什么是无文件恶意软件攻击?
无文件恶意软件攻击是一种劫持系统资源攻击主机系统的网络攻击。
传统的恶意软件攻击需要攻击者在目标系统中安装恶意代码。但无文件恶意软件不依赖新代码。相反,代码会被重新编程,以适应攻击者的目标。
无文件恶意软件能够避开传统的基于文件的检测,因此特别具有威胁性。2018 年,无文件恶意软件攻击的数量翻了一番,此后一直稳步上升。
无文件恶意软件如何运行
- 攻击者利用网页脚本漏洞远程访问目标系统。
- 攻击者获得环境凭证后,可在系统中快速移动。
- 然后,攻击者修改注册表创建后门,这样他们就能继续返回环境而不被发现。
- 攻击者先收集数据,然后使用内置系统实用程序对其进行压缩。
- 攻击者通过 FTP 上传数据,将数据从环境中删除。
如何检测无文件恶意软件
无文件恶意软件因几乎无法检测而臭名昭著。不过,安全团队可以通过两种主要方法保护组织免受无文件恶意软件攻击。
1.寻找攻击迹象
攻击迹象(IOAs)和破坏迹象(IOC)都是有用的网络安全见解,但 IOAs 在检测无文件恶意软件攻击方面更为有效。IOCs 关注的是攻击可能执行的步骤,而 IOAs 则寻找攻击目前正在进行的迹象。
这些迹象包括代码执行、横向移动和其他看似掩盖其意图的行为。识别 IOAs 的解决方案可查找所有类型恶意软件为窃取数据而必须执行的事件,而不仅仅是代码更改。
2.采用托管威胁猎杀
威胁猎取是一项耗时耗力的工作,但对于发现无文件恶意软件攻击却至关重要。在恶意软件和其他网络威胁自大流行病以来不断上升的时代,尤其如此。这需要对大量数据进行汇总和规范化,这也是许多组织选择提供托管威胁搜索服务的提供商的原因。
管理完善的威胁猎取服务通过为安全团队提供有效的威胁猎取工具和支持,帮助用户为攻击做好准备,从而降低攻击的影响。托管的威胁猎取工具可在实施后数周内实现深入洞察和取证。
打击无文件恶意软件攻击需要摆脱传统的基于文件的应对措施。 CylancePROTECT®使用内存防御、脚本和宏控制以及我们的上下文分析引擎 (CAE) 来保护您的组织安全。Cylance人工智能驱动的威胁防御和响应解决方案可保护您免受威胁的攻击,无论威胁以何种方式运行。
