編者按：近日，網絡安全公司CrowdStrike發布了《2020全球威脅態勢報告》，其研究結果顯示“無惡意軟件”攻擊的趨勢增加，無惡意軟件的攻擊數量超過了惡意軟件的攻擊數量。2019年，51%的攻擊使用了無惡意軟件技術，而在2018年，只有40%的攻擊使用了無惡意軟件技術。攻擊者在目標網絡中使用盜取的憑證并運行合法的軟件工具來冒充真實用戶并掩蓋使用工具痕跡。如果“無惡意軟件”攻擊繼續下去，對防御者可能意味著重大麻煩。

　　來自CrowdStrike的《2020全球威脅態勢報告》數據顯示，2019年在全球范圍內黑客使用現代方法進行無惡意軟件攻擊的數量超過了惡意軟件攻擊。

　　長時間以來，經驗豐富的網絡罪犯和有國家背景的攻擊者一直在提升攻擊其能力，使用新型方法來冒充目標網絡中的真實用戶并掩蓋其使用安全工具的痕跡，如通過使用盜取來的憑證和運行合法的工具來挖掘受害者系統及數據。在CrowdStrike的研究報告中，“無惡意軟件”攻擊首次超過基于惡意軟件的攻擊，在2019年分別占到了51%和49%。然而在2018年，惡意軟件占全球所有攻擊的60%左右，而無惡意軟件攻擊僅占40%左右。

　　CrowdStrike將無惡意軟件攻擊定義為初始沒有文件或文件片段被寫入磁盤的攻擊，例如包括代碼從內存執行的攻擊、或者利用盜取的憑證使用已知工具進行遠程登錄的攻擊。無惡意軟件攻擊通常需要更廣泛更復雜的檢測技術來可靠地識別和攔截，包括行為檢測和人類威脅捕獲。而惡意軟件攻擊定義為有惡意文件被寫入磁盤，導致會被防護產品檢測到試圖運行該文件，然后識別或阻止它。這些入侵嘗試相對來說比較容易攔截和阻止，通?？梢杂脗鹘y的反惡意軟件解決方案有效地阻止。

　　根據CrowdStrike的報告，就像以往的黑客攻擊一樣，大部分無惡意軟件攻擊都是由命令行界面、PowerShell以及隱藏文件和目錄等“手工鍵盤”方法驅動的。這些技術在許多復雜的攻擊中具有顯著的特點，那就是在這些攻擊中，人類會積極參與入侵并朝著一個目標努力。

　　安全專家擔心，如果攻擊者加大對無惡意軟件攻擊的投入，攻擊目標的安全工具將不堪重負，無法阻止它們。

　　CrowdStrike的CTO Michael Sentonas表示，隨著攻擊者找到繞過傳統安全工具的方法，這些無惡意軟件的攻擊已逐漸增多。但是，攻擊者并沒有被常規的防病毒軟件所阻止。他說：“現在，攻擊者已經開始繞過下一代防病毒產品，這推動了無惡意軟件攻擊的大范圍升級，如果達到60%或以上，那將成為一個大問題?！?/span>

　　Sentonas指出，問題在于大多數組織沒有技術來區分合法用戶或竊取其憑據的攻擊者。他表示：“我希望在接下來的12個月中跟蹤無惡意軟件的產品，看看這是否是一個真正有趣的長期趨勢?！?/span>

　　安全公司Rapid7還發現攻擊者在滲透目標時會放棄使用惡意軟件。Rapid7的研究主管Tod Beardsley表示：“攻擊者會使用有效的憑據或重復使用從其他違規活動中獲得的憑據，這很難防御，這不是可以輕松地自動進行防御的內容?！?/span>

　　Beardsley表示，為了幫助應對這些威脅，組織需要授權最終用戶成為安全文化的一部分。企業須在IT安全性和用戶群之間建立信任，因此，按照這種思路，就是在樹立警惕文化。如果看到一些看起來可疑的內容，則應該采取明確的措施進行非在線方式確認或將其報告給相關人員。

　　根據CrowdStrike的報告區域數據顯示，在世界不同地區的攻擊類型之間的差異越來越大。2018年，所有地區的無惡意軟件攻擊在25%到45%之間，而2019年針對北美的無惡意軟件攻擊大幅增加，針對拉丁美洲地區的無惡意軟件攻擊大幅減少。去年大多數無惡意軟件的攻擊都發生在北美，四分之三的攻擊并未將惡意軟件部署到受害組織內部。Sentonas表示，“今年將經歷一個有趣的過程：無惡意軟件攻擊是否會繼續上升?這是否與攻擊者的駐留時間相關?如果我們將這種趨勢視為兩年到四年的趨勢，那么我們將面臨一個問題，越來越多的方法可以逃避安全控制?！?/span>

　　這就需要一種能考慮人為因素的防御。安全廠商Sophos的首席研究科學家Chester Wisniewski表示：“現在有更多的攻擊是人為，這就是為什么設置絆網(tripwires)來檢測用于惡意目的的合法工具是關鍵。例如，如果發現Nmap網絡監視工具在DMZ中的Web服務器上運行，這應該是一個危險信號。任何人都不應該在DMZ的服務器上運行它?！贝送?，如果合法的安全工具不是在應該使用的時間運行，也會構成事件。安全人員并不是唯一一個使用這些工具的人，壞人也會使用。

