无文件病毒:一种隐藏但又日趋严峻的企业安全威胁
近几年,复杂的无文件病毒(Fileless Malware)为企业带来了巨大的威胁,其常被用来绕过传统的文件扫描技术,在受感染的电脑内保持隐匿而不被发现,这是企业所必须正视的隐藏性威胁。
在操作系统和应用程序中,暗藏着许多不同的漏洞,攻击者可以利用这些漏洞感染电脑并偷走敏感数据。“无文件病毒”跟其他病毒一样会利用这些漏洞,但不同的是它会在不被察觉的情况下进行,并通过特制的PowerShell脚本直接写入电脑内存。由于现在的安全软件往往基于恶意软体特征码来侦测攻击,因此没有实体文件的无文件病毒会很容易逃过监测。此外,这类威胁利用系统本身的命令来执行攻击,网络流量和系统行为监控系统很可能不会做出响应。
从正面看,黑客不知道自己有多长时间可以进行攻击,因为系统可能随时都会重新启动而让攻击中断。不过黑客会写入注册表并设定脚本,好在系统重新启动后执行,确保攻击能够继续。这对于没有为这类复杂性攻击做好准备的企业构成了极大的威胁。
有许多重大攻击已经利用“无文件病毒”进行,在2017 年,有超过100家金融机构遭受无文件病毒攻击感染,影响了40多个国家,俄罗斯至少有8台自动提款机遭受无文件病毒攻击,让黑客控制机器并偷走了80万美元。受影响银行在自动提款机或服务器上都找不到任何恶意软件感染的痕迹,只是在自动提款机的硬盘上发现两份恶意软件日志文件。由于这种攻击技术在过去较为少见,使得金融机构难以适时地对新威胁作出反应。
无文件病毒还出现在了勒索病毒攻击上,在 WannaCry 勒索病毒影响数千家企业后不久,其他变种也开始出现模仿。UIWIX勒索病毒使用跟WannaCry一样的漏洞攻击,不过还加上了无文件病毒技术,从而避免被侦测和分析。
要跟上不断变化的威胁形势,并应对如无文件病毒这样的复杂病毒,对于许多企业来说都是件令人头大的事情。但是管理者可以采取一些措施来保护自己免于隐形风险的威胁,并且更好地侦测这些躲避技术。
亚信安全建议企业要部署最新的修补程序,采用最低权限原则并启用定制化沙箱。企业还应该要采用最佳实践来防护和使用PowerShell,检查系统内的可疑或恶意行为。IT部门还应考虑设定监视规则来侦测可能用于恶意PowerShell脚本内的命令。此外,监控系统行为、防护可能的进入点,以及停用不必要组件对于防止无文件病毒感染都相当重要。
行业热点:
了解亚信安全,请点击“阅读原文”