无文件恶意软件攻击极难检测，而且被发现所需的时间也在不断增加。处理该问题的好的方法是采用零信任方法来防止恶意软件感染网络。

对于任何不熟悉无文件恶意软件攻击的人来说，它们是一种完全在进程内存中运行的恶意代码执行技术。顾名思义，硬盘上没有任何文件，这正是无文件恶意软件攻击能够有效逃脱基于检测的网络安全解决方案的原因。这包括从下一代防病毒(NGAV)到端点保护平台(EPP)和当前解决方案的一切，包括EDR（端点检测和响应）、XDR（扩展检测和响应）和MDR（托管检测和响应）。

无文件攻击技术非常普遍——根据一份2023年云原生威胁报告，去年利用现有软件、应用程序和协议的无文件或现代战场攻击数量激增了1400%。

基于检测的安全解决方案存在不足

要了解为什么EDR等基于检测的安全解决方案未能达到目标，最好查看它们用于识别和检测可能的恶意活动的不同技术。第一个是静态分析，它检查文件、代码和二进制文件以识别可能的威胁。静态分析速度快，可以及早检测网络攻击，而不会激活恶意代码和破坏系统。但对于无文件恶意软件，没有静态内容可供分析，这就是EDR难以检测该恶意软件是否存在的原因。

接下来是动态分析，它检查执行期间的软件和文件行为。在寻找识别无文件恶意软件时，动态分析是一个更好的选择，但它也因两个原因而受到限制。

首先，它是资源密集型的。这就是为什么动态分析主要在沙箱等受控环境中进行的原因。网络犯罪分子通过部署沙箱感知恶意软件进行响应，这通常会导致合法威胁被标记为合法操作。

动态分析监视执行期间的行为。

如果分析工具没有监视与内存相关的活动，或者恶意软件使用复杂的技术来隐藏其在内存中的存在，则直接在内存中运行的无文件恶意软件可以在不被检测到的情况下潜入。然后，EDR依靠行为分析，通过建立正常端点行为的基线并检测异常来识别威胁。这涉及监控系统进程、API调用、用户操作和其他活动。然而，威胁行为者越来越多地部署规避技术来绕过EDR，包括脱钩、直接/间接系统调用、DLL漏洞利用等。其中许多技术都存在于无文件攻击中。

无文件技术的类型

对抗无文件的好的方法是了解正在使用的不同技术。当今使用的一些更流行的技术包括：

Windows注册表操作：在这种情况下，代码通常由常规Windows进程直接从注册表编写和执行。这有助于实现持久性、绕过白名单和规避静态分析等目标。

内存代码注入：当今使用了多种代码注入技术。其中包括进程空洞、本地shellcode注入和反射加载。在这些情况下，当进程在系统上运行时，恶意软件驻留在进程内存中。然后，它会将自身分发并重新注入到对正常的日常Windows操作活动至关重要的合法进程中。

基于脚本：这不是100%无文件技术，因为它使用文件来稍后在内存中执行恶意软件。因此，基于脚本的攻击给检测解决方案带来了类似的问题，使其成为保持隐秘性的首选方法。

加壳器：加壳器是一种压缩文件的方法，网络犯罪分子可以通过多种方式利用加壳器。其中包括签名重新创建、动态检测规避，以及作为代码注入方法，重写现有的可执行文件并在解密后重新创建其代码并重新映射新功能。

虽然基于文件和无文件的恶意软件都使用打包，但引爆/解包过程是无文件过程。恶意软件通常通过加密与位置无关的代码（shellcode/loader/decryptor）的功能和执行来隐藏其真实的API和功能。

该代码没有使用太多声明的API，通常会执行下一阶段恶意库的反射加载。我们称这种技术为无文件，因为它运行纯粹在内存中创建的恶意代码，而不写入磁盘。许多已知的恶意软件大量使用打包和本地代码注入技术来逃避静态分析，包括Emotet、Revil、Qakbot、IceID、Vidar等。

去年，进程注入和PowerShell攻击等无文件攻击技术是最常报道的MITRE ATT&CK技术。无文件恶意软件攻击链的兴起是安全团队需要高度重视的事情。

无法检测到的威胁延长了停留时间

尽管无文件恶意软件攻击有许多不同类型，但它们都有一些共同的特征。最值得注意的是，它们极难被发现，而且被发现所需的时间也在不断增加，这解释了为什么它们在网络犯罪社区中变得越来越受欢迎。

2020年至2021年间，威胁的平均停留时间增长了36%，导致勒索软件部署或数据泄露的攻击的平均停留时间为34天。这只是天数的中位数。我们已经发现了一些无文件恶意软件的示例，这些恶意软件会在远程端点保留数月之久，只是等待采取行动，然后才会被检测到。

无文件恶意软件攻击造成更大损害

无文件攻击非常有效，它们成功的可能性是其他攻击的十倍。与其他攻击相比，它们也更容易造成更大的破坏。

如何降低无文件恶意软件攻击风险

这些无文件恶意软件攻击的不断增长，依赖基于检测的工具来保护它们的安全团队显着暴露。反击首先是采用零信任方法，对网络进行分段并部署严格的访问控制。这些步骤可以阻止无文件威胁访问和利用未经许可的数据流。

接下来是自动移动目标防御(AMTD)，它是当今唯一能够可靠阻止无文件攻击和其他高级威胁的技术。这种预防技术可以阻止应用程序级别使用的攻击路径威胁。对于任何不熟悉AMTD的人来说，它无需检测即可预防威胁。它随机改变业务的运行时环境，从而导致攻击面高度不可预测。同时，尚乘还在之前发生过攻击的地方留下了诱饵陷阱。

至于可信应用程序，每次内存环境发生变化时都会更新这些应用程序，而尝试针对诱饵执行的任何代码都会被终止并锁定，以便团队可以进行广泛的取证分析。