在任何企業的網絡安全意識戰略中，員工都需要遵守一項基本準則：如果不能100%確認安全，他們就絕不能打開任何文件或附件。否則，下載或打開可疑文件可能會導致整個企業產生安全危機。

但是，當惡意軟件感染計算機中，卻無法在任何文件中發現該惡意軟件時，用戶該怎么辦呢?如果該惡意軟件被嵌入到難以檢測的進程中，又該如果呢?這些問題都是公司遭遇無文件惡意軟件攻擊時經常困擾他們的問題。

[[247431]]

無文件惡意軟件攻擊，真的無文件?

究竟什么是無文件惡意軟件，有一點需要明確，就是無文件惡意軟件有時候也會使用文件。最初，無文件惡意軟件的確指的是那些不使用本地持久化技術、完全駐留在內存中的惡意代碼，但后期這個概念的范圍逐漸擴大，現在，將那些依賴文件系統的某些功能以實現惡意代碼激活和駐留的惡意軟件也包括進來，傳統的防毒產品無法識別這種感染。

無文件惡意軟件指的是，有威脅的惡意軟件不是通過特定文檔進入用戶的計算機，而是安裝在計算機本身的RAM中，并使用不同的進程進行開發。一旦執行該惡意軟件，這種網絡犯罪技術可以通過多種方式在計算機上產生威脅：如Anthrax病毒影響系統上的文件;Phasebot充當其他網絡犯罪分子的惡意軟件配置工具包;Poweliks改變服務器以打開感染的新入口點。

通過這種策略，無文件惡意軟件會使出現問題的用戶難以發現到，并且其還可以逃避未專門準備檢測此類入侵的網絡安全解決方案的檢測。

無文件惡意軟件攻擊來勢洶洶

盡管與其他攻擊方式相比，無文件惡意軟件的知名度要低得多，但無文件惡意軟件目前正迎來發展高峰，這種現象令人擔憂。根據Ponemon研究所的一項研究，2017年全球所有網絡攻擊中有29%是無文件惡意軟件，預計到2018年底，這一數字將攀升至35%。

這種網絡攻擊模式在商業環境中尤其危險，因為一旦安裝在RAM上，無文件惡意軟件就會每天24小時停留在計算機上進行有效的攻擊，甚至可以影響整個公司的服務器，從而引發一系列連鎖反應。根據相關研究機構的調查報告，無文件攻擊的成功率頗高。

無論如何，這些攻擊都會影響任何類型的企業或組織。

2016年中，美國民主黨全國委員會(DNC)曾遭遇的過此類攻擊：一名代號為Guccifer 2.0的激進主義分子將一段無文件惡意軟件插入該委員會的網絡系統，竊取了19,252封電子郵件和8,034個附件。根據維基解密的爆料，此次入侵攻擊的最終結果甚至阻礙了希拉里·克林頓競選總統，以致唐納德·特朗普成功當選。

俄羅斯ATM一夜失竊80萬美元 。去年4月，黑客通過新型惡意軟件“ATMitch”進行無文件攻擊，一夜之間成功劫持俄羅斯8臺ATM機上竊走80萬美元。據悉，攻擊全球140多家機構利用的也是這款名為”ATMitch“的惡意軟件。

Equifax數據泄漏事件。據網絡安全公司Virsec Systems的創始人兼首席技術官Satya Gupta介紹稱，去年9月，Equifax數據泄漏事件也是“無文件”攻擊的一個例子，其在Apache Struts中使用了一個命令注入漏洞。Gupta表示：“在這種類型的攻擊中，易受攻擊的應用程序不能充分驗證用戶的輸入(其可能包含操作系統命令)。因此，這些命令就可以帶著與易受攻擊的應用程序相同的特權在受感染的設備上執行。”

如何避免無文件惡意軟件攻擊

這種網絡犯罪行為的不斷增長迫使企業采取措施避免新的感染，我們建議可以采取以下必要的措施：

• 具備網絡彈性。最明顯但也是最重要的提示：網絡犯罪每天都在調整其攻擊戰略和攻擊目的。因此，任何想要保護網絡安全的公司都必須具有網絡彈性，與新類型的攻擊保持同步。
• 調整解決方案。無文件惡意軟件的最大特定在于，由于它不是從文件中操作，而是從RAM中操作，因此在許多漏洞捕獲解決方案中是無法檢測到的。因此，企業或組織需要分析和監視所有可疑的進程，無論是端點上的，還是內存本身的特定文件。
• 腳本語言工具。無文件惡意軟件經常使用調用腳本語言(如Powershell)的工具，因此公司或組織應盡可能放棄這些語言工具。
• 小心宏。宏是任何計算機上最常用的工具之一，但它們也可能是此類網絡犯罪的可能入口點。與腳本語言一樣，公司沒有必要完全放棄所有宏，但在使用它們時確實需要格外小心。