安全 | 无文件恶意软件感染完整指南

 有时，你可能会发现自己更想回到事物简单的年代，这个时代诞生了太多的技术，让我们的生活在更轻松的同时也变得更加复杂。其实不光是我们，网络安全专家也会经历这样的反思时刻，特别是当他们遇到无文件恶意软件感染时。

无文件恶意软件感染——这个词听起来不言自明，但我们知道并非每个人都是安全方面的行家。所以此文旨在通俗易懂，您不必是专家就可以理解并使用本指南来实现您的在线安全。

本文将介绍以下几点内容：

• 什么是无文件感染?
• 为什么网络罪犯使用无文件恶意软件
• 无文件感染的工作机制
• Exploit kits——无文件感染的必备之物
• 如何保护你的电脑免受感染
• 无文件恶意软件技术分析资源

什么是无文件感染?

正如其名，恶意软件或病毒在感染的过程中不使用任何文件。

要了解它的含义，我们先简单过一下传统杀毒产品的工作原理:

1.感染之前，恶意文件需要被加载到硬盘上;

2.接着杀毒软件开始对恶意文件进行分析(也就是payload);

3.如果识别是恶意软件，则杀毒软件会隔离/删除恶意文件，从而确保计算机的安全。

而无文件感染并不能被上述过程囊括，因为系统就没有接触到文件。你应该也能猜到：传统的杀毒产品无法识别此感染，继而会产生一系列的破坏。接下来我们将细述无文件感染可能造成的损害的类型。

为什么网络罪犯使用无文件恶意软件

网络罪犯足智多谋、富有创造力，这种无形的感染就是他们证明自己能力的途径之一。

恶意黑客的攻击目标是:

• 隐形——尽可能避免被安全产品发现的能力;
• 特权升级——利用漏洞获取管理员权限，随心所欲执行任何操作的能力;
• 信息收集——尽可能多的从受害者的电脑中收集有关受害者的资料(以便以后用于其他攻击);
• 持久性——保持恶意软件在系统中尽可能长时间不被检测到的能力。

恶意软件制造者在无文件感染中所做的就是潜入后保持持久性，最终达到隐身的效果。想要隐藏恶意软件的感染过程，触发预期的行动是关键。比如有类“非典型”恶意软件——利用exploit kit进入系统进行无文件感染，就能轻易达成目标。

还有类无文件恶意软件，是在直接写入RAM后，通过隐藏在传统杀毒软件难以扫描检测到的位置来获得持久性。下面所列举的持久性和屏蔽性感染可能是真正影响你电脑的顽疾所在：

1.内存驻留恶意软件——这类准无文件恶意软件利用的是进程或可信的Windows文件的内存空间，将恶意代码加载到内存空间后，一直保持在那直到被触发。这类恶意软件可能并不完全算是无文件的恶意软件类型，但我们也可以将其归于此类。

2.Rootkit——这类恶意软件会用用户身份掩饰自身的存在，进而获得管理员访问权限。Rootkit通常驻留在内核中，机器重启和常规的病毒扫描对其不起作用。它的隐形能力可以用不可思议来形容，想要移除它几乎是不可能的。当然这类也不能算是百分百的无文件感染，但把它放在这也无妨。

3.Windows注册表恶意软件——这是一种较新类型的无文件恶意软件，它能够驻留在Windows的注册表中。Windows注册表是一个存储操作系统和某些应用程序的低级设置的数据库，对普通用户而言这是个难以导航的地方，但恶意软件作者甚至可以利用操作系统的缩略缓存来获得持久性。此类型的无文件恶意软件在注册表中的文件中执行代码，一旦任务执行完文件就会被自动销毁。

更多关于无文件恶意软件的分类请点击此处：this brief by McAfee。

2014年8月，当Poweliks木马首次亮相时，也带来了无文件感染。它最初的设计目标用于执行欺诈点击，但后来发展出更多的可能性，比如：

• 创造新的恶意软件，无需触发传统的检测机制就能感染系统;
• 通过传播新的恶意软件，从成功的无文件恶意软件感染中获利;
• 通过能够窃取信息的一次性恶意软件收集有关受感染的电脑的信息，然后再用其他恶意软件感染电脑;
• 利用漏洞，将payload移动到Windows注册表以实现持久性;
• 采用先进、灵活甚至模块化的exploit kits，更快的发现和操作漏洞;
• 利用大量的0day漏洞危害更多计算机;
• 通过让机器感染勒索软件来快速轻松的赚钱。

但无文件恶意软件也并非完美无缺，它是在电脑的RAM内存中运行的，所以只能在电脑开着的时候工作，这意味着攻击者只有很小的机会执行攻击并渗透到您的操作系统。但随着电脑的人均使用时长的增长，将会为感染创造更多的契机。

无文件感染的工作机制

让我们模拟个无文件感染计算机的真实场景：

• 你正在使用安装了Flash插件的Chrome浏览器(也可以是支持此插件或Javascript脚本的其他浏览器)。
• 你没有及时对老旧版本的Flash插件进行更新。
• 偶然间你访问了一个托管Angler exploit kit的网站。
• exploit kit开始扫描漏洞，在Flash插件中找到漏洞后会立刻在Chrome进程的内存中运行payload。
• 如果payload是勒索软件，它会连接到攻击者的C&C服务器并获取加密密钥。
• 最后一步就是加密PC上的数据，要求你支付大量赎金。

