Malwarebytes報(bào)告稱(chēng)最近無(wú)文件惡意軟件攻擊飆升，并建議企業(yè)監(jiān)控進(jìn)程內(nèi)存以抵御這些威脅。那么，監(jiān)控進(jìn)程內(nèi)存如何阻止無(wú)文件攻擊以及企業(yè)的做法是什么？

對(duì)于保護(hù)端點(diǎn)，最重要的是在端點(diǎn)部署可作為安全監(jiān)控器的東西，這是指執(zhí)行授權(quán)訪(fǎng)問(wèn)策略的系統(tǒng)組件，在美國(guó)國(guó)防部“橙皮書(shū)”中被稱(chēng)為參考監(jiān)控器。

端點(diǎn)安全監(jiān)控器獨(dú)立于操作系統(tǒng)，并跟蹤可能影響端點(diǎn)的任何不安全配置或惡意活動(dòng)。Windows防病毒軟件用于監(jiān)控大多數(shù)端點(diǎn)；該軟件旨在保護(hù)用戶(hù)免受各種威脅，包括惡意軟件、廣告軟件、特洛伊木馬和基于文件的攻擊。

[[260441]]

企業(yè)在評(píng)估無(wú)文件惡意軟件攻擊時(shí)，端點(diǎn)系統(tǒng)內(nèi)存監(jiān)控是應(yīng)該考慮的安全工具，盡管它會(huì)產(chǎn)生大量數(shù)據(jù)。

通過(guò)監(jiān)控內(nèi)存，安全監(jiān)控器可確定在系統(tǒng)上執(zhí)行了哪些命令，包括檢測(cè)使用PowerShell的無(wú)文件惡意軟件攻擊。我們可監(jiān)控內(nèi)存以尋找正在系統(tǒng)上執(zhí)行的某個(gè)操作–不管開(kāi)始執(zhí)行惡意代碼的程序是什么，以識(shí)別潛在有害的操作，例如程序或腳本被配置為在登錄時(shí)執(zhí)行或在端點(diǎn)更改與持續(xù)性相關(guān)的其他方面。例如，如果Microsoft Word宏在執(zhí)行復(fù)雜PowerShell下載程序作為攻擊的一個(gè)階段，我們可通過(guò)監(jiān)控內(nèi)存以檢測(cè)與Microsoft Word宏相關(guān)的活動(dòng)。

同樣，系統(tǒng)內(nèi)存監(jiān)控可能產(chǎn)生大量數(shù)據(jù)。但企業(yè)可以使用策略（包括行為規(guī)則或簽名）來(lái)標(biāo)記動(dòng)作序列或嘗試訪(fǎng)問(wèn)可能是惡意的內(nèi)存。此時(shí)，該系統(tǒng)可以為分析師生成警報(bào)以進(jìn)行調(diào)查。

最終，惡意軟件開(kāi)發(fā)人員將找到方法來(lái)克服這種防御，部分是通過(guò)改變用于訪(fǎng)問(wèn)內(nèi)存的API來(lái)避免檢測(cè)，就像他們?cè)噲D操縱磁盤(pán)訪(fǎng)問(wèn)API一樣。這樣的話(huà)，端點(diǎn)安全供應(yīng)商將需要改進(jìn)其防篡改保護(hù)措施，以防止這些攻擊禁用或繞過(guò)防病毒工具。

近日Malwarebytes實(shí)驗(yàn)室發(fā)布的報(bào)告主要在研究這些無(wú)文件惡意軟件攻擊的演變。該實(shí)驗(yàn)室建議，端點(diǎn)安全工具應(yīng)包括監(jiān)視內(nèi)存的功能，以及診斷基于PowerShell攻擊的功能。如果你的端點(diǎn)安全工具無(wú)法抵御這些類(lèi)型的攻擊，請(qǐng)確定供應(yīng)商何時(shí)計(jì)劃添加這些功能或轉(zhuǎn)移到新產(chǎn)品。