恶意文件 大数据案例库_无文件恶意软件感染完整指南

有时，你可能会发现自己更想回到事物简单的年代，这个时代诞生了太多的技术，让我们的生活在更轻松的同时也变得更加复杂。其实不光是我们，网络安全专家也会经历这样的反思时刻，特别是当他们遇到无文件恶意软件感染时。

无文件恶意软件感染——这个词听起来不言自明，但我们知道并非每个人都是安全方面的行家。所以此文旨在通俗易懂，您不必是专家就可以理解并使用本指南来实现您的在线安全。

本文将介绍以下几点内容：

·什么是无文件感染?

·为什么网络罪犯使用无文件恶意软件

·无文件感染的工作机制

·Exploit kits——无文件感染的必备之物

·如何保护你的电脑免受感染

·无文件恶意软件技术分析资源

什么是无文件感染?

正如其名，恶意软件或病毒在感染的过程中不使用任何文件。

要了解它的含义，我们先简单过一下传统杀毒产品的工作原理:

1.感染之前，恶意文件需要被加载到硬盘上；

2.接着杀毒软件开始对恶意文件进行分析(也就是payload)；

3.如果识别是恶意软件，则杀毒软件会隔离/删除恶意文件，从而确保计算机的安全。

而无文件感染并不能被上述过程囊括，因为系统就没有接触到文件。你应该也能猜到：传统的杀毒产品无法识别此感染，继而会产生一系列的破坏。接下来我们将细述无文件感染可能造成的损害的类型。

为什么网络罪犯使用无文件恶意软件

网络罪犯足智多谋、富有创造力，这种无形的感染就是他们证明自己能力的途径之一。

恶意黑客的攻击目标是:

·隐形——尽可能避免被安全产品发现的能力；

·特权升级——利用漏洞获取管理员权限，随心所欲执行任何操作的能力；

·信息收集——尽可能多的从受害者的电脑中收集有关受害者的资料(以便以后用于其他攻击)；

·持久性——保持恶意软件在系统中尽可能长时间不被检测到的能力。

恶意软件制造者在无文件感染中所做的就是潜入后保持持久性，最终达到隐身的效果。想要隐藏恶意软件的感染过程，触发预期的行动是关键。比如有类“非典型”恶意软件——利用exploit kit进入系统进行无文件感染，就能轻易达成目标。

还有类无文件恶意软件，是在直接写入RAM后，通过隐藏在传统杀毒软件难以扫描检测到的位置来获得持久性。下面所列举的持久性和屏蔽性感染可能是真正影响你电脑的顽疾所在：

1.内存驻留恶意软件——这类准无文件恶意软件利用的是进程或可信的Windows文件的内存空间，将恶意代码加载到内存空间后，一直保持在那直到被触发。这类恶意软件可能并不完全算是无文件的恶意软件类型，但我们也可以将其归于此类。

2.Rootkit——这类恶意软件会用用户身份掩饰自身的存在，进而获得管理员访问权限。Rootkit通常驻留在内核中，机器重启和常规的病毒扫描对其不起作用。它的隐形能力可以用不可思议来形容，想要移除它几乎是不可能的。当然这类也不能算是百分百的无文件感染，但把它放在这也无妨。

3.Windows注册表恶意软件——这是一种较新类型的无文件恶意软件，它能够驻留在Windows的注册表中。Windows注册表是一个存储操作系统和某些应用程序的低级设置的数据库，对普通用户而言这是个难以导航的地方，但恶意软件作者甚至可以利用操作系统的缩略缓存来获得持久性。此类型的无文件恶意软件在注册表中的文件中执行代码，一旦任务执行完文件就会被自动销毁。

更多关于无文件恶意软件的分类请点击此处：this brief by McAfee。

8月，当Poweliks木马首次亮相时，也带来了无文件感染。它最初的设计目标用于执行欺诈点击，但后来发展出更多的可能性，比如：

·创造新的恶意软件，无需触发传统的检测机制就能感染系统;

·通过传播新的恶意软件，从成功的无文件恶意软件感染中获利;

·通过能够窃取信息的一次性恶意软件收集有关受感染的电脑的信息，然后再用其他恶意软件感染电脑;

·利用漏洞，将payload移动到Windows注册表以实现持久性;

·采用先进、灵活甚至模块化的exploit kits，更快的发现和操作漏洞;

·利用大量的0day漏洞危害更多计算机;

·通过让机器感染勒索软件来快速轻松的赚钱。

但无文件恶意软件也并非完美无缺，它是在电脑的RAM内存中运行的，所以只能在电脑开着的时候工作，这意味着攻击者只有很小的机会执行攻击并渗透到您的操作系统。但随着电脑的人均使用时长的增长，将会为感染创造更多的契机。

无文件感染的工作机制

让我们模拟个无文件感染计算机的真实场景：

·你正在使用安装了Flash插件的Chrome浏览器（也可以是支持此插件或Javascript脚本的其他浏览器）。

·你没有及时对老旧版本的Flash插件进行更新。

·偶然间你访问了一个托管Angler exploit kit的网站。

·exploit kit开始扫描漏洞，在Flash插件中找到漏洞后会立刻在Chrome进程的内存中运行payload。

·如果payload是勒索软件，它会连接到攻击者的C&C服务器并获取加密密钥。

·最后一步就是加密PC上的数据，要求你支付大量赎金。

从上面的步骤中你应该也能看出，执行恶意操作的payload将直接注入进程并在RAM内存中运行。

攻击者不会将恶意软件程序安装在磁盘驱动器上，因为传统杀毒软件通过签名扫描就能检测到。

如果payload在磁盘上或内存中运行(这种情况比较少发生)，传统杀毒软件也能检测得到。

Poweliks是第一个被发现的无文件恶意软件，让我们来看看它是如何用勒索软件感染电脑并进行点击欺诈的:

Poweliks附带了一个默认的关键字列表，用于生成广告请求。该软件会假装受害者身份去合法的搜索这些关键字，然后联系广告联盟平台，接着Poweliks会回应由广告联盟平台发回的URL，开启付费下载。同时，由于广告所展示的网页本身就可能是有风险的，将会为其他恶意软件的入侵创造一个良好的契机。比如Poweliks就有可能导致计算机上被安装Trojan.Cryptowall。

在另外一些情况下，点击欺诈常常与恶意广告捆绑在一起：

虽然广告不会向受害者展示，但广告的下载和处理会消耗处理和网络带宽，并可能使受害者面临二次感染，最终可能导致受害者完全失去对计算机的掌控权。

如果觉得《恶意文件 大数据案例库_无文件恶意软件感染完整指南》对你有帮助，请点赞、收藏，并留下你的观点哦！