企業如何反擊無文件惡意軟件攻擊模式

無文件惡意軟件攻擊極難檢測，而且被發現所需的時間也在不斷增加。處理該問題的好的方法是采用零信任方法來防止惡意軟件感染網絡。

對于任何不熟悉無文件惡意軟件攻擊的人來說，它們是一種完全在進程內存中運行的惡意代碼執行技術。顧名思義，硬盤上沒有任何文件，這正是無文件惡意軟件攻擊能夠有效逃脫基于檢測的網絡安全解決方案的原因。這包括從下一代防病毒(NGAV)到端點保護平臺(EPP)和當前解決方案的一切，包括EDR（端點檢測和響應）、XDR（擴展檢測和響應）和MDR（托管檢測和響應）。

無文件攻擊技術非常普遍——根據一份2023年云原生威脅報告，去年利用現有軟件、應用程序和協議的無文件或現代戰場攻擊數量激增了1400%。

基于檢測的安全解決方案存在不足

要了解為什么EDR等基于檢測的安全解決方案未能達到目標，最好查看它們用于識別和檢測可能的惡意活動的不同技術。第一個是靜態分析，它檢查文件、代碼和二進制文件以識別可能的威脅。靜態分析速度快，可以及早檢測網絡攻擊，而不會激活惡意代碼和破壞系統。但對于無文件惡意軟件，沒有靜態內容可供分析，這就是EDR難以檢測該惡意軟件是否存在的原因。

接下來是動態分析，它檢查執行期間的軟件和文件行為。在尋找識別無文件惡意軟件時，動態分析是一個更好的選擇，但它也因兩個原因而受到限制。

首先，它是資源密集型的。這就是為什么動態分析主要在沙箱等受控環境中進行的原因。網絡犯罪分子通過部署沙箱感知惡意軟件進行響應，這通常會導致合法威脅被標記為合法操作。

動態分析監視執行期間的行為。

如果分析工具沒有監視與內存相關的活動，或者惡意軟件使用復雜的技術來隱藏其在內存中的存在，則直接在內存中運行的無文件惡意軟件可以在不被檢測到的情況下潛入。然后，EDR依靠行為分析，通過建立正常端點行為的基線并檢測異常來識別威脅。這涉及監控系統進程、API調用、用戶操作和其他活動。然而，威脅行為者越來越多地部署規避技術來繞過EDR，包括脫鉤、直接/間接系統調用、DLL漏洞利用等。其中許多技術都存在于無文件攻擊中。

無文件技術的類型

對抗無文件的好的方法是了解正在使用的不同技術。當今使用的一些更流行的技術包括：

Windows注冊表操作：在這種情況下，代碼通常由常規Windows進程直接從注冊表編寫和執行。這有助于實現持久性、繞過白名單和規避靜態分析等目標。

內存代碼注入：當今使用了多種代碼注入技術。其中包括進程空洞、本地shellcode注入和反射加載。在這些情況下，當進程在系統上運行時，惡意軟件駐留在進程內存中。然后，它會將自身分發并重新注入到對正常的日常Windows操作活動至關重要的合法進程中。

基于腳本：這不是100%無文件技術，因為它使用文件來稍后在內存中執行惡意軟件。因此，基于腳本的攻擊給檢測解決方案帶來了類似的問題，使其成為保持隱秘性的首選方法。

加殼器：加殼器是一種壓縮文件的方法，網絡犯罪分子可以通過多種方式利用加殼器。其中包括簽名重新創建、動態檢測規避，以及作為代碼注入方法，重寫現有的可執行文件并在解密后重新創建其代碼并重新映射新功能。

雖然基于文件和無文件的惡意軟件都使用打包，但引爆/解包過程是無文件過程。惡意軟件通常通過加密與位置無關的代碼（shellcode/loader/decryptor）的功能和執行來隱藏其真實的API和功能。

該代碼沒有使用太多聲明的API，通常會執行下一階段惡意庫的反射加載。我們稱這種技術為無文件，因為它運行純粹在內存中創建的惡意代碼，而不寫入磁盤。許多已知的惡意軟件大量使用打包和本地代碼注入技術來逃避靜態分析，包括Emotet、Revil、Qakbot、IceID、Vidar等。

去年，進程注入和PowerShell攻擊等無文件攻擊技術是最常報道的MITRE ATT&CK技術。無文件惡意軟件攻擊鏈的興起是安全團隊需要高度重視的事情。

無法檢測到的威脅延長了停留時間

盡管無文件惡意軟件攻擊有許多不同類型，但它們都有一些共同的特征。最值得注意的是，它們極難被發現，而且被發現所需的時間也在不斷增加，這解釋了為什么它們在網絡犯罪社區中變得越來越受歡迎。

2020年至2021年間，威脅的平均停留時間增長了36%，導致勒索軟件部署或數據泄露的攻擊的平均停留時間為34天。這只是天數的中位數。我們已經發現了一些無文件惡意軟件的示例，這些惡意軟件會在遠程端點保留數月之久，只是等待采取行動，然后才會被檢測到。

無文件惡意軟件攻擊造成更大損害

無文件攻擊非常有效，它們成功的可能性是其他攻擊的十倍。與其他攻擊相比，它們也更容易造成更大的破壞。

如何降低無文件惡意軟件攻擊風險

這些無文件惡意軟件攻擊的不斷增長，依賴基于檢測的工具來保護它們的安全團隊顯著暴露。反擊首先是采用零信任方法，對網絡進行分段并部署嚴格的訪問控制。這些步驟可以阻止無文件威脅訪問和利用未經許可的數據流。

接下來是自動移動目標防御(AMTD)，它是當今唯一能夠可靠阻止無文件攻擊和其他高級威脅的技術。這種預防技術可以阻止應用程序級別使用的攻擊路徑威脅。對于任何不熟悉AMTD的人來說，它無需檢測即可預防威脅。它隨機改變業務的運行時環境，從而導致攻擊面高度不可預測。同時，尚乘還在之前發生過攻擊的地方留下了誘餌陷阱。

至于可信應用程序，每次內存環境發生變化時都會更新這些應用程序，而嘗試針對誘餌執行的任何代碼都會被終止并鎖定，以便團隊可以進行廣泛的取證分析。