有時，你可能會發(fā)現(xiàn)自己更想回到事物簡單的年代，這個時代誕生了太多的技術(shù)，讓我們的生活在更輕松的同時也變得更加復(fù)雜。其實不光是我們，網(wǎng)絡(luò)安全專家也會經(jīng)歷這樣的反思時刻，特別是當(dāng)他們遇到無文件惡意軟件感染時。

無文件惡意軟件感染——這個詞聽起來不言自明，但我們知道并非每個人都是安全方面的行家。所以此文旨在通俗易懂，您不必是專家就可以理解并使用本指南來實現(xiàn)您的在線安全。

本文將介紹以下幾點內(nèi)容：

• 什么是無文件感染?
• 為什么網(wǎng)絡(luò)罪犯使用無文件惡意軟件
• 無文件感染的工作機制
• Exploit kits——無文件感染的必備之物
• 如何保護你的電腦免受感染
• 無文件惡意軟件技術(shù)分析資源

什么是無文件感染?

正如其名，惡意軟件或病毒在感染的過程中不使用任何文件。

要了解它的含義，我們先簡單過一下傳統(tǒng)殺毒產(chǎn)品的工作原理:

1.感染之前，惡意文件需要被加載到硬盤上;

2.接著殺毒軟件開始對惡意文件進行分析(也就是payload);

3.如果識別是惡意軟件，則殺毒軟件會隔離/刪除惡意文件，從而確保計算機的安全。

而無文件感染并不能被上述過程囊括，因為系統(tǒng)就沒有接觸到文件。你應(yīng)該也能猜到：傳統(tǒng)的殺毒產(chǎn)品無法識別此感染，繼而會產(chǎn)生一系列的破壞。接下來我們將細(xì)述無文件感染可能造成的損害的類型。

為什么網(wǎng)絡(luò)罪犯使用無文件惡意軟件

網(wǎng)絡(luò)罪犯足智多謀、富有創(chuàng)造力，這種無形的感染就是他們證明自己能力的途徑之一。

惡意黑客的攻擊目標(biāo)是:

• 隱形——盡可能避免被安全產(chǎn)品發(fā)現(xiàn)的能力;
• 特權(quán)升級——利用漏洞獲取管理員權(quán)限，隨心所欲執(zhí)行任何操作的能力;
• 信息收集——盡可能多的從受害者的電腦中收集有關(guān)受害者的資料(以便以后用于其他攻擊);
• 持久性——保持惡意軟件在系統(tǒng)中盡可能長時間不被檢測到的能力。

惡意軟件制造者在無文件感染中所做的就是潛入后保持持久性，最終達(dá)到隱身的效果。想要隱藏惡意軟件的感染過程，觸發(fā)預(yù)期的行動是關(guān)鍵。比如有類“非典型”惡意軟件——利用exploit kit進入系統(tǒng)進行無文件感染，就能輕易達(dá)成目標(biāo)。

還有類無文件惡意軟件，是在直接寫入RAM后，通過隱藏在傳統(tǒng)殺毒軟件難以掃描檢測到的位置來獲得持久性。下面所列舉的持久性和屏蔽性感染可能是真正影響你電腦的頑疾所在：

1.內(nèi)存駐留惡意軟件——這類準(zhǔn)無文件惡意軟件利用的是進程或可信的Windows文件的內(nèi)存空間，將惡意代碼加載到內(nèi)存空間后，一直保持在那直到被觸發(fā)。這類惡意軟件可能并不完全算是無文件的惡意軟件類型，但我們也可以將其歸于此類。

2.Rootkit——這類惡意軟件會用用戶身份掩飾自身的存在，進而獲得管理員訪問權(quán)限。Rootkit通常駐留在內(nèi)核中，機器重啟和常規(guī)的病毒掃描對其不起作用。它的隱形能力可以用不可思議來形容，想要移除它幾乎是不可能的。當(dāng)然這類也不能算是百分百的無文件感染，但把它放在這也無妨。

3.Windows注冊表惡意軟件——這是一種較新類型的無文件惡意軟件，它能夠駐留在Windows的注冊表中。Windows注冊表是一個存儲操作系統(tǒng)和某些應(yīng)用程序的低級設(shè)置的數(shù)據(jù)庫，對普通用戶而言這是個難以導(dǎo)航的地方，但惡意軟件作者甚至可以利用操作系統(tǒng)的縮略緩存來獲得持久性。此類型的無文件惡意軟件在注冊表中的文件中執(zhí)行代碼，一旦任務(wù)執(zhí)行完文件就會被自動銷毀。

