搞掂“无文件”恶意程序

GZGame

　　近期，“无文件”恶意程序“闪耀”各大网络威胁榜单，竟已感染全球上百家银行和金融机构。据安全研究人员爆料，该恶意程序竟可长时间潜伏在用户系统中，很难被发现。

什么是“无文件”恶意程序？

　　“无文件”恶意程序是指存在于随机存取存储器（RAM）而不是硬盘上的恶意程序,“无文件”恶意程序不会将文件复制到硬盘上，反而是直接注入正在运行程序的内存，导致恶意软件直接在系统RAM中执行，因其并非以文件形式存在，所以很难被发现，长期潜伏在用户系统中。

“无文件”恶意程序分析

　　“无文件”恶意程序通常是由于用户不经意访问恶意网站或者点击恶意广告感染，当系统感染“无文件”恶意程序后，会执行黑客的后续指令，如窃取用户敏感信息、自我更新、下载并执行其它恶意程序等。此次研究人员公开的“无文件”恶意程序感染过程如下：

• 黑客利用Metasploit framework产生脚本程序，该脚本分配内存、解析WinAPIs、并下载Meterpreter到RAM；
• 黑客在目标机器中建立并启动服务；
• 被感染机器与黑客服务器建立传输通道。
  
  

上述提及“无文件”恶意程序可归类为如下病毒家族：

• SWRORT
• COMETER
• NETCAT
• MIMIKATZ
• POWECOD
  
  

解决方案   

• 升级杀毒软件的内存杀毒模块，可以有效清除内存中的恶意代码；
• 升级杀毒软件的行为监控策略，使最新的规则加入对该病毒的检测；
  
  

　　透过此次事件，我们发现攻击者会尽量隐藏自己的攻击行为，让攻击检测和事件响应变得更为困难。另外攻击者可以不使用恶意程序即可完成攻击行为，基于内存的恶意软件攻击将成为发展趋势。