近年來，一種被稱為無文件攻擊的滲透形式與日俱增，逐漸引起人們重視。這類攻擊從2016年初的3%上升到了2018年11月的13%， 并且還在持續(xù)增長(zhǎng)，知名安全公司Carbon Black對(duì)超過1000名用戶（擁有超過250萬個(gè)包括服務(wù)器和PC在內(nèi)的主機(jī)）進(jìn)行分析后發(fā)現(xiàn)，幾乎每個(gè)組織都遭到了無文件攻擊。平均每3個(gè)感染中就有1個(gè)是無文件攻擊造成的。早在2017年4月，黑客通過新型惡意軟件 “ATMitch”，以“無文件攻擊”方式，一夜劫持俄羅斯8臺(tái)ATM機(jī)，竊走80萬美元。在今年年初，全球40個(gè)國(guó)家的140多家包括銀行、電信和政府機(jī)構(gòu)等組織遭到 “ATMitch”無文件攻擊，感染機(jī)構(gòu)遍布美國(guó)、法國(guó)、厄瓜多爾、肯尼亞、英國(guó)和俄羅斯等國(guó)家。在全球經(jīng)濟(jì)和網(wǎng)絡(luò)一體化的時(shí)代，中國(guó)用戶同樣不能幸免。據(jù)悉，國(guó)內(nèi)54%的公司經(jīng)歷過1次或多次破壞了數(shù)據(jù)或基礎(chǔ)設(shè)施的成功攻擊，其中77%的攻擊利用了漏洞或無文件攻擊。

無文件攻擊并非沒有文件

以無文件攻擊中最常見的一類（無文件挖礦攻擊）舉例：如果用戶在點(diǎn)開文檔之后，電腦瞬間被卡，反應(yīng)速度緩慢，不能工作。關(guān)機(jī)重啟之后，電腦卻照樣沒反應(yīng)，散熱風(fēng)扇山響，CPU資源占用了100%……殺毒軟件查不到任何異常……一旦出現(xiàn)以上情況，用戶電腦十有八九是遭到無文件挖礦攻擊。

無文件挖礦攻擊并非沒有文件基礎(chǔ)，只是因?yàn)樵诖祟惞糁校到y(tǒng)變得相對(duì)干凈，傳統(tǒng)的防毒產(chǎn)品識(shí)別不出，更談不上及時(shí)通知技術(shù)人員進(jìn)行防御了，這就造成了這種攻擊好像沒有文件基礎(chǔ)的假象。這種無文件惡意攻擊主要是靠網(wǎng)絡(luò)的方法，在內(nèi)存里存上一串惡意代碼，沒有落地文件，這樣一來，殺毒軟件就很難發(fā)現(xiàn)其蹤跡了。

對(duì)付無文件攻擊，傳統(tǒng)安全手段失靈

任何惡意代碼，只要重啟電腦，內(nèi)存就清除。可是重啟對(duì)無文件攻擊沒有作用。無文件攻擊通常采用powershell.exe，cscript.exe，cmd.exe和mshta.exe運(yùn)行遠(yuǎn)程腳本，該腳本不落地到本機(jī)內(nèi)，同時(shí)將該任務(wù)設(shè)置為計(jì)劃任務(wù)或者開機(jī)啟動(dòng)，重啟無效。這些程序都是系統(tǒng)的合法程序，殺毒軟件自然無可奈何。無文件攻擊在成功潛入內(nèi)存并安定下來后，便可以為所欲為，或進(jìn)行挖礦、加密文件進(jìn)行勒索、連接遠(yuǎn)程C&C下載更多病毒文件等。一切操作都是披著合法外衣悄悄進(jìn)行，不僅獲得了權(quán)限，是合法的，而且也不大，所以幾乎不會(huì)被殺毒軟件發(fā)現(xiàn)。

無文件攻擊的傳播迅猛

無文件攻擊的傳播極快。以今年4月，杰思安全的某重要用戶網(wǎng)內(nèi)大面積爆發(fā)無文件挖礦攻擊為例。這次攻擊的所有模塊功能均加載到內(nèi)存中執(zhí)行，沒有本地落地文件，攻擊內(nèi)置兩種橫向傳染機(jī)制，分別為Mimikatz+WMIExec自動(dòng)化爆破和MS17-010“永恒之藍(lán)”漏洞攻擊，堪稱火力全開，極易在內(nèi)網(wǎng)迅猛擴(kuò)散。從下圖，我們可以感受無文件無文件攻擊是有多么兇猛。

攻擊順序如下：

1.首先，挖礦模塊啟動(dòng)，持續(xù)進(jìn)行挖礦。

2.其次，Minikatz模塊對(duì)目的主機(jī)進(jìn)行SMB爆破，獲取NTLMv2數(shù)據(jù)。

3.然后，WMIExec使用NTLMv2繞過哈希認(rèn)證，進(jìn)行遠(yuǎn)程執(zhí)行操作，攻擊成功則執(zhí)行shellcode使病原體再?gòu)?fù)制一份到目的主機(jī)并使之運(yùn)行起來，流程結(jié)束。

對(duì)付無文件攻擊，主機(jī)防護(hù)是關(guān)鍵

截止4月25日，杰思獵鷹主機(jī)安全響應(yīng)系統(tǒng)在該用戶已部署安全探針的1426臺(tái)主機(jī)上，共阻止端口掃描行為24813次，發(fā)現(xiàn)端口掃描攻擊源IP共36個(gè);共阻止暴力破解行為2021585次，發(fā)現(xiàn)暴力破解源IP共28個(gè)。

不得不說，該用戶的內(nèi)網(wǎng)主機(jī)經(jīng)歷了一場(chǎng)有驚無險(xiǎn)的圍攻，最終化險(xiǎn)為夷，安然無恙。該用戶的員工在使用中并沒有太多異樣感覺，殊不知他們?cè)谡９ぷ鞯臅r(shí)候，杰思獵鷹主機(jī)安全響應(yīng)系統(tǒng)一直在默默地保駕護(hù)航。