上周六,美国最大的燃油管道运营商Colonial Pipeline遭受网络勒索攻击,导致部分IT系统停机,管道运营中断。为了预防事态进一步扩大,该公司已主动将关键系统脱机,暂时停止了所有管道的运行,以避免勒索软件的感染范围持续蔓延。
![]()
勒索软件是恶意软件攻击的一种类型,也是最常见的网络安全威胁之一,一旦被非法组织得逞,受害组织和个人的的核心数据则会被牢牢控制在对方手中。据联邦调查局互联网犯罪报告显示,每天平均有4000个勒索软件事件发生。Verizon的《 2018年数据泄露调查报告》显示,在发现的恶意软件案例中,有39%是勒索软件,仅2019年就造成了115亿美元的损失。
通常,勒索软件比较难以防护。如果是有文件的仍可以在一定程度上被基于行为和样本库的安全产品进行查杀和响应;而无文件的勒索攻击由于其可以绕过主流的安全防护产品驻留在内存中,传统安全防护产品缺乏对于底层CPU指令集与内存的实时监控,则防御难度增加了很多。截至目前,越来越多的攻击者采用这种攻击方式。而攻击者之所以选择无文件攻击是因为通过这种方式,被攻者主机上无落地的PE恶意文件,常常会驻留在内存中随着系统而自启甚至会在达到攻击目的后自我停止,这样在被攻者主机上会留下最少的犯罪痕迹,而且可以逃避或者推迟一些安全产品的检测,方便犯罪活动的进行。那么,无文件攻击应该如何防御呢?
以“隐秘”而得名
一般来讲,恶意软件攻击通常涉及到写入磁盘的恶意文件或需要交互来执行他们的恶意意图,这些特征会以一种或多种形式为感染后取证留下痕迹。但是,由于无文件攻击是内存驻留的,所以它们通常不会在执行后留下内存占用。恶意有效负载发生在RAM中,这意味着它不会向磁盘写入任何内容或借助不会被检测出异常特征的文件再通过远程无文件形式执行额外的指令,因此而得名“无文件攻击”。也正因如此,这使得基于内存的攻击比基于文件的恶意软件更难检测。
尽管攻击者不必安装代码即可发起无文件恶意软件攻击,但他们仍需要访问环境,以便他们可以修改其本机工具以达到其目的。可以通过多种方式来完成访问和攻击,例如通过使用以下方式:
- 漏洞利用套件
- 被劫持的本机工具
- 注册表恶意软件
- 内存恶意软件
- 无文件勒索软件
- 凭证被盗
无文件攻击以隐秘和微妙的方式蓬勃发展,由此引起的网络犯罪活动也越来越多,这一切归因于使用不同的无文件技术,可以逃避传统的黑名单检测和解决方案。特别是在过去的几年时间里,无文件攻击已经成为了终端安全的新威胁。
无文件恶意软件难以检测
传统的防病毒软件工具和端点检测与响应(EDR)安全平台在检测无文件威胁方面存在困难。有一些因素使无文件威胁特别难以检测和缓解:
- 首先,由于很多无文件攻击是借助系统自带工具例如Powershell等来执行,它没有可识别的代码或签名,因此传统的防病毒工具无法检测到无文件的恶意软件。
- 无文件威胁存在于系统的内存(RAM)中,这意味着通常没有可追踪的基于文件特征的数字足迹。
- 最后,由于无文件恶意软件没有遵循一定的行为模式,并且经常利用受信任的进程来掩盖恶意行为,因此依赖行为分析的EDR平台无法搜寻和暴露无文件威胁,因此无法检测到它。
与传统的恶意软件攻击相比,由于无文件攻击很难被检测到,因此在过去的一年中,无文件攻击的数量激增。根据Trend Micro’s 2019 Roundup Report,与2018年相比,2019年上半年对无文件威胁的检测量增加了265%。攻击者开始选择无文件攻击的攻击方法,以绕过基于病毒样本库、网络流量、日志、黑白名单、漏洞补丁的传统防护工具的防护。
随着新兴技术的发展,诸如无文件攻击之类的威胁和复杂威胁逐渐兴起并被利用,应对瞬息万变的环境并防范是众多企业面临的挑战。针对性的选择解决方案,可以很好的解决此类威胁问题。
