我們都熟悉“惡意軟件”一詞 ：幾十年來，惡意軟件不斷地破壞數據，并不斷地被防病毒和防惡意軟件套件阻止。顧名思義，惡意軟件將惡意可執行文件或DLL作為其惡意功能交付的主要宿主。

IT安全公司對惡意軟件已研究了多年，其研究人員和開發人員對此非常熟悉，所以，網絡犯罪分子也了解他們必須發明或探索新的攻擊媒介。這就產生了“LotL”進行無文件攻擊的方式。這個概念已經存在了數十年，過去曾在Unix攻擊中大量使用，但是最近在Windows系統上又重新復燃。

什么是無文件攻擊？

無文件攻擊的定義很多，但略有不同。簡而言之，無文件攻擊是指磁盤上沒有特定的惡意文件。無文件攻擊利用合法的應用程序和流程來執行惡意活動，例如特權升級，有效負載交付，數據收集等。

執行無文件攻擊

與其他攻擊一樣，無文件攻擊有交付階段，持續滲透或找到操作系統中的落地點，最后是惡意行為者達到他們想要的結果的執行階段。

在無文件或LotL攻擊中，感染是通過漏洞利用、腳本、宏或鏈接來完成的。包含宏、VB腳本、PowerShell腳本或使用系統命令（如netsh）的文檔都屬于無文件攻擊類別，并且符合LotL標準。這也適用于不在磁盤上寫入任何文件的利用漏洞執行的僅內存Shellcode。

同時，當使用dual-use tool時，特別是Mimikatz或Pwdump被下載到硬盤上時，攻擊不會被認為是無文件或LotL的。

落地或入侵階段可以通過利用遠程代碼執行（RCE）漏洞直接在內存中運行Shellcode來啟動。更常見的是，它是一封包含惡意腳本的電子郵件，或者隱藏在另一個系統文件（如LNK文件）中。例如，網絡罪犯可以向你發送一封帶有合法鏈接的網絡釣魚郵件。但是，當您單擊鏈接時，它會利用瀏覽器中的漏洞并在瀏覽器內存中執行惡意命令：捕獲您的數據、執行非法加密挖掘或加密文件，以便稍后嘗試向您勒索。

復雜的無文件攻擊通常使用下載器或自解密部分來實施多個階段，每一個階段都可能使用LotL技術。這個過程可能和通過使用被盜或猜測的密碼登錄來濫用系統工具一樣簡單。

基于腳本的攻擊是當今最流行的。惡意腳本主要以電子郵件附件的形式傳遞，之后可以直接傳遞到腳本執行應用程序（如PowerShell或WSCript）。

一旦您的計算機被破壞，威脅（或在受感染的系統中找到落地點）可能是也可能不是無文件的。根據攻擊者的目標，威脅也可能不會持續存在。無文件的落地點，我們經常看到惡意腳本被使用和存儲在注冊表或Windows Management Instrumentation（WMI）中，后者是Microsoft的一組規范，用于整合Windows計算系統網絡中的設備和應用程序的管理。

最后，為執行或傳遞惡意有效載荷，網絡犯罪分子通常會使用dual-use 的合法工具。這些可以是您已經安裝的應用程序，例如Microsoft Word（VBScript）或certutil可執行程序。惡意代碼可以注入這些受信任的應用程序中，然后可以對其進行劫持或編排以執行所需的操作。我們已經介紹了Microsoft PowerShell 和Windows Management Instrumentation，它們已被網絡犯罪分子廣泛用于此目的。對于PowerShell攻擊，通常使用小型腳本將其他腳本直接下載到內存中并從那里執行。在dueluse 工具的情況下，命令行執行如下所示：

安克諾斯如何阻止無文件攻擊？

正如您對現代網絡安全解決方案所期望的那樣，Acronis Cyber Protect可以通過其多層威脅響應方法來檢測并阻止無文件惡意軟件。

安克諾斯行為引擎監視PowerShell和其他應用程序，分析它們在做什么以識別意外的，罕見的行為。這意味著，如果任何一種已執行的腳本執行惡意軟件通常會執行的操作，或者這些操作可能導致系統受損，則腳本將被停止，管理員將收到警報。

安克諾斯的基于AI的靜態分析器也經過了訓練，可以檢查正在運行的腳本的結果，從而提供第二意見和另一層安全性。如果攻擊者由于服務器未正確打補丁而能夠上載初始腳本，則意味著沒有漏洞評估和補丁管理功能。Acronis Cyber Protect 可通過利用嵌入式漏洞評估和補丁程序管理來幫助防御此類攻擊媒介。借助這些功能，可以在甚至需要安克諾斯行為式引擎或基于AI的分析器之前就停止攻擊。

如果是零日漏洞，則Acronis Cyber Protect 將做出反應。

比如，Acronis Cyber Protect 會掃描Windows注冊表來查看危險的異常攻擊。

總結，Acronis Cyber Protect具有以下的技術來檢測和停止危險的無文件攻擊：