正在阅读：‘无文件恶意软件’到底是什么鬼 真没有文件?‘无文件恶意软件’到底是什么鬼 真没有文件?

　　【PConline 杂谈】相信大多数人第一次看到‘无文件恶意软件’时都会心生疑问，真的没有文件？没有文件又如何实施攻击？其实，有时候无文件恶意软件还是会使用文件的，但绝大多数时间里，它们会通过进驻内存来保持隐身，也正是这种隐蔽性非常高的攻击手法，使得无文件恶意软件逐渐流行起来。有了它，黑客可以悄无声息的攻击ATM取款机等各种终端以及操作系统。

‘无文件恶意软件’到底是什么鬼 真没有文件?

　　经过观察分析我们发现，无文件恶意软件通过进驻内存来保持自己隐身，以减少被检测到的机会，保持不被发现的时间越长，就越有可能实现自己的目标。在无文件恶意软件攻击中，系统变得相对干净因而没有很多恶意文件可被检测出来去通知安全管理员。正因如此，无文件恶意软件变得很难防御更不易被分析。

什么是无文件恶意软件？

　　究竟什么是无文件恶意软件，有一点需要明确，就是无文件恶意软件有时候也会使用文件。最初，无文件恶意软件的确指的是那些不使用本地持久化技术、完全驻留在内存中的恶意代码，但后期这个概念的范围逐渐扩大，现在，将那些依赖文件系统的某些功能以实现恶意代码激活和驻留的恶意软件也包括进来，传统的防毒产品无法识别这种感染。

攻击者为什么使用无文件恶意软件？

　　首先我们要明白黑客攻击的目标是什么：首先是隐形，尽可能避免被安全产品检测到的能力；再者，就是利用漏洞进行特权升级，使自己能够以管理员的身份访问系统，做任何他们想要的；还有就是信息收集，尽可能收集有关受害者和受害者计算机的数据，用于后续其他攻击；最后，就是持久性，即在系统中保持恶意软件的能力，延长被发现的时间。

　　要知道，不是每种终端解决方案都直接检查内存，写磁盘的操作会触动防御布网，而让恶意软件仅进入内存则可避免该风险，因此内存是一个理想的藏身之所。此外，PowerShell等工具已经存在于系统中，这为攻击者留下了多个好处，能依靠局域网为生，减少因在受害者主机上部署恶意软件而产生的动静。

无文件恶意软件是如何工作的？

　　那么，无文件恶意软件如何实现隐身的？早前，McAfee还还归属Intel时曾发表过一份威胁报告，介绍了无文件恶意软件如何删除它在受感染系统磁盘中保存的所有文件，在注册表中保存加密数据，注入代码到正在运行的进程，并使用PowerShell、Windows Management Instrumentation和其他技术使其难以被检测以及分析。

　　注册表中保存数据的方式让恶意软件可在启动时运行而不被用户查看或访问，此时攻击者便有更多的时间利用其恶意软件继续执行攻击。实际上，恶意软件也可能会被检测到，但在分析前大多数反恶意软件产品都很难发现和移除无文件恶意软件。

　　例如Kovter恶意软件，其通过电子邮件或恶意软件网站进行分发，在本地计算机执行最初的恶意软件攻击后，Kovter会编写JavaScript到注册表，调用同样存储在该注册表中加密的PowerShell脚本，由于它并不会保存文件，且利用Powershell进行隐藏很难被检测到。

无文件恶意软件的威力

　　近期，俄罗斯至少八台ATM取款机，在一夜之间被窃取了80万美元，黑客只是走向ATM，甚至都没有触碰机器就取走了现金，且在ATM机上找不到任何入侵的痕迹，唯一的‘线索’（甚至称不上线索）是ATM机硬盘上发现的两个包含恶意软件日志的文件，kl.txt和logfile.txt，可以理解为“取款”和“取款成功”。

　　为此，安全员创建YARA识别规则捕获样本（YARA是一款模式识别工具，帮助研究人员识别恶意软件），攻击银行所用的正是一种隐藏在内存中的无文件病毒，而非传统恶意程序驻足在硬盘中。

　　实际上，无文件病毒正是利用了ATM机上的合法工具，ATM将这些恶意代码识别为正规软件，之后远程操控发送指令，与此同时黑客等在ATM前将钱取走，当所有现金被取出后，黑客就会“注销”，留下非常少的线索。

　　再有，就是email附件作恶。不论是对公还是对私，电子邮件都发挥着不可替代的作用。因此，针对电子邮件的网络攻击仍不在少数。Coremail论客与360的联合监控平台，每天能截获6000多封带毒邮件，高峰时期可达单日数万封。当中，PE文件（可执行文件）占3.8%，非PE文件占比为96.2%。

　　而在今年早些时候，微软恶意软件保护中心就曾发出警告，称当前有进行ZIP压缩文件内恶意‘.LNK’文件的垃圾邮件涌现，附加了恶意PowerShell脚本，PowerShell是一种用于自动执行Windows系统管理任务的脚本语言，已多次被用于下载恶意软件，甚至有恶意软件程序完全写在PowerShel内。

如何防御无文件恶意软件攻击？

　　其实，不论面对何种网络安全威胁，及时更新是最基础的。因此，在抵御无文件恶意软件时，首先要做的就是保证端点及时更新，确保用户只有标准用户账户没有特权账户，并使用端点反恶意软件工具来保护设备，扫描网络连接和电子邮件中是否存在恶意软件，降低恶意软件到达端点并执行的几率。

　　再者，阻止托管漏洞套件页面。当感染网站托管漏洞套件时感染就会开始。但如果你使用了主动安全产品，则可以在遇到问题后立即阻止该页面，漏洞利用套件无法访问计算机上的应用程序。网站是生成或连接到网络犯罪的基础设施，攻击者在基础设施上投入大量的时间和金钱，因此很少改变它，所以这种检测技术对用户的在线安全性是无价的。