更多關(guān)于無文件惡意軟件的分類請點擊此處：this brief by McAfee。

2014年8月，當(dāng)Poweliks木馬首次亮相時，也帶來了無文件感染。它最初的設(shè)計目標(biāo)用于執(zhí)行欺詐點擊，但后來發(fā)展出更多的可能性，比如：

• 創(chuàng)造新的惡意軟件，無需觸發(fā)傳統(tǒng)的檢測機制就能感染系統(tǒng);
• 通過傳播新的惡意軟件，從成功的無文件惡意軟件感染中獲利;
• 通過能夠竊取信息的一次性惡意軟件收集有關(guān)受感染的電腦的信息，然后再用其他惡意軟件感染電腦;
• 利用漏洞，將payload移動到Windows注冊表以實現(xiàn)持久性;
• 采用先進、靈活甚至模塊化的exploit kits，更快的發(fā)現(xiàn)和操作漏洞;
• 利用大量的0day漏洞危害更多計算機;
• 通過讓機器感染勒索軟件來快速輕松的賺錢。

但無文件惡意軟件也并非完美無缺，它是在電腦的RAM內(nèi)存中運行的，所以只能在電腦開著的時候工作，這意味著攻擊者只有很小的機會執(zhí)行攻擊并滲透到您的操作系統(tǒng)。但隨著電腦的人均使用時長的增長，將會為感染創(chuàng)造更多的契機。

無文件感染的工作機制

讓我們模擬個無文件感染計算機的真實場景：

• 你正在使用安裝了Flash插件的Chrome瀏覽器(也可以是支持此插件或Javascript腳本的其他瀏覽器)。
• 你沒有及時對老舊版本的Flash插件進行更新。
• 偶然間你訪問了一個托管Angler exploit kit的網(wǎng)站。
• exploit kit開始掃描漏洞，在Flash插件中找到漏洞后會立刻在Chrome進程的內(nèi)存中運行payload。
• 如果payload是勒索軟件，它會連接到攻擊者的C&C服務(wù)器并獲取加密密鑰。
• 最后一步就是加密PC上的數(shù)據(jù)，要求你支付大量贖金。

從上面的步驟中你應(yīng)該也能看出，執(zhí)行惡意操作的payload將直接注入進程并在RAM內(nèi)存中運行。

攻擊者不會將惡意軟件程序安裝在磁盤驅(qū)動器上，因為傳統(tǒng)殺毒軟件通過簽名掃描就能檢測到。

如果payload在磁盤上或內(nèi)存中運行(這種情況比較少發(fā)生)，傳統(tǒng)殺毒軟件也能檢測得到。

Poweliks是第一個被發(fā)現(xiàn)的無文件惡意軟件，讓我們來看看它是如何用勒索軟件感染電腦并進行點擊欺詐的:

Poweliks附帶了一個默認(rèn)的關(guān)鍵字列表，用于生成廣告請求。該軟件會假裝受害者身份去合法的搜索這些關(guān)鍵字，然后聯(lián)系廣告聯(lián)盟平臺，接著Poweliks會回應(yīng)由廣告聯(lián)盟平臺發(fā)回的URL，開啟付費下載。同時，由于廣告所展示的網(wǎng)頁本身就可能是有風(fēng)險的，將會為其他惡意軟件的入侵創(chuàng)造一個良好的契機。比如Poweliks就有可能導(dǎo)致計算機上被安裝Trojan.Cryptowall。

在另外一些情況下，點擊欺詐常常與惡意廣告捆綁在一起：

雖然廣告不會向受害者展示，但廣告的下載和處理會消耗處理和網(wǎng)絡(luò)帶寬，并可能使受害者面臨二次感染，最終可能導(dǎo)致受害者完全失去對計算機的掌控權(quán)。

來源：The evolution of the fileless click-fraud malware Poweliks

EXPLOIT KITS——無文件感染的必要工具

在任何成功的無文件惡意軟件感染中，Exploit kits都起著重要作用。Exploit kits是一種軟件程序，旨在發(fā)現(xiàn)應(yīng)用程序中的漏洞、弱點或錯誤，利用它可以進入你的計算機或一些其他系統(tǒng)之中。

上文中我們已經(jīng)提到過Angler Exploit kits。它是種比較特殊的漏洞利用工具包，可以支持這些無文件感染，它的優(yōu)點在于非常靈活而且檢測率也很低。這意味著它可以方便各種惡意軟件的入侵，從銀行特洛伊木馬到勒索軟件，而不會被傳統(tǒng)的防毒軟件所發(fā)現(xiàn)。

推動無文件惡意軟件感染數(shù)量增加的兩個核心因素：

• Exploit kits正越來越被廣泛使用;
• 惡意軟件制造商每天產(chǎn)生多達(dá)230,000個新惡意軟件的樣本，為攻擊者提供了無數(shù)的攻擊媒介。

