Malwarebytes在最新一份报告中警告:公司企业面临越来越大的无文件网络攻击风险。
这些高级攻击通过借用以往民族国家复杂黑客攻击中的传播与反取证技术来规避检测与维持驻留。
波耐蒙研究所的调查研究显示,2018年所有攻击中无文件恶意软件占据了35%之多。
Malwarebytes研究人员认为,恶意黑客开发部署恶意软件的方式发生了转变,快速转向了高度动态的攻击,可以频繁变形以躲过标准安全产品的检测。
无文件恶意软件攻击常利用默认Windows工具执行恶意动作或在网络中横向移动到其他机器上。此类攻击中最常用到的Windows工具就是PowerShell和WMI,这两个工具几乎每台Windows机器上都自带。
PowerShell是一种脚本语言,恶意黑客可以之获取对 Windows API 和系统内核的不受限访问权。
终端安全公司Cyberreason的研究员 Fred O’Connor 在博客中评论道:
PowerShell可通过Windows远程管理(WinRM)远程执行的功能令其成为了黑客眼中颇为诱人的工具。该功能可使攻击者绕过Windows防火墙,远程执行PowerShell脚本或直接将脚本释放到互动PowerShell会话中,提供对终端的完全管理控制。
全球范围内检测到无文件恶意软件
他还指出,即便WinRM没有运行,也可以通过WMI用一行代码就能远程启动。
最近攻击者开始在网络钓鱼活动中发送嵌入到Office文档里的PowerShell脚本。一旦打开,经过精心编制的文件就会在被感染主机上开始执行恶意代码。该攻击完全绕过了系统的安全措施,并可潜伏一段时间不被发现。
Malwarebytes研究人员声明:
无文件攻击对公司企业非常有效,因为大部分现有及旧有安全解决方案都是检测基于文件的恶意软件的。”无文件攻击的成功率比其基于文件的前辈们高出10倍。
由于能完全绕过系统安全防御向系统中植入隐藏恶意代码,此类攻击正成为恶意黑客的武器首选。
Mawarebytes评论道:这些高级攻击通过借用以往民族国家复杂黑客攻击中的传播与反取证技术来规避检测与维持驻留。
攻击者一直在改变他们的方法以规避企业部署的安全措施。无文件攻击可使他们完全掌控一台主机。而且,只要正确执行,攻击者能在主机上潜伏相当长的一段时间。
对抗无文件攻击的最佳防御之一,就是对自己在系统上使用和打开的东西随时保持警惕。
Malwarebytes认为,未来想要保住计算机安全,就得监视和保护计算体验的方方面面,包括进程的入站和出站流量,甚至可以下载的文件。