上周六,美国最大的燃料管道运营商ColonialPipeline遭受网络勒索攻击,导致部分IT系统关闭,管道运营中断。为防止事态进一步扩大,公司已主动将关键系统下线,并暂时停止所有管道的运行,以防止勒索软件感染范围继续扩大。勒索软件是一种恶意软件攻击,也是最常见的网络安全威胁之一。一旦不法组织得逞,受害组织和个人的核心数据将牢牢掌握在对方手中。根据FBI互联网犯罪报告,平均每天发生4,000起勒索软件事件。根据Verizon的《 2018年数据泄露调查报告》,检测到的恶意软件案例中有39%是勒索软件,仅2019年就造成了115亿美元的损失。一般来说,勒索软件很难防范。如果有文件,仍然可以通过基于行为和样本库的安全产品进行一定程度的查杀和响应;而无文件勒索攻击可以绕过主流安全防护产品驻留在内存中,而传统安全防护产品缺乏对底层CPU指令集和内存的实时监控,大大增加了防御难度。截至目前,越来越多的攻击者使用这种攻击方式。攻击者之所以选择无文件攻击,是因为在这种方式下,受害者主机上并没有PE恶意文件,它往往驻留在内存中,在达到攻击目标后随系统自动启动甚至自行停止,从而在受害主机上留下最少的犯罪痕迹,避免或延缓一些安全产品的检测,为犯罪活动提供便利。那么,应该如何防御无文件攻击呢?命名为“隐身”一般来说,恶意软件攻击通常涉及将恶意文件写入磁盘或需要交互来执行其恶意意图。多种形式为感染后取证留下痕迹。但是,由于无文件攻击是内存驻留的,因此它们通常不会在执行后留下内存足迹。恶意负载发生在RAM中,这意味着它不会在不会被检测为异常的文件的帮助下通过远程无文件形式向磁盘写入任何内容或执行其他命令,因此名称为“无文件攻击”.因此,这使得基于内存的攻击比基于文件的恶意软件更难检测。虽然攻击者不必安装代码来发起无文件恶意软件攻击,但他们仍然需要访问环境以便修改他们的本地工具以实现他们的目标。访问和攻击可以通过多种方式完成,例如通过使用:漏洞利用工具包被劫持的本机工具注册表恶意软件内存恶意软件Fileless勒索软件凭据被盗的Fileless攻击以隐秘和微妙的方式蓬勃发展,以及由此产生的网络犯罪活动,所有这些都是由于使用可以逃避传统黑名单检测和解决的不同无文件技术。尤其是近几年,无文件攻击已经成为端点安全的新威胁。无文件恶意软件难以检测传统防病毒软件工具和端点检测与响应(EDR)安全平台难以检测无文件威胁。有几个因素使得无文件威胁特别难以检测和缓解:首先,由于许多无文件攻击是使用本地工具(例如Powershell)执行的,这些工具没有可识别的代码或签名,因此传统的防病毒工具无法检测到它们无文件恶意软件。无文件威胁存在于系统内存(RAM)中,这意味着通常没有数字足迹可根据文件特征进行追踪。最后,由于无文件恶意软件不遵循特定的行为模式并且通常利用受信任的进程来掩盖恶意行为,因此依赖行为分析的EDR平台无法找出并暴露无文件威胁,因此无法检测到它。无文件攻击在过去一年呈爆炸式增长,因为它们比传统的恶意软件攻击更难检测。根据趋势科技2019年Roundup报告,2019年上半年检测到的无文件威胁较2018年增加了265%。攻击者开始选择无文件攻击方式,以绕过传统防护工具基于病毒样本库、网络流量、日志、黑白名单、漏洞补丁。随着新兴技术的发展,无文件攻击、复杂威胁等威胁逐渐出现并被利用,应对和防范瞬息万变的环境成为众多企业面临的挑战。有针对性地选择解决方案可以很好地解决此类威胁。
