什么是无文件恶意软件以及如何防范它

到目前为止，“恶意软件”已经进入了日常生活的词典。如果您不确切知道它是什么，您就会知道这是发生在您的计算机上的一件坏事——一种病毒。因此，出于教育目的，恶意软件是一种通过恶意文件/链接安装在您的计算机上以试图禁用您的系统或窃取信息的软件。事情就是这样——恶意软件最常通过下载或文件传输获得。事实上，大多数操作系统、互联网浏览器和防病毒程序在检测和删除它们方面做得非常好。就像在生物学中一样，病毒的进化速度与防御系统相同或更快。这就是恶意软件正在发生的事情。

什么是无文件恶意软件？

遇到无文件恶意软件。一种可怕的更常用的渗透技术，黑客可以像以前一样在其程序中没有恶意软件的情况下访问网络。无文件恶意软件绕过防病毒软件和防火墙而未被检测到。这是一种被称为“离地而生”的技术，其中黑客渗透到您机器上已经存在的程序，并通过一个无害的文件（如 .PDF 文件的 Word 文档）进入。这些攻击留下的证据很少。SentinelOne 的托尼·罗文 (Tony Rowan) 完美地描述了它，他说无文件恶意软件是“没有证据就等于没有证据”。这意味着这些攻击可以是长期的。如果您是视觉学习者，AT&T 的这段视频很好地解释了无文件网络攻击。但是它们是如何工作的，它们是如何无文件的，你可能会问？

无文件网络攻击如何无文件？

我们提到了“以陆地为生”，这是因为赛门铁克的一份名为“以陆地为生和无文件攻击技术”的报告描述了四种不同类型的“无文件感染技术”：

• 无文件持久性在您的计算机注册表中嵌入恶意脚本，确保每次重新启动杀毒时攻击都重新开始。

• Non-Portable Executable (non-PE) 不使用大多数恶意软件攻击的典型二进制可执行文件 (EXE) 或动态链接库 (DLL) 文件。相反，它们会感染完成相同攻击的 Visual Basic Sc​​ript、JavaScript 和 PowerShell，但这样做看起来不同。

• 您猜对了，仅内存威胁在您的计算机内存中运行。这意味着脚本或文件实际上是写在文件或磁盘上的。一旦您的计算机重新启动，它实际上会对您的计算机进行消毒，并且不会留下任何病毒的痕迹。这种消毒通常发生在伤害已经造成之后。

• 两用工具是大多数计算机用户日常使用的工具。这些工具是可以合法使用的干净工具，但在攻击期间，这些工具会被黑客为了自己的利益而合作。

正如您所看到的，随着大多数软件越来越难被黑客入侵，黑客正在通过更难以防御的不同途径进行攻击。
赛门铁克报告的主要作者 Candid Wueest 表示：

• “攻击者正在使用经过验证的方法，这些方法通常很简单，但通过一点社会工程学和巧妙的措辞，他们仍然能够成功。如果他们可以简单地在电子邮件中附上发票并让某人故意感染自己，他们为什么要花费大量金钱或资源来寻找漏洞呢？”

密苏里州首席信息安全官 (CISO) 迈克尔·罗林 (Michael Roling) 告诉政府科技，官员们近年来看到越来越多的此类攻击，因为“基于签名”的恶意软件检测已经不够好。根据 Roling 的说法，随着越来越多的网络防火墙和网络能够更好地检测和根除传统恶意软件，黑客正在寻找“易受攻击的插件和扩展”。因此，重要的是您只能从您信任的来源使用和下载。但即便如此，像 Piriform 的 CCleaner 这样的流行工具仍然容易受到攻击。每个人都必须达成一致。

如何防范无文件网络攻击

由于这些无文件攻击很难检测，更不用说防御了，升级、升级、升级总是一个好主意。遗留系统最容易受到任何类型的攻击，尤其是无文件网络攻击。因此，请始终将您的软件、操作系统和防病毒程序更新到最新版本。此外，这也是每家公司在其业务计划和预算中都应该做的事情：投资于高质量的端到端加密、双因素身份验证以及任何和所有其他安全措施。哦，确保它是一个好的防病毒程序。61 个测试软件中只有 10 个能够阻止NotPetya 攻击。这不是一个好比率。

不仅在政府层面，而且在企业层面也需要制定法律法规。但首先需要有一个教训。根据 Wueest 的说法，对于资金相当紧张的政府机构来说，学习过程应该“至少需要两年时间”，而且它们在适应新的网络威胁方面总是很慢，尤其是在地方层面。最后，我们需要教育、教育、教育。上帝保佑，如果您或您的公司受到这些无文件攻击之一的打击，请不要保持沉默！让其他人了解所发生的事情，以便早日而不是晚地制定防御措施。与任何事情一样，一旦停止无文件攻击，就不要休息。黑客总是会寻找新的途径来在互联网上造成严重破坏。保持警惕，更改您的密码，并在今天传播有关网络安全的信息！