在任何企業(yè)的網(wǎng)絡(luò)安全意識(shí)戰(zhàn)略中，員工都需要遵守一項(xiàng)基本準(zhǔn)則：如果不能100%確認(rèn)安全，他們就絕不能打開(kāi)任何文件或附件。

否則，下載或打開(kāi)可疑文件可能會(huì)導(dǎo)致整個(gè)企業(yè)產(chǎn)生安全危機(jī)。

但是，當(dāng)惡意軟件感染計(jì)算機(jī)中，卻無(wú)法在任何文件中發(fā)現(xiàn)該惡意軟件時(shí)，用戶該怎么辦呢?如果該惡意軟件被嵌入到難以檢測(cè)的進(jìn)程中，又該如果呢?這些問(wèn)題都是公司遭遇無(wú)文件惡意軟件攻擊時(shí)經(jīng)常困擾他們的問(wèn)題。

無(wú)文件惡意軟件攻擊，真的無(wú)文件?究竟什么是無(wú)文件惡意軟件，有一點(diǎn)需要明確，就是無(wú)文件惡意軟件有時(shí)候也會(huì)使用文件。

最初，無(wú)文件惡意軟件的確指的是那些不使用本地持久化技術(shù)、完全駐留在內(nèi)存中的惡意代碼，但后期這個(gè)概念的范圍逐漸擴(kuò)大，現(xiàn)在，將那些依賴(lài)文件系統(tǒng)的某些功能以實(shí)現(xiàn)惡意代碼激活和駐留的惡意軟件也包括進(jìn)來(lái)，傳統(tǒng)的防毒產(chǎn)品無(wú)法識(shí)別這種感染。

無(wú)文件惡意軟件指的是，有威脅的惡意軟件不是通過(guò)特定文檔進(jìn)入用戶的計(jì)算機(jī)，而是安裝在計(jì)算機(jī)本身的RAM中，并使用不同的進(jìn)程進(jìn)行開(kāi)發(fā)。

一旦執(zhí)行該惡意軟件，這種網(wǎng)絡(luò)犯罪技術(shù)可以通過(guò)多種方式在計(jì)算機(jī)上產(chǎn)生威脅：如Anthrax病毒影響系統(tǒng)上的文件;Phasebot充當(dāng)其他網(wǎng)絡(luò)犯罪分子的惡意軟件配置工具包;Powepks改變服務(wù)器以打開(kāi)感染的新入口點(diǎn)。

通過(guò)這種策略，無(wú)文件惡意軟件會(huì)使出現(xiàn)問(wèn)題的用戶難以發(fā)現(xiàn)到，并且其還可以逃避未專(zhuān)門(mén)準(zhǔn)備檢測(cè)此類(lèi)入侵的網(wǎng)絡(luò)安全解決方案的檢測(cè)。

無(wú)文件惡意軟件攻擊來(lái)勢(shì)洶洶盡管與其他攻擊方式相比，無(wú)文件惡意軟件的知名度要低得多，但無(wú)文件惡意軟件目前正迎來(lái)發(fā)展高峰，這種現(xiàn)象令人擔(dān)憂。

根據(jù)Ponemon研究所的一項(xiàng)研究，2017年全球所有網(wǎng)絡(luò)攻擊中有29%是無(wú)文件惡意軟件，預(yù)計(jì)到2018年底，這一數(shù)字將攀升至35%。

這種網(wǎng)絡(luò)攻擊模式在商業(yè)環(huán)境中尤其危險(xiǎn)，因?yàn)橐坏┌惭b在RAM上，無(wú)文件惡意軟件就會(huì)每天24小時(shí)停留在計(jì)算機(jī)上進(jìn)行有效的攻擊，甚至可以影響整個(gè)公司的服務(wù)器，從而引發(fā)一系列連鎖反應(yīng)。

根據(jù)相關(guān)研究機(jī)構(gòu)的調(diào)查報(bào)告，無(wú)文件攻擊的成功率頗高。

無(wú)論如何，這些攻擊都會(huì)影響任何類(lèi)型的企業(yè)或組織。

2016年中，美國(guó)民主黨全國(guó)委員會(huì)(DNC)曾遭遇的過(guò)此類(lèi)攻擊：一名代號(hào)為Guccifer 2.0的激進(jìn)主義分子將一段無(wú)文件惡意軟件插入該委員會(huì)的網(wǎng)絡(luò)系統(tǒng)，竊取了19,252封電子郵件和8,034個(gè)附件。

根據(jù)維基解密的爆料，此次入侵攻擊的最終結(jié)果甚至阻礙了希拉里·克林頓競(jìng)選總統(tǒng)，以致唐納德·特朗普成功當(dāng)選。

俄羅斯ATM一夜失竊80萬(wàn)美元 。

去年4月，黑客通過(guò)新型惡意軟件“ATMitch”進(jìn)行無(wú)文件攻擊，一夜之間成功劫持俄羅斯8臺(tái)ATM機(jī)上竊走80萬(wàn)美元。

據(jù)悉，攻擊全球140多家機(jī)構(gòu)利用的也是這款名為”ATMitch“的惡意軟件。

Equifax數(shù)據(jù)泄漏事件。

據(jù)網(wǎng)絡(luò)安全公司Virsec Systems的創(chuàng)始人兼首席技術(shù)官Satya Gupta介紹稱(chēng)，去年9月，Equifax數(shù)據(jù)泄漏事件也是“無(wú)文件”攻擊的一個(gè)例子，其在Apache Struts中使用了一個(gè)命令注入漏洞。

Gupta表示：“在這種類(lèi)型的攻擊中，易受攻擊的應(yīng)用程序不能充分驗(yàn)證用戶的輸入(其可能包含操作系統(tǒng)命令)。

因此，這些命令就可以帶著與易受攻擊的應(yīng)用程序相同的特權(quán)在受感染的設(shè)備上執(zhí)行。

如何避免無(wú)文件惡意軟件攻擊這種網(wǎng)絡(luò)犯罪行為的不斷增長(zhǎng)迫使企業(yè)采取措施避免新的感染，我們建議可以采取以下必要的措施：具備網(wǎng)絡(luò)彈性。

最明顯但也是最重要的提示：網(wǎng)絡(luò)犯罪每天都在調(diào)整其攻擊戰(zhàn)略和攻擊目的。

因此，任何想要保護(hù)網(wǎng)絡(luò)安全的公司都必須具有網(wǎng)絡(luò)彈性，與新類(lèi)型的攻擊保持同步。

調(diào)整解決方案。

無(wú)文件惡意軟件的最大特定在于，由于它不是從文件中操作，而是從RAM中操作，因此在許多漏洞捕獲解決方案中是無(wú)法檢測(cè)到的。

因此，企業(yè)或組織需要分析和監(jiān)視所有可疑的進(jìn)程，無(wú)論是端點(diǎn)上的，還是內(nèi)存本身的特定文件。

腳本語(yǔ)言工具。

無(wú)文件惡意軟件經(jīng)常使用調(diào)用腳本語(yǔ)言(如Powershell)的工具，因此公司或組織應(yīng)盡可能放棄這些語(yǔ)言工具。

宏是任何計(jì)算機(jī)上最常用的工具之一，但它們也可能是此類(lèi)網(wǎng)絡(luò)犯罪的可能入口點(diǎn)。

與腳本語(yǔ)言一樣，公司沒(méi)有必要完全放棄所有宏，但在使用它們時(shí)確實(shí)需要格外小心。