无文件攻击的兴起与应对之道

无文件攻击比基于恶意软件的传统威胁更容易实施也更有效，因而给公司企业的安全防护带来了更大的挑战。

[[217813]]

网络罪犯自然会寻找阻力最小的途径实施攻击，这也正是越来越多的网络罪犯采用无文件攻击的原因所在。随着攻击者对该攻击手法的应用越来越得心应手，企业雇员越来越依赖移动设备和云来开展工作，无文件攻击的威胁也越来越大了。

无文件攻击也就是非恶意软件攻击，是一种可以让攻击者省去传统恶意软件攻击所需步骤的攻击手法。他们不用创建攻击载荷，只需简单地利用可信程序获取内存访问即可。2017年，利用PowerShell或WMI的无文件攻击占了全年攻击总数的52%。

尽管如此，企业依然没有对无文件攻击投以足够的关注。大多数人对网络安全行业的认知依然停留在打了多年交道的传统攻击方法上。

企业是时候进一步了解这些威胁的工作机制了。他们有必要搞清如何检测无文件攻击，为什么无文件攻击会呈增多趋势，以及可以采取哪些步骤做好防护。

现代无文件攻击的进化史

无文件攻击并不是新鲜事物，但它们随着时间流逝而发展变化。

今天的无文件攻击远不止“无文件”这么简单，要说无文件的话，十几年前的红色代码(Code Rad)病毒和Slammer蠕虫就应用了无文件的概念，藏身于内存之中;但今天的无文件攻击是整个攻击链、攻击步骤全都无文件。即便今天的无文件攻击确实涉及到攻击载荷，这些载荷也往往貌似合法，因而非常难以检测。

无文件恶意软件攻击的增长，源于其易用性和终端检测及响应(EDR)工具的改进。

网络中真正令企业伤筋动骨的，是用户名和口令被盗，而不是摆了他们一道的恶意软件本身。

攻击者使用域账户和IP管理员口令在目标网络内横向移动并盗取信息。他们的活动形式多样，大多数情况下获取某用户的 Office 365 或AWS登录账户更有价值。

某种程度上，所有攻击者都必须先进入网络或系统，也就是说，凭证盗窃是攻击的第一步。本地管理员凭证往往是首选，因为没人对它们多加关注，它们也没被指派给具体个人。这基本上是种常态，毕竟这么做可以让管理工作更简单些。服务账户凭证同样脆弱。攻击者一旦接入系统，就会用提权技术提升此类账户的权限。

为什么会暴露在风险之中

公司企业没掌握自身IT系统复杂性，未能完全监视自家整个生态系统，是令自身暴露在风险之中的一大原因。

很多企业都被大量数据淹没，且无法将账户和用户行为整合到一起以供分析。而只要无法跟踪，也就无法知道哪个账户访问了哪些资源。

如果企业员工还没采用基本安全操作，那么所面临的威胁还会更大。网络钓鱼攻击就是用于获取凭证的一大流行方式。

黑客会对员工发起针对性攻击，寻求其亚马逊、Gmail、PayPal和其他常见服务的登录凭证。他们知道人们常会使用同一对用户名和口令登录不同的服务。

一旦黑客入手了员工的个人账户，就可以利用该账户尝试进入其企业网络。很多攻击者都会对低级别员工下手，以期通过监视其邮件活动来分析出高级别员工的账户信息。

威胁蓄势待发

随着员工越来越移动化和云端化，无文件攻击也会见长。远程办公极大地增加了对基础设施的风险。从外面带进来的设备都应该在登入本地网络之前再进行一次镜像和扫描。

移动设备在医疗保健行业所占比重越来越大，各行各业也都在朝着云端迈进。但像云这样的环境，CISO对谁从哪儿登入的系统到底了解多少呢?大部分人都假定云是安全的，但云上包含有大量早已弃用理应注销的凭证，这些凭证可都是攻击者触手可得的合法凭证。

鉴于受经济利益驱动的攻击者将一直存在，未来将有更多威胁对企业造成损害几乎是肯定的。残酷的现实是，我们将见证破坏性攻击的增长。

我们能做些什么?

防止网络钓鱼应从员工培训做起。渗透测试是个不错的培训办法，可以增强员工对网络钓鱼的免疫力，不至于一被钓鱼就上钩。还应设立畅通的员工报告渠道，让员工只要发现可疑迹象就能快速上报。

除此之外，公司企业还应紧密关注其生态系统中的各种活动。

可以引入工具集，找出公司整个基础设施上的所有凭证。结果可能会令人大吃一惊，基础设施上流转的凭证数量往往比员工总数多得多。

评估了凭证数量之后，公司安全团队还应深挖这些凭证的使用情况。比如都是谁在哪里使用了这些凭证，是怎么使用的。正常登录地点之外的凭证使用都应触发警报。大型企业或跨国企业这种基础设施规模庞大的机构组织，有必要引入自动化技术进行凭证安全管理工作。

传统身份与访问管理方法也可以借鉴一二，而如果企业够成熟，可以考虑采纳能自动化访问管理的工具集。这些工具在帮助企业掌握网络登录者的身份、位置、登录方法和所做动作上应该会很有帮助。