雖然Angler并不是網(wǎng)絡(luò)犯罪分子使用的唯一的Exploit kit，但它絕對是最受歡迎的一種。

網(wǎng)絡(luò)犯罪分子正在迅速發(fā)展，他們的大多目標(biāo)都是為了在短時間內(nèi)盡可能賺更多的錢。

這就是為什么當(dāng)可用于商業(yè)的Exploit kits開始包括無文件感染技術(shù)時，會讓網(wǎng)絡(luò)安全專家感到意外了。他們很難相信網(wǎng)絡(luò)犯罪分子為了讓其攻擊行為盡可能不被發(fā)現(xiàn)，會選擇放棄持久性。為了竊取大量數(shù)據(jù)或清空銀行賬戶，他們需要時間去繞過用戶的防御，盡可能多地收集和過濾數(shù)據(jù)。

如何保護您的計算機免受無文件感染

當(dāng)無文件感染剛出現(xiàn)時，由于其大量占據(jù)著計算機的RAM、使之運行緩慢而容易被發(fā)現(xiàn)。但此后，網(wǎng)絡(luò)犯罪分子又迅速加強了他們的策略和代碼，使無文件感染不那么容易被檢測到。

保護自己免受無文件惡意軟件感染的最佳方法是在它們發(fā)生之前阻止它們。

那我們該怎么做呢?

Level 1：保持應(yīng)用程序和操作系統(tǒng)應(yīng)用安全更新

大多數(shù)用戶會由于某些先入為主的觀念而無視軟件更新，比如：“它將占用我計算機的更多內(nèi)存。”或是“這可能會使我的電腦運行速度變慢。”，甚至“這可能會導(dǎo)致我的操作系統(tǒng)或其他應(yīng)用程序出現(xiàn)兼容性問題。”。

但我們不再是90年代了。安全更新對您的安全至關(guān)重要!

始終保持您的應(yīng)用和操作系統(tǒng)更新可以排除多達(dá)85%的目標(biāo)攻擊(針對您PC上特定漏洞的網(wǎng)絡(luò)攻擊)。

如果您不喜歡實時更新的騷擾，也可以選擇讓其自動更新。

Level 2：阻止攜帶Exploit kits的頁面

當(dāng)你點進一個帶有Exploit kits的受感染網(wǎng)頁時，感染可能就已經(jīng)開始了。但如果你使用的主動安全產(chǎn)品，那么它會訪問之前立即阻止訪問，Exploit kits將永遠(yuǎn)也無法訪問您計算機上的應(yīng)用程序(在本例中為瀏覽器)。

Level 3：阻止payload傳遞

一旦Exploit kits發(fā)現(xiàn)系統(tǒng)中存在漏洞，它將連接到C&C服務(wù)器下載payload并放入RAM內(nèi)存中。

但是，如果計算機受到充分保護、安全組件知道Exploit kits正在嘗試連接到惡意服務(wù)器，它將停止payload下載。

在無文件感染發(fā)生之前就將其阻止，甚至勒索軟件也無法通過。

Level 4：阻止你的電腦和攻擊者的服務(wù)器之間的通信

假設(shè)軟件中存在一個制造商自己都不知道的漏洞，payload通過0Day漏洞最終出現(xiàn)在系統(tǒng)上。

主動安全產(chǎn)品的下一層保護措施是阻止您的計算機與網(wǎng)絡(luò)罪犯控制的服務(wù)器之間的通信。得益于此，攻擊者將無法檢索從你電腦里收集的數(shù)據(jù)，并且網(wǎng)絡(luò)罪犯也無法使用其他惡意軟件感染您的系統(tǒng)。

無文件惡意軟件技術(shù)分析資源

如果您想要在技術(shù)上更一步了解有關(guān)無文件惡意軟件的更多信息，這里為您精選了一部分內(nèi)容：

• 無文件點擊欺詐惡意軟件Poweliks的演變
• Angler EK：現(xiàn)在能夠“無文件”感染(內(nèi)存惡意軟件)
• Fessleak：零日驅(qū)動的高級RansomWare惡意廣告活動
• 對感染Poweliks的系統(tǒng)進行分類
• 深入挖掘Angler Fileless Exploit交付

結(jié)論

計算機對我們的生活至關(guān)重要，網(wǎng)絡(luò)安全也是如此。隨著越來越多的數(shù)據(jù)用于在線存儲和管理，那些掌握安全知識的人將在保持設(shè)備和數(shù)據(jù)安全性方面占據(jù)上風(fēng)。