抵御无文件恶意软件.PDF

解决方案简介 抵御 无文件恶意软件 在 《McAfee® Labs 威胁报告：2015 年 11 月》中，我们深入了解了无文件恶 意软件并从技术方面深入剖析了 Kovter 恶意软件，这些恶意软件通过减少或 消除存储在磁盘上的所有二进制文件，并在已遭破坏的主机的注册表中隐藏 其恶意代码来逃避检测。恶意软件作者通过利用诸如多态性、植入看门狗软件 和撤消权限等技术加强攻击，从而应对检测。同样是在 2015 年，我们还看到 了攻击者利用各种功能 （如 Microsoft Windows Management Instrumentation (WMI) 和 Windows PowerShell ）攻击终端，而不会在磁盘上存储任何二进制 文件，以确保跟踪攻击更加困难。 安全行业多年以来就已经了解了无文件恶意软件基于内存的感染。尽管无文件恶意软件一般不会留下任 何文件，但以前的恶意软件系列在渗入已遭破坏的主机主内存前会删除最初攻击时存储在磁盘上的小二 进制文件。但是，无文件恶意软件 （如 Kovter、Powelike 和 XswKit ）所使用的必威体育精装版逃避技术不会在磁 盘上留下任何蛛丝马迹，因此对于通常依赖磁盘上的静态文件进行检测的技术而言，更难以发现它的 踪迹。 常见三种无文件恶意软件类型： ■ 常驻内存型：这种类型的无文件恶意软件使用合法 Windows 文件的内存空间。它将代码加 载到内存空间并保持常驻，直到被访问或重新激活。尽管是在合法文件的内存空间内执行， 但是有用于启动或重新启动执行的休眠物理文件。因此，这种类型的恶意软件并不是完全没 有任何文件。 ■ Rootkit 型：一些无文件恶意软件隐藏在用户或内核级应用程序编程接口 (API) 背后。文件 在磁盘上，但处于隐蔽模式。 ■ Windows 注册表型：一些新型的无文件恶意软件驻留在 Windows 操作系统的注册表中。 恶意软件作者利用了各种功能，如用于存储 Windows 资源管理器缩略图视图的图像的 Windows 缩略图缓存功能。可以将缩略图缓存功能用作恶意软件的持久性机制。这种类型 的无文件恶意软件仍然必须通过静态二进制文件进入受害者的系统。大多数用户使用电子邮 件作为媒介访问系统。一旦用户点击附件，恶意软件就会在 Windows 注册表配置单元中以 加密形式写入完整的负载文件。随后，它会通过删除自身而从系统中消声灭迹。 解决方案简介 恶意软件作者精心制作了无文件恶意软件系列 （如 Kovter、Powelike 和 XswKit ）来执行完整的无文件 Windows 注册表攻击，不会在文件系统中留下任何痕迹。尽管发起这些攻击的环境是通过在文件中执 行代码来准备的，但文件会在系统准备进行恶意操作后自我毁灭。 Intel Security 如何帮助防御无文件恶意软件 彻底检测无文件恶意软件不涉及检测棘手的初始二进制文件，这往往是通过安全组织执行调查研究进行 检测。但是，为了确保采取适当的控制措施来预防攻击者攻击，保证切入点安全是阻止无文件恶意软件 的关键。 McAfee Advanced Threat Defense McAfee Advanced Threat Defense 是一款综合运用多个检查引擎的多层恶意软件检测产品。通过综 合运用多个应用基于特征码和信誉的检查、实时模拟、全静态代码分析以及动态沙盒的检查引 擎，McAfee Advanced Threat Defense 可以防范最初在其目标系统中删除二进制文件的无文件恶意软件。 ■ 基于特征码的检测：检测病毒、蠕虫、间谍软件、僵尸程序、特洛伊木马、缓冲区溢出和 混合型攻击。它全面的知识库由 McAfee Labs 创建和维护。 ■ 基于信誉的检测：使用 McAfee Global Threat Intelligence (McAfee GTI) 查找文件的信誉， 以检测各种新兴威胁。 ■ 实时静态分析和模拟：提供实时静态分析和模拟，以快速查找基于特征码的技术或信誉未 能识别的恶意软件和零日威胁。 ■ 全静态代码分析：对文件代码实施逆向工程，以访问其所有属性和指令集，并且完全分析 但不执行源代码。全面的