　　安全建議

　　對抗來自復雜的民族國家和普通對手的威脅需要一個成熟的過程，能夠快速、靈活地預防、檢測和應對威脅。CrowdStrike建議各組織遵循“1-10-60規則”，以便有效地抵御網絡威脅。1-10-60法則具體含義如下：即在1分鐘內發現入侵;在10分鐘內完成調查;在60分鐘內遏制并消除對手。符合此基準的組織更有可能在攻擊者形成初始的入口突破并擴展其存在之前消滅對手，最終將組織受影響程度降至最低。

　　CrowdStrike情報部門副總裁亞當·邁耶斯(Adam Meyers)表示：“2019年來自民族國家的威脅行為體的新型攻擊技術的對安全防御帶來了巨大沖擊，越來越復雜的網絡犯罪分子使用更加危險的攻擊技術和戰術，針對性勒索軟件攻擊案例大量增加。因此，組織的安全團隊必須采用更新的技術，以更快地檢測、調查和補救網絡安全事件，并采用快速搶先對策，如威脅情報，并遵循1-10-60法則?！?/span>

　　同時，安全專家David Strom建議采取以下措施防御無文件惡意軟件攻擊：

　　1.不論面對何種網絡安全威脅，及時更新及打補丁是最基礎的。因此，在抵御無文件惡意軟件時，首先要做的就是保證端點及時更新。威脅組織的首要攻擊方式之一是利用未打補丁的舊系統，因此延遲補丁程序管理就是將漏洞引入網絡。EternalBlue的傳播很好地說明了這一點，該補丁在漏洞利用程序啟動前已經存在了一個多月。

　　其次，擁有堅實的安全意識培訓方案，提供一個可連續運行的程序，該程序始終使用戶意識到電子郵件附件和隨意點擊鏈接的危險。大多數無文件攻擊活動的開始都是通過簡單的網絡釣魚電子郵件開始的。因此，快速攔截這些入口點是很重要的。

　　此外，了解內置代碼行為，以便可以發現異常狀況，如在安裝加密的PowerShell腳本以作為服務運行時。加密和服務功能的結合是一個紅色危險信號。分析師有時還會發現使用壓縮工具來代替加密。另一個危險信號是找到一個隱藏在 TEMP目錄中的PowerShell腳本;盡管從技術上來說不是無文件的，但此代碼很快移到了操作系統的更危險的部分。

　　2.做好終端服務器訪問權限的控制，確保用戶訪問只能以普通用戶身份來訪問，而不能具有特權。僅僅因為有一個用戶點擊了惡意附件并不意味著該惡意軟件會留在電腦上。相反，一種典型的行為是惡意軟件在網絡中移動以找到更豐富的目標，如域控制器或Web服務器。為防止這種情況，應該仔細劃分網絡，并確保了解訪問權限，特別是對于第三方應用程序和用戶的訪問權限。

　　常見的攻擊方法是隨著惡意軟件在網絡中的移動而提升特權，例如，可以使用PowerShell來完成。威脅者可以發出用于反向域名系統(DNS)查詢的命令，枚舉網絡共享上的訪問控制列表，并查找特定域組的成員。這意味著對任何惡意軟件來說，最基本的控制措施之一是將管理員權限限制在最小系統數量。

　　許多無文件惡意軟件攻擊依賴于已經從公司離開的用戶的權限或不必要的權限，或者依賴于不再使用目標應用程序的用戶的過期權限。公司應該開發方法來檢測何時發生這些情況，并能夠迅速將其關閉。公司還應該禁用不需要的Windows程序。不是每個人都需要在計算機上運行PowerShell或對.NET框架的支持。更為有效的方法是消除對SMBv1等古老協議的支持，這正是WannaCry造成所有麻煩的原因。

　　最后，盡管PowerShell可以繞過應用程序白名單，但是部署此類控件仍然是一個好主意。對用戶如何使用應用程序的了解越多，越有可能捕獲到其他合法應用程序沒有發現的惡意軟件。另一種方法是禁用宏，包括Office宏，這些宏通常被惡意軟件編寫者濫用，盡管這不是通用解決方案，因為許多用戶確實需要宏來完成工作。

　　3.使用端點反惡意軟件工具來保護設備。這些步驟需要采用縱深防御的方法來完成，通過掃描網絡連接和電子郵件中是否存在惡意軟件，這將幫助減少惡意軟件到達端點并執行的機會。微軟開發了一個反惡意軟件掃描開放接口，一些供應商已經開始使用該接口來輕松檢測無文件世界的“信息”，尤其是在分析腳本行為時。此外，想要更好地理解無文件攻擊的人士可以查看開源項目AltFS。這是一個完整的無文件虛擬文件系統，來演示這些技術的工作原理。

　　關于CrowdStrike：CrowdStrike成立于2011年，是總部位于美國加利福尼亞州桑尼維爾市的網絡安全技術公司，是云交付端點安全性領導者，提供端點安全、威脅情報和網絡攻擊響應服務，旨在解決現有的基于惡意軟件的防御無法解決的復雜攻擊。利用人工智能(AI)，CrowdStrikeFalcon?平臺可在整個企業范圍內提供即時可見性和保護，并防止對網絡內外端點的攻擊。

　　參考來源：

　　【1】https://www.darkreading.com/threat-intelligence/most-cyberattacks-in-2019-were-waged-without-malware/d/d-id/1337239

　　【2】https://www.crowdstrike.com/blog/global-threat-report-foreword-2020/

　　【3】https://securityintelligence.com/how-to-defend-your-organization-against-fileless-malware-attacks/