无文件攻击,真的无文件?

2019-12-17 22:26 标签: 无文件攻击

  近年来,一种被称为无文件攻击的渗透形式与日俱增,逐渐引起人们重视。这类攻击从2016年初的3%上升到了2018年11月的13%, 并且还在持续增长,知名安全公司Carbon Black对超过1000名用户(拥有超过250万个包括服务器和PC在内的主机)进行分析后发现,几乎每个组织都遭到了无文件攻击。平均每3个感染中就有1个是无文件攻击造成的。早在2017年4月,黑客通过新型恶意软件 “ATMitch”,以“无文件攻击”方式,一夜劫持俄罗斯8台ATM机,窃走80万美元。在今年年初,全球40个国家的140多家包括银行、电信和政府机构等组织遭到 “ATMitch”无文件攻击,感染机构遍布美国、法国、厄瓜多尔、肯尼亚、英国和俄罗斯等国家。在全球经济和网络一体化的时代,中国用户同样不能幸免。据悉,国内54%的公司经历过1次或多次破坏了数据或基础设施的成功攻击,其中77%的攻击利用了漏洞或无文件攻击。

  无文件攻击并非没有文件

  以无文件攻击中最常见的一类(无文件挖矿攻击)举例:如果用户在点开文档之后,电脑瞬间被卡,反应速度缓慢,不能工作。关机重启之后,电脑却照样没反应,散热风扇山响,CPU资源占用了100%……杀毒软件查不到任何异常……一旦出现以上情况,用户电脑十有八九是遭到无文件挖矿攻击。

  无文件挖矿攻击并非没有文件基础,只是因为在此类攻击中,系统变得相对干净,传统的防毒产品识别不出,更谈不上及时通知技术人员进行防御了,这就造成了这种攻击好像没有文件基础的假象。这种无文件恶意攻击主要是靠网络的方法,在内存里存上一串恶意代码,没有落地文件,这样一来,杀毒软件就很难发现其踪迹了。

  对付无文件攻击,传统安全手段失灵

  任何恶意代码,只要重启电脑,内存就清除。可是重启对无文件攻击没有作用。无文件攻击通常采用powershell.exe,cscript.exe,cmd.exe和mshta.exe运行远程脚本,该脚本不落地到本机内,同时将该任务设置为计划任务或者开机启动,重启无效。这些程序都是系统的合法程序,杀毒软件自然无可奈何。无文件攻击在成功潜入内存并安定下来后,便可以为所欲为,或进行挖矿、加密文件进行勒索、连接远程C&C下载更多病毒文件等。一切操作都是披着合法外衣悄悄进行,不仅获得了权限,是合法的,而且也不大,所以几乎不会被杀毒软件发现。

热门文章 我国网络安全的新形势和新挑战 网络安全的演变趋势 第七届国家网络安全宣传周幕:你我共同维护网络安全 2020年第二季度DDos攻击报告 企业如何解决网络安全问题
行业资讯 Industry Information

关于我们

About Us