要的預防措施;保護系統可以作為第一道防線和最后一道防線，這也有助于在惡意軟件入侵導致，文件妥協時加快系統的反應時間。