在今天这个相互联系的世界上，计算机安全是最重要的。随着网络威胁的不断增加，保持对最新威胁的了解对于保护我们的数据和系统至关重要。 

其中一个新出现的威胁是无文件 恶意软件急剧增加。

到2021年底，WatchGuard的终端技术 "已经检测到了2020年全年[他们]目睹的约80%的无文件或靠土地生存的攻击行为"。 资料来源

来源

顾名思义，它是一种在目标系统上不创建文件的恶意软件，使其难以被检测和删除。

在这篇文章中，我们将探讨无文件的恶意软件，它是如何工作的，以及可以采取哪些措施来保护它。

什么是无文件的恶意软件？

无文件的恶意软件是一种恶意代码，它完全在计算机系统的内存中运行，不在硬盘上创建任何文件。传统的恶意软件，如病毒、特洛伊木马和蠕虫，依靠文件来感染和传播整个系统。 

相比之下，无文件的恶意软件驻留在系统的RAM、注册表和其他易失性存储区域，使得它很难用传统的反病毒软件来检测。

无文件的恶意软件是如何工作的？

不使用文件的恶意软件通过进入你的计算机内存来运作。因此，没有任何有害代码会进入你的硬盘驱动器。它进入你的系统的方式与其他恶意软件的方式惊人地相似。

例如，黑客可能会欺骗受害者，使其点击网络钓鱼邮件中的一个链接或附件。 钓鱼邮件.为了诱使受害者点击附件或链接，攻击者可能会利用社会工程来发挥他们的情绪。之后，恶意软件就会进入你的系统，并从一台设备传播到另一台。

攻击者可以通过无文件的恶意软件访问他们可以窃取或利用的数据，以阻挠组织的活动。无文件的恶意软件利用系统管理员通常会信任的工具隐藏自己，包括Windows脚本工具或PowerShell。 

它们经常被包含在公司的应用程序允许列表中。无文件的恶意软件会破坏一个值得信赖的程序，使其比生活在硬盘上的独立文件中的恶意软件更难被发现。

来源

无文件的恶意软件攻击链

来源

由于无文件的恶意软件在内存中运行，并利用受信任的技术，基于签名的防病毒软件和入侵检测系统经常将其误认为是良性软件。

由于它能够隐蔽地工作，保持持久性，并且不被缺乏必要工具的目标组织所注意，它基本上使他们对持续的入侵视而不见。

企业依赖基于签名的解决方案来保护其网络，是鼓励CTA对网络发起无文件恶意软件攻击的一个关键因素。

无文件恶意软件的类型

下面是无文件恶意软件的传播方式，因为有各种类型：

1. 基于内存的无文件恶意软件是最常见的无文件恶意软件类型，它驻留在系统的RAM和其他易失性存储区域。
2. 基于脚本的无文件恶意软件使用脚本语言，如PowerShell或JavaScript，在目标系统的内存中执行恶意代码。
3. 基于宏的无文件恶意软件使用嵌入文件中的宏，如微软Office文件或PDF，在目标系统的内存中执行恶意代码。
4. 基于注册表的无文件恶意软件驻留在系统的注册表中，这是一个存储操作系统和已安装软件配置信息的数据库。

无文件攻击的阶段

以下是攻击者在无文件攻击中可能采取的步骤：

初次访问

攻击者通过网络钓鱼或其他社会工程获得对目标网络的初始访问。 社会工程技术。

执行

攻击者使用多种技术（如通过电子邮件附件）将恶意代码传递给目标网络中的一台或多台计算机。恶意代码在内存中运行而不触及磁盘。这使得杀毒软件难以检测到攻击并阻止其成功。

坚持不懈

攻击者安装工具（例如，PowerShell脚本），使他们能够保持对网络的访问，甚至在他们离开最初的进入点之后，或者在他们最初的恶意软件从所有受感染的设备上被删除之后。

这些工具可以用来对同一网络实施攻击，同时不被杀毒软件发现，因为它们在完成安装新的恶意软件组件或执行其他需要在目标系统上的管理权限的任务后，不会在磁盘或内存中留下任何痕迹。

目标

一旦攻击者在受害者的机器上建立了持久性，他就可以开始努力实现其最终目标：从受害者的银行账户中窃取数据或金钱，渗出敏感数据，或其他邪恶活动。

无文件攻击的目标通常与传统攻击非常相似：窃取密码、窃取凭证或以其他方式获得对网络内系统的访问；从网络中渗出数据；在系统中安装勒索软件或其他恶意软件；远程执行命令；等等。

如何防范无文件的恶意软件？

现在你一定很担心，如何才能使自己免受这种严重的威胁。以下是你如何能在安全的一面：

保持你的软件是最新的：无文件的恶意软件依赖于利用合法软件应用中的漏洞。用最新的安全补丁和更新来保持你的软件更新，可以帮助防止攻击者利用已知的漏洞。

使用防病毒软件： 虽然传统的防病毒软件可能对无文件的恶意软件无效，但专门的端点保护解决方案，如基于行为的检测或应用控制，可以帮助检测和预防无文件的恶意软件攻击。

使用最低权限： 无文件的恶意软件通常需要管理权限来执行攻击。使用最小权限原则，将用户访问限制在执行工作所需的最低水平，可以帮助减少无文件恶意软件攻击的影响。

实施网络分段：网络分段包括将网络划分为较小的、孤立的分段，每个分段都有其安全策略和访问控制。实施网络分段可以帮助遏制无文件恶意软件攻击的传播，限制其对组织的影响。

判决书

无文件的恶意软件是一种高度复杂的网络攻击，对计算机系统和网络构成重大威胁。与传统的恶意软件不同，无文件的恶意软件完全在目标系统的内存中运行，这使得它很难用传统的反病毒软件检测和清除。 

为了防止无文件的恶意软件，必须保持软件的更新，使用专门的端点保护解决方案，实施最小特权原则，并采用网络分段。随着网络威胁的发展，了解最新的攻击技术并采取积极主动的措施来保护我们的数据和系统是至关重要的。