抵御无文件型恶意软件威胁那些事儿

目前，无文件恶意软件对企业环境的威胁日益增加。无文件恶意软件使用的代码不需要驻留在目标窗口设备上，而普通的窗口安装程序涉及许多东西:PowerShell、WMI、VB、注册表项和。NET框架等。但是，对于无文件恶意软件，当实现目标主机感染时，它们不需要通过文件调用上述组件。

这个过程通常被称为进程空洞化(Process Hollowing)，在这种情况下，恶意软件可以使用特定的进程作为恶意代码的存储容器和分发机制。最近，火眼的研究人员发现黑客已经集成了PowerShell、VB脚本和。NET应用程序集成到一个代码包中。

使用PowerShell来实施威胁是非常常见的，每个人都应该知道基于PowerShell的漏洞有多强大，因为恶意代码可以直接在电脑内存中执行。此外，PowerShell还可用于远程访问威胁或绕过应用白名单保护等。

鉴于如此严重的安全威胁，安全团队能做些什么来保护他们的组织免受无文件恶意软件的攻击？

确保公司内部环境的安全

为了抵御无文件恶意软件的威胁，首先我们必须确保组织网络系统中的计算机安装了当前的补丁程序。许多罪犯会利用旧系统中尚未修复或延迟的漏洞，而“永久蓝色”漏洞就是一个很好的例子(该漏洞的补丁应该在漏洞利用程序发布之前发布)。

接下来，我们将设计一个强大的安全意识培训计划。这并不意味着您必须定期进行安全练习，或者偶尔向员工发送网络钓鱼测试电子邮件。这里我们需要建立一套安全的操作程序，让员工有效地意识到电子邮件附件的危险，防止员工无意识地点击不熟悉的链接。因为许多无文件恶意软件威胁始于简单的网络钓鱼电子邮件，所以这种安全培训或操作程序非常重要。

第三，安全团队需要知道窗口内置代码的操作行为，以便我们能够发现异常情况。例如，如果您在/TEMP目录中发现隐藏的PowerShell脚本，您需要小心。

更新访问权限和特权账号

组织应该了解无文件恶意软件的威胁机制，因为即使您点击了电子邮件中的恶意附件，也不意味着您的计算机会立即被恶意软件感染。因为许多恶意软件会横向渗透到目标系统所在的网络环境中，找到更有价值的目标，如域控制器或网络服务器等。为了防止这种情况发生，我们应该仔细划分组织内的网络系统和相应的访问权限，特别是对于第三方应用程序和用户。

当恶意软件成功渗透到目标组织的网络系统时，随着恶意软件的横向渗透，犯罪分子可以使用PowerShell来实现权力提升。例如，罪犯可以发送反向域名系统请求，枚举网络共享的访问控制列表，并查找特定域组的成员。

因此，安全团队应遵循“最低权限”原则，及时检查过期账户的访问权限，并根据需要限制部分账户的权限。此外，组织应该禁用那些不需要的窗口程序，因为不是每个员工都需要运行PowerShell或。NET框架安装在自己的计算机上。当然，您也可以删除像SMBv1这样的遗留协议，这也是WannaCry能够作恶的主要原因。

为了确保微软办公室的恶意宏不会被犯罪分子利用来实现威胁，我们也应该尽可能禁用宏功能，但这不是一个常见的解决方案，因为很多用户仍然需要宏功能来完成他们的工作。

抗争到底！

尽管没有文件的威胁日益猖獗，微软并没有停滞不前。事实上，他们已经开发了一个叫做“反恶意软件扫描接口(Anti-Malware Scan Inface)”的开放接口，许多厂商已经开始使用它来检测无文件恶意软件威胁，尤其是在分析脚本行为时，这个接口的作用更加明显。

此外，任何想了解更多关于非文件威胁的研究人员都应该看看开源项目——altFs。这是一个完整的无文件虚拟文件系统，可以用来演示无文件技术的工作机制，该项目可以直接在视窗或macOS平台上构建和使用。

如您所见，面对没有文档的威胁，我们需要脚踏实地地做大量详细工作，并在各种工具和技术之间进行仔细协调。随着越来越多不可预测的恶意软件威胁的出现，各大组织应该采取更多措施来加强自身的安全防御。