与基于文件的攻击不同,无文件恶意软件不利用传统的可执行文件。无文件攻击滥用操作系统内置的工具进行攻击。由于没有可执行文件,就没有可供防病毒软件检测的签名。这就是无文件攻击如此危险的部分原因——它们能够轻松避开防病毒产品。
在攻击中使用无文件恶意软件的原因有哪些呢?昆明亭长朗然科技有限公司网络安全专员董志军表示:第一是隐蔽性,无文件恶意软件使用合法工具,这意味着几乎不可能将无文件攻击中使用的工具列入黑名单。其次是普及性,用于无文件恶意软件的合法工具都是默认安装的。攻击者无需创建或安装任何自定义工具即可使用它们。最后是可信性,这些工具经常被使用,深受信任。在企业环境中,出于合法目的运行无文件恶意软件工具的情形并不少见。
典型的无文件型攻击借助哪些工具呢?常见的包括:PowerShell,WMI,.Net,宏。借助这些工具的常见的无文件恶意软件包括:Cobalt Kitty、Ramnit网银木马、Emotet、TrickBot、Ryuk、GandCrabs、宏病毒以及Ursnif变种。
那么,当恶意软件的传播者开始利用无文件型恶意软件时,会出现什么新的神奇效应呢?
- 恶意软件利用受害者系统上的现有漏洞,并在系统内存中运行恶意代码。
- 攻击者使用网络钓鱼或恶意攻击技术攻击受害者。
- 与传统恶意软件不同,无文件恶意软件不会在系统中留下任何痕迹。因此,使防病毒和其它安全软件难以检测到它。
为了保护您所在的工作单位免受类似攻击,我们建议您遵从如下指示:
- 遵照IT部门的要求,使用最新的安全修补程序更新所有系统。
- 在点击之前,检查弹出窗口和电子邮件中的附件/链接的真实性。
如下,我们向您分享一张电子宣传图片。为了帮助客户提升用户们和IT人员们的信息安全意识,昆明亭长朗然科技有限公司制作了大量的安全宣教素材,如果您有兴趣,在保留我司LOGO及字号的情况下,可以免费在组织机构内部使用。需要印刷品使用的也欢迎联系我们,以免费或者以付费的方式获取高清版PSD源文件。当然,如果您需要为关键岗位人员提供更深的安全意识知识内容,也欢迎联系我们,索取作品清单并洽谈采购事宜。
