正在阅读：‘无文件恶意软件’到底是什么鬼 真没有文件?‘无文件恶意软件’到底是什么鬼 真没有文件?

无文件恶意软件的威力

　　近期，俄罗斯至少八台ATM取款机，在一夜之间被窃取了80万美元，黑客只是走向ATM，甚至都没有触碰机器就取走了现金，且在ATM机上找不到任何入侵的痕迹，唯一的‘线索’（甚至称不上线索）是ATM机硬盘上发现的两个包含恶意软件日志的文件，kl.txt和logfile.txt，可以理解为“取款”和“取款成功”。

　　为此，安全员创建YARA识别规则捕获样本（YARA是一款模式识别工具，帮助研究人员识别恶意软件），攻击银行所用的正是一种隐藏在内存中的无文件病毒，而非传统恶意程序驻足在硬盘中。

　　实际上，无文件病毒正是利用了ATM机上的合法工具，ATM将这些恶意代码识别为正规软件，之后远程操控发送指令，与此同时黑客等在ATM前将钱取走，当所有现金被取出后，黑客就会“注销”，留下非常少的线索。

　　再有，就是email附件作恶。不论是对公还是对私，电子邮件都发挥着不可替代的作用。因此，针对电子邮件的网络攻击仍不在少数。Coremail论客与360的联合监控平台，每天能截获6000多封带毒邮件，高峰时期可达单日数万封。当中，PE文件（可执行文件）占3.8%，非PE文件占比为96.2%。

　　而在今年早些时候，微软恶意软件保护中心就曾发出警告，称当前有进行ZIP压缩文件内恶意‘.LNK’文件的垃圾邮件涌现，附加了恶意PowerShell脚本，PowerShell是一种用于自动执行Windows系统管理任务的脚本语言，已多次被用于下载恶意软件，甚至有恶意软件程序完全写在PowerShel内。

如何防御无文件恶意软件攻击？

　　其实，不论面对何种网络安全威胁，及时更新是最基础的。因此，在抵御无文件恶意软件时，首先要做的就是保证端点及时更新，确保用户只有标准用户账户没有特权账户，并使用端点反恶意软件工具来保护设备，扫描网络连接和电子邮件中是否存在恶意软件，降低恶意软件到达端点并执行的几率。

　　再者，阻止托管漏洞套件页面。当感染网站托管漏洞套件时感染就会开始。但如果你使用了主动安全产品，则可以在遇到问题后立即阻止该页面，漏洞利用套件无法访问计算机上的应用程序。网站是生成或连接到网络犯罪的基础设施，攻击者在基础设施上投入大量的时间和金钱，因此很少改变它，所以这种检测技术对用户的在线安全性是无价的。