近年来无文件恶意软件攻击正在增加,它能够逃避传统的杀毒方案,因为它们不需要安装任何恶意软件来感染受害者的设备。相反,他们利用每台计算机中的现有漏洞,并使用常见的系统工具(如Windows Management Instrumentation(WMI)或PowerShell)将恶意代码注入正常安全且受信任的进程中。
安全方案提供商CheckPoint 最近在SandBlast 代理上发布的行为保护功能已被证实非常有效地提升了对无文件恶意软件的检测率。SandBlast 代理的行为保护是一种行为检测引擎,可检测并修复所有形式的恶意行为,利用取证来有效且唯一地识别未知的恶意软件行为,并准确地将恶意软件归类到对应的恶意软件系列。随着时间的推移,这种强大的保护能力适应了恶意软件的演变,可以用来检测和防止各种类型的攻击,包括那些恶意使用合法脚本工具的攻击。
行为保护功能通过创建一个永久的WMI事件消费者对象来完成,该对象将运行PowerShell——一个由微软提供的受信任和签名的进程,在所有Windows操作系统上都可以使用,并使用内联脚本检测,同时将Windows凭据上传到公共云计算上的服务器服务。与传统的基于签名的恶意软件不同,此攻击深入到系统中,没有将文件写入磁盘,并且没有在操作系统上运行任何恶意或非法进程。然而,尽管脚本具有混淆性,但我们的行为分析系统有效地检测到了它。
因此,当越来越多的无文件攻击在野外出现时,重要的组织应该了解这些类型攻击的性质,以及它们在传统的反病毒保护措施下是多么难以察觉。事实上,传统的端点保护对于这种完全抵制此类产品的复杂方法毫无用处,甚至所谓的“下一代反病毒(NGAV)”解决方案也无法识别这些高度规避的攻击。喷砂剂中的行为守卫在上面的例子中证明了它的目的,并且将在所有已知和未知的攻击中继续这样做。
实际上,因为脚本比含文件的全面恶意软件生成速度更快、难度更低,所以攻击者越开越多地使用脚本语言。此外,脚本为安全供应商增加了更多困难。
当在野外出现越来越多的无文件攻击时,我们应该了解这些类型的攻击的性质,以及通过传统的反病毒保护检测它们的难度。事实上,传统的端点保护对于对这些产品完全抵抗的复杂方法毫无用处,甚至所谓的“下一代防病毒(NGAV)”解决方案也无法识别这些高度规避的攻击。SandBlast Agent中的行为守卫在上述情况下证明了其目的,并将继续这样做,所有已知和未知的攻击尚待观察。