前言针对企业环境的无文件恶意软件威胁呈上升趋势。无文件恶意软件使用的代码不需要驻留在目标Windows设备上,一个普通的Windows安装程序涉及很多东西:PowerShell、WMI、VB、注册表项和.NET框架等。对于文件型恶意软件,它们感染目标主机时不需要通过文件调用上述组件。这个过程通常称为ProcessHollowing。在这种机制下,恶意软件可以使用特定的进程作为恶意代码的存储容器和分发机制。最近,FireEye研究人员发现黑客将PowerShell、VB脚本和.NET应用程序组合到一个代码包中。使用PowerShell实施威胁是很常见的,大家也应该知道基于PowerShell的漏洞有多致命,因为恶意代码可以直接在PC内存中执行。此外,PowerShell可用于远程访问威胁或绕过应用程序白名单保护等。鉴于这些不断增长的安全威胁,安全团队可以做些什么来保护他们的组织免受无文件恶意软件的侵害?保护您公司的内部环境防范无文件恶意软件的威胁首先要确保您组织网络系统上的计算机当前已安装补丁。许多不法分子会利用旧版本系统未修复或延迟修复的机会,“永恒之蓝”漏洞就是一个很好的例子(该漏洞的补丁在漏洞发布之前发布)。接下来,我们要设计一个强大的安全意识培训计划。这并不意味着您必须定期进行安全演习,或偶尔向员工发送测试网络钓鱼电子邮件。这里需要制定一套安全操作规程,让员工有效意识到邮件附件的危害,防止员工无意识地点击陌生链接。由于许多无文件恶意软件威胁都是从简单的网络钓鱼电子邮件开始的,因此此类安全培训或操作计划非常重要。第三,安全团队需要了解Windows内置代码的操作行为,以便我们能够发现异常。例如,如果您在/TEMP目录中发现隐藏的PowerShell脚本,则需要小心。更新访问和特权帐户组织应该了解无文件恶意软件的威胁机制,因为仅仅因为您单击电子邮件中的恶意附件并不意味着您的计算机立即感染了恶意软件。因为很多恶意软件会横向渗透到目标系统所在的网络环境中,寻找更有价值的目标,比如域控制器或者web服务器。为了防止这种情况发生,我们应该仔细划分组织内部的网络系统和相应的访问权限,尤其是对第三方应用程序和用户。恶意软件成功侵入目标组织的网络系统后,随着恶意软件的横向渗透,不法分子可以利用PowerShell实现提权。例如,犯罪分子可以发送反向DNS请求来枚举网络共享的访问控制列表,并查明谁是特定域组的成员。因此,安全团队应遵循“最小权限”原则,及时检查过期账户的访问权限,并根据需要限制某些账户的权限。除此之外,组织必须禁用不需要的Windows程序,因为并非每个员工都需要在他们的计算机上运行PowerShell或.NETFramework。当然,您也可以删除SMBv1等遗留协议,这是WannaCry起作用的主要原因。为了保证恶意的MSOffice宏不被不法分子利用来实现威胁,我们也应该尽可能地禁用宏功能,但这并不是万能的解决方案,因为很多用户仍然需要宏功能来完成他们的工作。战斗到底!虽然无文件威胁正在增加,但Microsoft并没有停滞不前。事实上,他们已经开发了一个名为“反恶意软件扫描接口”的开放接口,许多供应商已经开始使用它来检测无文件恶意软件威胁,尤其是在分析脚本行为时。效果变得更加明显。此外,任何想要深入了解无文件威胁的研究人员都应该看看开源项目-AltFS。这是一个完整的无文件虚拟文件系统,可以用来演示无文件技术的工作机制,项目可以直接在Windows或macOS平台上构建使用。如您所见,对抗无文件威胁需要大量脚踏实地的细节工作以及各种工具和技术之间的仔细协调。随着越来越多的不可预见的恶意软件威胁的出现,组织采取措施加强其安全防御变得更加重要。
