@时光机
2年前 提问
1个回答

为什么无文件攻击难以检测

趣能一姐
2年前

无文件攻击一般都是通过系统或者软件自身存在的漏洞入侵系统或者软件,而这些系统或者软件大多都是系统以及信任的,无文件攻击在利用这些受信任的软件或系统工具来躲避检测,通过注册表实现永久驻留,或者使用WMI功能定时自启,同时不断渗透进入其他计算机,利用操作系统特性来达到数据隐身,让基于文件监测的查杀手段失效。并且这类攻击本身文件落地磁盘,攻击的载体大多数都是脚本,通过程序命令执行所以难以检测。

针对无文件攻击的预防措施有以下这些:

  • 增加内存安全防护手段:虽然说基于文件扫描的杀毒方式无法监测,但内存保护不同于传统的检测⽅式,侧重于执行流程、行为动作跟踪,在内存、CPU指令级别监控应用程序运行时的行为。在冯·诺伊曼结构中,任何数据都需要经过CPU进行运算、都需要内存进行存储。因此可以通过内存行为监控等手段,进⾏攻击检测和防护。

  • 部署异常流量监控设备:对内网中的流量进行监控,通过应用和协议的关联分析,发现网络中存在的可疑活动和未知威胁。

  • 部署各类服务器安全审计工具:包括用户管理工具、数据库审计工具、文件完整性检查工具等,对高危命令执行、敏感信息查询、关键文件修改等操作进行实时阻断和告警。

  • 建立完善的安全资产管理系统:提高漏洞应急响应效率,争取实现补丁安装自动化,在黑客动手前完成系统漏洞修补,提高自身安全意识。

  • 使用内存保护系统:内存保护系统能够检测应用执行中基于内存攻击的异常行为,并能即时阻止。由于可以检测到应用内部行为异常,智能内存保护系统可以阻止未知攻击、无文件攻击,而不关注系统是否打补丁。