當前位置：首頁 >互聯網?IT > 安全 > 網絡威脅 > 正文

無文件惡意軟件或導致傳統軟件失效

來源：賽迪網：子鉃 2015-06-02 14:16:19

在發(fā)生病毒感染事件之后，常見的安全修復策略常是刪除特定位置里面的病毒文件，并使用防毒軟件進行全盤查殺。但如今，這個策略正在面臨失效的風險，趨勢科技發(fā)現了一種無文件載體的惡意軟件，該軟件擺脫了傳統惡意軟件的安裝行為，使防毒軟件的文件監(jiān)測功能無法偵測到它們的存在。已經有跡象表明越來越多的病毒采用這種方式來躲避查殺，趨勢科技建議企業(yè)與個人消費者務必要關注此類防毒軟件的蔓延跡象，并采用行為監(jiān)控的方式來防范病毒威脅。

無文件惡意軟件肆虐傳統防毒軟件喪失用武之地

如果將安全攻防當做一場“見招拆招”的劍術比賽，那么無文件惡意軟件顯然已經達到了“無招勝有招”的極高境界。與大多數惡意軟件不同，無文件惡意軟件并不會在目標電腦的硬盤中留下蛛絲馬跡，而是針對傳統防毒軟件在掃描機制上的特點，直接將惡意代碼寫入內存或注冊表中。由于沒有病毒文件，文件掃描程序很難掃描或偵測到它們的存在。“POWELIKS”即是一個無文件惡意軟件的例子，它可以利用另一個傳統惡意軟件將惡意程序代碼加入注冊表內，從而將自己隱藏在防毒軟件的視線之外。

無文件惡意軟件的攻擊技術正在不斷精進，在趨勢科技監(jiān)測到的另一個無文件惡意軟件“Phasebot”中，軟件除了會將惡意代碼寫入內存以避免監(jiān)測之外，還加入了虛擬機偵測、外部模組載入等新功能。前者有利于惡意軟件更快速的在企業(yè)虛擬機中傳播，后者則支持黑客隨時在受感染電腦上新增或移除功能。而且，該惡意軟件更加強調隱蔽和躲避監(jiān)測的機制，每次連接C&C服務器時，它都會通過隨機密碼來加密其通訊鏈路。

趨勢科技(中國區(qū))技術總監(jiān)蔡昇欽指出：“Phasebot之所以能夠躲避安全軟件的偵測，一個重要原因是它利用了Windows 7及更新版本所自帶的Windows PowerShell工具，這本是正常的系統管理工具，但是Phasebot成功的利用該工具來執(zhí)行它隱藏在Windows注冊表內的組件，很容易讓安全軟件誤以為這是一個正常的系統操作行為。”

當無文件惡意軟件感染電腦之后，會執(zhí)行黑客的后續(xù)指令，如竊取用戶信息、綁架用戶電腦以執(zhí)行拒絕服務攻擊(DDoS)攻擊、自我更新、下載并執(zhí)行其它惡意程序等。而且，黑客還試圖在地下黑色市場銷售這些攻擊工具，這將導致更多的企業(yè)與個人用戶處于安全風險之中。

趨勢科技建議用戶通過行為監(jiān)控來防范威脅

無文件惡意軟件的出現對于不熟悉此類病毒感染事件的用戶來說會造成嚴重的威脅。當病毒感染事件發(fā)生之后，用戶往往被建議去尋找可疑的文件或文件夾，而非Windows注冊表這樣被無文件惡意軟件感染的地方。趨勢科技預計會有更多黑客會使用無文件攻擊技術，而且很有可能并不會局限在只用Windows注冊表隱藏惡意軟件。

無文件惡意軟件的發(fā)展讓那些嚴重依賴于惡意文件偵測的廠商面臨嚴峻的挑戰(zhàn)，安全廠商將不得不加緊腳步，跳出傳統基于文件的偵測模式，采用新的安全防護手段。蔡昇欽表示：“要想成功防范無文件惡意軟件的安全威脅，關鍵之處在于通過行為監(jiān)控的方式，檢查整個文件結構、尋找篡改和惡意代碼注入的跡象，實現有效地偵測和阻斷。”

個人消費者可以使用趨勢科技PC-cillin 2015云安全版來防范無文件惡意軟件的威脅，PC-cillin 2015云安全版具備行為監(jiān)控功能，可以持續(xù)偵測軟件的惡意行為，并在惡意行為執(zhí)行前就先封鎖惡意軟件，甚至可以在病毒碼更新之前就提供充足的防護能力。

對于企業(yè)用戶來說，趨勢科技建議部署OfficeScan 、Worry-Free Business Security等終端安全防護軟件或本地支持SPN的深度威脅發(fā)現平臺(Deep Discovery，DD)，這些產品可以在利用沙盒模擬、事件關聯等功能發(fā)掘隱秘的攻擊行動，在對系統的實時監(jiān)控中發(fā)現惡意行為，阻止惡意軟件進入到企業(yè)網絡。

當然，在采取安全防護措施的同時，用戶還需要關注網絡環(huán)境的安全性，并養(yǎng)成良好的安全習慣。例如，用戶在處理電子郵件、打開文件或網址時都要保持謹慎，必須再三確認這些文件或鏈接是否安全，以免被不法分子找到可乘之機。

編輯：趙明飛

關鍵字：防毒軟件傳統軟件