cso

当下，攻击者不断寻找新的、复杂的攻击方法对攻击目标发起攻击，以绕过传统检测工具、达到攻击目的。基于内存的无文件攻击作为新型高级威胁，被广泛利用。之所以出现这种情况，是因为无文件攻击可以绕过传统的基于文件或者基于签名的工具的保护，最终在安全防护相对薄弱的内存层面执行，更容易完成攻击目的。

根据思科2020年上半年端点检测数据显示，在关键威胁漏洞中，无文件攻击占比达到30%。可见，无文件攻击对端点造成的威胁不容小觑。

无文件攻击多数是一种不依赖带有病毒的文件来感染主机的攻击方式，其仅存在于RAM中，它可以通过使用漏洞、宏、脚本或合法的系统工具，避免在某个阶段将恶意的可执行文件植入计算机的硬盘驱动器中。此类攻击旨在从系统内存发起，基本不触及本地文件系统，因此绕过了许多基于病毒样本库的恶意软件识别解决方案。一旦一台机器被入侵，它就可以用来访问“合法的系统管理工具和流程，以获得持久性、提升特权并在网络中横向传播”。

通常，在基于文件的攻击中，二进制有效载荷被下载到目标机器上便可以执行恶意操作。传统防病毒软件可以通过识别恶意软件的签名并将其与已知恶意软件的数据库进行比较来防止这些已知攻击。而无文件攻击可以绕过基于签名的检测机制，使其被检测更困难。

主要是由于如下几点：

首先，因为它没有可识别的代码或签名，传统的防病毒工具无法检测到无文件恶意软件。

其次，无文件威胁存在于系统的内存 (RAM) 中，这意味着很难通过硬盘扫描进行排查，通常没有可追踪的数字足迹。

最后，由于无文件恶意软件不遵循既定的行为模式，并且经常利用受信任的进程来掩盖恶意行为，因此依赖行为分析的EDR平台无法追踪和暴露无文件威胁，也无法检测到它。

2、无文件攻击常见的4大特性

因为它基本不依赖于系统上文件的下载、安装或执行，所以无文件恶意软件很难被检测到。传统的防病毒软件包依靠可执行文件的签名来嗅探恶意软件，但无文件恶意软件不会留下这样的签名。

事实上，在许多情况下，它仅在与其关联的合法进程也在运行时运行。并增加了额外的难度，它仅在计算机运行时运行，并在重新启动时消失得无影无踪。无文件攻击可以通过Office文档、PDF或其他合法文件类型来释放shellcode等行为来感染系统，也可以通过在漏洞利用工具包受影响的站点上进行简单的Web浏览来感染系统。

无文件恶意软件的常见属性：

存在于计算机系统内存中。

避开传统的病毒签名或基于哈希的检测。

利用操作系统中内置的进程和系统中安装的授权应用程序。

击败基于反恶意软件扫描的系统方法。

3、无文件恶意软件攻击方式

无文件恶意软件一般通过如下几种方式展开攻击：

1、通过内存漏洞发起攻击

对于驻留在内存中的恶意软件，攻击者可以向正在运行的应用中注入恶意载荷。该技术可用于绕过某些应用程序白名单和防病毒解决方案的管控，因为攻击者的代码是在组织机构允许的应用中执行的。内存无文件攻击的初始阶段与传统的恶意攻击没有太大的区别，通常利用鱼叉式网络钓鱼和隐秘下载来攻击受害者并取得立足之地。这些恶意软件中，有很多是彻彻底底的恶意软件，它们将恶意载荷嵌入到另一种文件类型（例如DLL）中，然后从目标系统上提取出来再执行。

3、通过windows注册表或文档发起攻击

通常，无文件恶意软件仅存在于计算机的随机存取存储器（RAM）中，这意味着没有任何内容直接写入硬盘存储器。但是，其不会永远保存在硬盘储存器中，一旦用户重启系统后，由无文件攻击引起的破坏就可以停止。然而，恶意攻击者使用技术来确保无文件感染不依赖端点来维持攻击。黑客可以通过设置脚本来对系统注册表进行细微更改，即使重启系统也可以运行。此外，还可以通过使用自动运行功能在注册表中存储恶意代码来破坏Windows注册表，从而即使在计算机重新启动后，攻击也会在后台继续运行。

此外，无文件攻击还可以嵌入文档，利用Office文档（例如Microsoft Word和Excel）和PDF等已批准的应用程序中的恶意宏代码（例如JavaScript或VBScript）。宏可以运行脚本并滥用合法工具（如PowerShell）来启动、下载或执行代码，脚本和有效负载。无文件攻击还可以通过垃圾邮件或网络钓鱼邮件进入系统，诱使接收者单击恶意链接，然后启动感染过程。