自今年5月WannaCry 勒索軟件在全球范圍內(nèi)爆發(fā)以來，陸續(xù)出現(xiàn)Equifax遭遇大規(guī)模數(shù)據(jù)泄露事件等等，網(wǎng)絡(luò)安全形勢(shì)相當(dāng)緊迫，企業(yè)在投資新政策及安全產(chǎn)品方面壓力倍增。

然而，即便增加安全預(yù)算，仍有眾多企業(yè)擔(dān)心現(xiàn)有技術(shù)不能跟上快速變化的威脅形勢(shì)。企業(yè)尤其擔(dān)心越來越多攻擊會(huì)取得企業(yè)系統(tǒng)訪問權(quán)，偷偷感染系統(tǒng)，而無需下載惡意程序或留下明顯的蹤跡，這就是所謂的“無文件攻擊”。

“無文件攻擊”也被稱為“非惡意軟件攻擊”。這類攻擊的行動(dòng)底線在于利用受害者企業(yè)的受信任軟件和系統(tǒng)工具躲避檢測。此類攻擊很快便成為IT和安全專家亟待解決的首要威脅。

傳統(tǒng)意義上講，網(wǎng)絡(luò)攻擊涉及惡意軟件，攻擊者利用惡意軟件訪問受害者的電腦（通常會(huì)利用軟件漏洞或誘騙受害者下載文件等），其后安裝具有破壞性的可執(zhí)行文件（Payload）實(shí)施攻擊。

從攻擊者的角度來看，這種方法的問題在于易被反病毒解決方案檢測。若不安裝惡意文件，攻擊者可輕易繞過這些安全解決方案，攻擊者只需劫持其它合法的系統(tǒng)工具和受信任的應(yīng)用程序從事非法活動(dòng)。

高層次的攻擊可分為兩大主要階段：初始攻擊階段（獲得目標(biāo)系統(tǒng)的訪問權(quán)）和漏洞利用后實(shí)施的攻擊活動(dòng)（攻擊者進(jìn)入系統(tǒng)后實(shí)施的活動(dòng)）。

攻擊者可在這兩個(gè)階段利用“無文件”技術(shù)完成目標(biāo)，以此可躲避傳統(tǒng)、甚至下一代機(jī)器學(xué)習(xí)反病毒軟件。

為了取得初始訪問權(quán)，攻擊者會(huì)利用漏洞利用，例如，攻擊者在Equifax數(shù)據(jù)泄露案例中利用未修復(fù)的Apache Struts漏洞執(zhí)行惡意命令。常用的“無文件”技術(shù)是利用存在缺陷的應(yīng)用程序，并將代碼注入正常的系統(tǒng)進(jìn)程，從而獲得訪問權(quán)，并在目標(biāo)設(shè)備執(zhí)行命令，而不會(huì)被察覺。一旦完成初始攻擊，攻擊者便可濫用強(qiáng)大的系統(tǒng)管理工具（例如PowerShell、PsExec和WMI）繼續(xù)躲避檢測。由于具有合法用例，攻擊者便可隱藏在“光天化日之下”提權(quán)，在網(wǎng)絡(luò)中橫向活動(dòng)，并修改注冊(cè)表保持持久性。

人們往往對(duì)“無文件”攻擊存在誤解，認(rèn)為它不會(huì)涉及文件。然而事實(shí)并非如此，此類攻擊通常會(huì)在初始攻擊階段利用文件，最大的不同之處在于這些文件并非惡意可執(zhí)行文件，而是諸如Microsoft Office文檔之類的文件。

傳統(tǒng)端點(diǎn)安全面臨的挑戰(zhàn)是，這些文件本身并不具有惡意功能，因此安全掃描就如形同虛設(shè)，這樣一來，這些文件便成了發(fā)起攻擊的完美工具。

例如，攻擊者開始可能會(huì)誘騙企業(yè)員工打開釣魚電子郵件中的Word文檔，而受害員工可能會(huì)無意激活其中的宏或腳本，而宏或腳本隨后會(huì)啟用PowerShell。此后，攻擊者便會(huì)使用PowerShell直接執(zhí)行內(nèi)存中的惡意代碼，從而使攻擊走向“無文件”之路。

由于此類攻擊的組件并不是惡意的，因此安全解決方案需具備能力觀察攻擊的行為鏈運(yùn)作方式，并識(shí)別來自其它合法程序的攻擊鏈何時(shí)發(fā)動(dòng)攻擊。

事實(shí)上，“無文件攻擊”技術(shù)已存在一段時(shí)間。例如， 21世紀(jì)初就出現(xiàn)了內(nèi)存漏洞利用：Code Red和SQL Slammer蠕蟲。然而，創(chuàng)建并廣泛傳播易于使用的攻擊工具和漏洞利用工具使得“無文件”攻擊更為普遍，尤其Metasploit和PowerSploit這類滲透測試框架易被濫用，因?yàn)樗鼈兲峁┈F(xiàn)成的“無文件”漏洞利用可用來實(shí)施任何攻擊。

因此，此類技術(shù)不止限于技術(shù)高超的黑客和國家型間諜組織，普通網(wǎng)絡(luò)犯罪分子也逐漸利用大量“無文件”技術(shù)攻擊企業(yè)。“SANS 2017威脅形勢(shì)調(diào)查”顯示，近三分之一的被調(diào)查企業(yè)報(bào)告遭遇過“無文件”攻擊。

雖然“無文件”技術(shù)善于躲避檢測，但仍有辦法降低風(fēng)險(xiǎn)。

首先，企業(yè)應(yīng)禁用不常用的管理工具?；蛑辽傧拗茩?quán)限和功能。由于眾多“無文件”技術(shù)依賴PowerShell，企業(yè)應(yīng)考慮禁用或限制它的功能。

同樣，禁用Office宏能消除“無文件”攻擊的最常用發(fā)起點(diǎn)。企業(yè)應(yīng)及時(shí)修復(fù)操作系統(tǒng)和應(yīng)用程序，修復(fù)不可行的情況下，企業(yè)應(yīng)隔離這些系統(tǒng)防止?jié)撛诠魯U(kuò)散。

企業(yè)IT部門應(yīng)識(shí)別端點(diǎn)上的惡意活動(dòng)和行為，以此檢測并阻止“無文件”攻擊。目前已有新的端點(diǎn)解決方案可實(shí)時(shí)阻止“無文件”攻擊，IT及安全高管應(yīng)研究新端點(diǎn)解決方案，選擇最適合的安全解決方案。