从上面的步骤中你应该也能看出，执行恶意操作的payload将直接注入进程并在RAM内存中运行。

攻击者不会将恶意软件程序安装在磁盘驱动器上，因为传统杀毒软件通过签名扫描就能检测到。

如果payload在磁盘上或内存中运行(这种情况比较少发生)，传统杀毒软件也能检测得到。

Poweliks是第一个被发现的无文件恶意软件，让我们来看看它是如何用勒索软件感染电脑并进行点击欺诈的:

Poweliks附带了一个默认的关键字列表，用于生成广告请求。该软件会假装受害者身份去合法的搜索这些关键字，然后联系广告联盟平台，接着Poweliks会回应由广告联盟平台发回的URL，开启付费下载。同时，由于广告所展示的网页本身就可能是有风险的，将会为其他恶意软件的入侵创造一个良好的契机。比如Poweliks就有可能导致计算机上被安装Trojan.Cryptowall。

在另外一些情况下，点击欺诈常常与恶意广告捆绑在一起：

虽然广告不会向受害者展示，但广告的下载和处理会消耗处理和网络带宽，并可能使受害者面临二次感染，最终可能导致受害者完全失去对计算机的掌控权。

来源：The evolution of the fileless click-fraud malware Poweliks

EXPLOIT KITS——无文件感染的必要工具

在任何成功的无文件恶意软件感染中，Exploit kits都起着重要作用。Exploit kits是一种软件程序，旨在发现应用程序中的漏洞、弱点或错误，利用它可以进入你的计算机或一些其他系统之中。

上文中我们已经提到过Angler Exploit kits。它是种比较特殊的漏洞利用工具包，可以支持这些无文件感染，它的优点在于非常灵活而且检测率也很低。这意味着它可以方便各种恶意软件的入侵，从银行特洛伊木马到勒索软件，而不会被传统的防毒软件所发现。

推动无文件恶意软件感染数量增加的两个核心因素：

• Exploit kits正越来越被广泛使用;
• 恶意软件制造商每天产生多达230,000个新恶意软件的样本，为攻击者提供了无数的攻击媒介。

虽然Angler并不是网络犯罪分子使用的唯一的Exploit kit，但它绝对是最受欢迎的一种。

网络犯罪分子正在迅速发展，他们的大多目标都是为了在短时间内尽可能赚更多的钱。

这就是为什么当可用于商业的Exploit kits开始包括无文件感染技术时，会让网络安全专家感到意外了。他们很难相信网络犯罪分子为了让其攻击行为尽可能不被发现，会选择放弃持久性。为了窃取大量数据或清空银行账户，他们需要时间去绕过用户的防御，尽可能多地收集和过滤数据。

如何保护您的计算机免受无文件感染

当无文件感染刚出现时，由于其大量占据着计算机的RAM、使之运行缓慢而容易被发现。但此后，网络犯罪分子又迅速加强了他们的策略和代码，使无文件感染不那么容易被检测到。

保护自己免受无文件恶意软件感染的最佳方法是在它们发生之前阻止它们。

那我们该怎么做呢?

Level 1：保持应用程序和操作系统应用安全更新

大多数用户会由于某些先入为主的观念而无视软件更新，比如：“它将占用我计算机的更多内存。”或是“这可能会使我的电脑运行速度变慢。”，甚至“这可能会导致我的操作系统或其他应用程序出现兼容性问题。”。

但我们不再是90年代了。安全更新对您的安全至关重要!

始终保持您的应用和操作系统更新可以排除多达85%的目标攻击(针对您PC上特定漏洞的网络攻击)。

如果您不喜欢实时更新的骚扰，也可以选择让其自动更新。

Level 2：阻止携带Exploit kits的页面

当你点进一个带有Exploit kits的受感染网页时，感染可能就已经开始了。但如果你使用的主动安全产品，那么它会访问之前立即阻止访问，Exploit kits将永远也无法访问您计算机上的应用程序(在本例中为浏览器)。

Level 3：阻止payload传递

一旦Exploit kits发现系统中存在漏洞，它将连接到C&C服务器下载payload并放入RAM内存中。

但是，如果计算机受到充分保护、安全组件知道Exploit kits正在尝试连接到恶意服务器，它将停止payload下载。

在无文件感染发生之前就将其阻止，甚至勒索软件也无法通过。

Level 4：阻止你的电脑和攻击者的服务器之间的通信

假设软件中存在一个制造商自己都不知道的漏洞，payload通过0Day漏洞最终出现在系统上。

主动安全产品的下一层保护措施是阻止您的计算机与网络罪犯控制的服务器之间的通信。得益于此，攻击者将无法检索从你电脑里收集的数据，并且网络罪犯也无法使用其他恶意软件感染您的系统。

无文件恶意软件技术分析资源

如果您想要在技术上更一步了解有关无文件恶意软件的更多信息，这里为您精选了一部分内容：

• 无文件点击欺诈恶意软件Poweliks的演变
• Angler EK：现在能够“无文件”感染(内存恶意软件)
• Fessleak：零日驱动的高级RansomWare恶意广告活动
• 对感染Poweliks的系统进行分类
• 深入挖掘Angler Fileless Exploit交付

结论

计算机对我们的生活至关重要，网络安全也是如此。随着越来越多的数据用于在线存储和管理，那些掌握安全知识的人将在保持设备和数据安全性方面占据上风。