上周六，美國(guó)最大的燃油管道運(yùn)營(yíng)商Colonial Pipeline遭受網(wǎng)絡(luò)勒索攻擊，導(dǎo)致部分IT系統(tǒng)停機(jī)，管道運(yùn)營(yíng)中斷。為了預(yù)防事態(tài)進(jìn)一步擴(kuò)大，該公司已主動(dòng)將關(guān)鍵系統(tǒng)脫機(jī)，暫時(shí)停止了所有管道的運(yùn)行，以避免勒索軟件的感染范圍持續(xù)蔓延。

[[399366]]

勒索軟件是惡意軟件攻擊的一種類(lèi)型，也是最常見(jiàn)的網(wǎng)絡(luò)安全威脅之一，一旦被非法組織得逞，受害組織和個(gè)人的的核心數(shù)據(jù)則會(huì)被牢牢控制在對(duì)方手中。據(jù)聯(lián)邦調(diào)查局互聯(lián)網(wǎng)犯罪報(bào)告顯示，每天平均有4000個(gè)勒索軟件事件發(fā)生。Verizon的《 2018年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，在發(fā)現(xiàn)的惡意軟件案例中，有39%是勒索軟件，僅2019年就造成了115億美元的損失。

通常，勒索軟件比較難以防護(hù)。如果是有文件的仍可以在一定程度上被基于行為和樣本庫(kù)的安全產(chǎn)品進(jìn)行查殺和響應(yīng);而無(wú)文件的勒索攻擊由于其可以繞過(guò)主流的安全防護(hù)產(chǎn)品駐留在內(nèi)存中，傳統(tǒng)安全防護(hù)產(chǎn)品缺乏對(duì)于底層CPU指令集與內(nèi)存的實(shí)時(shí)監(jiān)控，則防御難度增加了很多。截至目前，越來(lái)越多的攻擊者采用這種攻擊方式。而攻擊者之所以選擇無(wú)文件攻擊是因?yàn)橥ㄟ^(guò)這種方式，被攻者主機(jī)上無(wú)落地的PE惡意文件，常常會(huì)駐留在內(nèi)存中隨著系統(tǒng)而自啟甚至?xí)谶_(dá)到攻擊目的后自我停止，這樣在被攻者主機(jī)上會(huì)留下最少的犯罪痕跡，而且可以逃避或者推遲一些安全產(chǎn)品的檢測(cè)，方便犯罪活動(dòng)的進(jìn)行。那么，無(wú)文件攻擊應(yīng)該如何防御呢?

以“隱秘”而得名

一般來(lái)講，惡意軟件攻擊通常涉及到寫(xiě)入磁盤(pán)的惡意文件或需要交互來(lái)執(zhí)行他們的惡意意圖，這些特征會(huì)以一種或多種形式為感染后取證留下痕跡。但是，由于無(wú)文件攻擊是內(nèi)存駐留的，所以它們通常不會(huì)在執(zhí)行后留下內(nèi)存占用。惡意有效負(fù)載發(fā)生在RAM中，這意味著它不會(huì)向磁盤(pán)寫(xiě)入任何內(nèi)容或借助不會(huì)被檢測(cè)出異常特征的文件再通過(guò)遠(yuǎn)程無(wú)文件形式執(zhí)行額外的指令，因此而得名“無(wú)文件攻擊”。也正因如此，這使得基于內(nèi)存的攻擊比基于文件的惡意軟件更難檢測(cè)。

盡管攻擊者不必安裝代碼即可發(fā)起無(wú)文件惡意軟件攻擊，但他們?nèi)孕枰L問(wèn)環(huán)境，以便他們可以修改其本機(jī)工具以達(dá)到其目的?？梢酝ㄟ^(guò)多種方式來(lái)完成訪問(wèn)和攻擊，例如通過(guò)使用以下方式：

• 漏洞利用套件
• 被劫持的本機(jī)工具
• 注冊(cè)表惡意軟件
• 內(nèi)存惡意軟件
• 無(wú)文件勒索軟件
• 憑證被盜

無(wú)文件攻擊以隱秘和微妙的方式蓬勃發(fā)展，由此引起的網(wǎng)絡(luò)犯罪活動(dòng)也越來(lái)越多，這一切歸因于使用不同的無(wú)文件技術(shù)，可以逃避傳統(tǒng)的黑名單檢測(cè)和解決方案。特別是在過(guò)去的幾年時(shí)間里，無(wú)文件攻擊已經(jīng)成為了終端安全的新威脅。

無(wú)文件惡意軟件難以檢測(cè)

傳統(tǒng)的防病毒軟件工具和端點(diǎn)檢測(cè)與響應(yīng)(EDR)安全平臺(tái)在檢測(cè)無(wú)文件威脅方面存在困難。有一些因素使無(wú)文件威脅特別難以檢測(cè)和緩解：

• 首先，由于很多無(wú)文件攻擊是借助系統(tǒng)自帶工具例如Powershell等來(lái)執(zhí)行，它沒(méi)有可識(shí)別的代碼或簽名，因此傳統(tǒng)的防病毒工具無(wú)法檢測(cè)到無(wú)文件的惡意軟件。
• 無(wú)文件威脅存在于系統(tǒng)的內(nèi)存(RAM)中，這意味著通常沒(méi)有可追蹤的基于文件特征的數(shù)字足跡。
• 最后，由于無(wú)文件惡意軟件沒(méi)有遵循一定的行為模式，并且經(jīng)常利用受信任的進(jìn)程來(lái)掩蓋惡意行為，因此依賴(lài)行為分析的EDR平臺(tái)無(wú)法搜尋和暴露無(wú)文件威脅，因此無(wú)法檢測(cè)到它。

與傳統(tǒng)的惡意軟件攻擊相比，由于無(wú)文件攻擊很難被檢測(cè)到，因此在過(guò)去的一年中，無(wú)文件攻擊的數(shù)量激增。根據(jù)Trend Micro’s 2019 Roundup Report，與2018年相比，2019年上半年對(duì)無(wú)文件威脅的檢測(cè)量增加了265%。攻擊者開(kāi)始選擇無(wú)文件攻擊的攻擊方法，以繞過(guò)基于病毒樣本庫(kù)、網(wǎng)絡(luò)流量、日志、黑白名單、漏洞補(bǔ)丁的傳統(tǒng)防護(hù)工具的防護(hù)。

隨著新興技術(shù)的發(fā)展，諸如無(wú)文件攻擊之類(lèi)的威脅和復(fù)雜威脅逐漸興起并被利用，應(yīng)對(duì)瞬息萬(wàn)變的環(huán)境并防范是眾多企業(yè)面臨的挑戰(zhàn)。針對(duì)性的選擇解決方案，可以很好的解決此類(lèi)威脅問(wèn)題。