Malwarebytes報告稱最近無文件惡意軟件攻擊飆升，并建議企業監控進程內存以抵御這些威脅。那么，監控進程內存如何阻止無文件攻擊以及企業的做法是什么？

對于保護端點，最重要的是在端點部署可作為安全監控器的東西，這是指執行授權訪問策略的系統組件，在美國國防部“橙皮書”中被稱為參考監控器。

端點安全監控器獨立于操作系統，并跟蹤可能影響端點的任何不安全配置或惡意活動。Windows防病毒軟件用于監控大多數端點；該軟件旨在保護用戶免受各種威脅，包括惡意軟件、廣告軟件、特洛伊木馬和基于文件的攻擊。

[[260441]]

企業在評估無文件惡意軟件攻擊時，端點系統內存監控是應該考慮的安全工具，盡管它會產生大量數據。

通過監控內存，安全監控器可確定在系統上執行了哪些命令，包括檢測使用PowerShell的無文件惡意軟件攻擊。我們可監控內存以尋找正在系統上執行的某個操作–不管開始執行惡意代碼的程序是什么，以識別潛在有害的操作，例如程序或腳本被配置為在登錄時執行或在端點更改與持續性相關的其他方面。例如，如果Microsoft Word宏在執行復雜PowerShell下載程序作為攻擊的一個階段，我們可通過監控內存以檢測與Microsoft Word宏相關的活動。

同樣，系統內存監控可能產生大量數據。但企業可以使用策略（包括行為規則或簽名）來標記動作序列或嘗試訪問可能是惡意的內存。此時，該系統可以為分析師生成警報以進行調查。

最終，惡意軟件開發人員將找到方法來克服這種防御，部分是通過改變用于訪問內存的API來避免檢測，就像他們試圖操縱磁盤訪問API一樣。這樣的話，端點安全供應商將需要改進其防篡改保護措施，以防止這些攻擊禁用或繞過防病毒工具。

近日Malwarebytes實驗室發布的報告主要在研究這些無文件惡意軟件攻擊的演變。該實驗室建議，端點安全工具應包括監視內存的功能，以及診斷基于PowerShell攻擊的功能。如果你的端點安全工具無法抵御這些類型的攻擊，請確定供應商何時計劃添加這些功能或轉移到新產品。