网络威胁处于一种不断演变的状态之中,企业需要不断提高防御水平,而网络犯罪分子也在不断调整并探索新的攻击媒介。这就产生了“LotL”进行无文件攻击的方式。这个概念已经存在了数十年,过去曾在Unix系统攻击中大量使用,但是近年来在Windows系统上又重新复燃。
什么是无文件攻击?
无文件攻击的定义有很多,略有不同。简而言之,无文件攻击是指磁盘上没有特定的恶意文件。无文件攻击利用合法的应用程序和流程来执行恶意活动,例如特权升级、有效负载交付、数据收集等。
无文件恶意软件攻击,是真的无文件吗?
当预先安装的合法软件被用于无文件攻击时,该技术通常被称为“LotL”。我们经常看到攻击链的某些阶段正在使用无文件攻击技术,因此从技术上讲,整个攻击不是无文件的。与传统恶意软件的不同之处在于,它不需要安装恶意软件来感染受害者的计算机。相反,它利用了计算机上的现有漏洞。无文件攻击存在于计算机的内存中,并使用常见的系统工具通过将恶意代码注入正常安全且受信任的进程(如javaw.exe和iexplore.exe)来执行攻击。这些攻击可以在不下载任何恶意文件的情况下控制计算机,因此而得名。
无文件攻击呈上升趋势
无文件攻击比基于恶意软件的传统威胁更容易实施也更有效。所以,网络罪犯分子会寻找阻力最小、成功率最高的途径实施攻击,这也正是越来越多的网络罪犯分子采用无文件攻击的原因所在。据Ponemon Institute的“终端安全风险状况报告”表明,成功的恶意软件攻击中有77%涉及无文件技术攻击。早在2017年4月,黑客通过新型恶意软件“ATMitch”以无文件攻击方式,一夜之间劫持了俄罗斯8台ATM机,窃走80万美元。在2020年年初,全球40个国家的140多家包括银行、电信和政府机构等组织遭到“ATMitch”无文件攻击,感染机构遍布美国、法国、厄瓜多尔、肯尼亚、英国和俄罗斯等国家。
无文件的攻击方式
一种更常见的技术是发送网络钓鱼电子邮件,试图欺骗人们点击恶意链接或打开恶意附件,例如包含宏的Microsoft Word文档。一旦黑客获得访问权限,他们就会直接从计算机的内存中运行命令或恶意软件。他们经常利用内置的系统管理工具(如Windows PowerShell或计划任务)来运行命令和恶意软件。有四种主要的攻击类别:
安克诺斯如何阻止无文件攻击?
安克诺斯数据保护软件可以通过多层威胁响应方法来检测并阻止无文件恶意软件攻击。
安克诺斯数据保护软件的行为引擎监视PowerShell和其他应用程序,分析它们在做什么以识别意外的、罕见的行为。这意味着,如果任何一种已执行的脚本执行恶意软件通常会执行的操作,或者这些操作可能导致系统受损,则脚本将被停止,同时管理员也将收到警报。
让我们来看一个示例,看看安克诺斯数据保护软件的行为引擎如何与URL过滤相结合来帮助您:
安克诺斯数据保护软件的基于人工智能的静态分析器经过了考验,可以检查正在运行的脚本的结果,从而提供第二意见和另一层安全性。如果攻击者由于服务器未正确打补丁而能够上载初始脚本,则意味着没有漏洞评估和补丁管理功能。安克诺斯数据保护软件可以通过利用嵌入式漏洞评估和补丁管理程序来帮助防御此类攻击媒介。借助这些功能,可以在需要安克诺斯行为式引擎或基于人工智能的分析器之前就停止攻击。
另外,安克诺斯数据保护软件包含基于人工智能的强大的主动防护技术,即使网络犯罪分子发现了新的漏洞或渗透系统的方法,机器学习也会检测到勒索软件的进程并阻止它们。
安克诺斯主动防护技术同时还可以保护备份文件。当犯罪分子开始攻击备份文件时,主动防护技术是阻止这种攻击的有效方案,可以阻止系统中除安克诺斯软件外的任何进程修改备份文件。还可以实施强大的保护机制,抵御任何典型的攻击,不允许网络犯罪分子破坏安克诺斯软件的工作进程或更改备份文件的内容。机器学习和新的启发式算法使主动防护成为针对当今勒索软件和未来变种的绝佳的数据保护技术。
总而言之,安克诺斯数据保护软件将优秀的备份、基于下一代人工智能的反恶意软件和终端保护管理集成到一个解决方案中。多种保护技术的集成不仅提高了可靠性,还减少了学习、部署和维护新功能所需的时间。只需要一个代理、一个管理界面、一个许可证,消除了与非集成解决方案相关的复杂性和风险。借助安克诺斯数据保护软件,用户可以享受针对现代威胁的全面网络保护。