正如其名,恶意软件或毒在的过程中不使用文件。
要了解它的含义,我们先简单过一下传统杀毒产品的工作原理:
1.之前,恶意文件需要被加载到硬盘上;
2.接着杀毒软件开始对恶意文件进行(也就是payload);
3.如果识别是恶意软件,则杀毒软件会/删除恶意文件,从而确保计算机的。
而无文件并不能被上述过程囊括,因为就没有接触到文件。你应该也能猜到:传统的杀毒产品无法识别此,继而会产生一系列的。接下来我们将细述无文件可能造成的损害的类型。
为什么络罪犯使用无文件恶意软件?
络罪犯足智多谋、富有创造力,这种无形的就是他们证明自己能力的途径之一。
恶意的攻击目标是:
· ——尽可能避免被产品发现的能力;
· 特权级——利用漏洞获取员权限,随心所欲执行操作的能力;
· 信息收集——尽可能多的从受害者的电脑中收集有关受害者的资料(以便以后用于攻击);
· ——保持恶意软件在中尽可能长时间不被检测到的能力。
恶意软件制造者在无文件中所做的就是潜入后保持,终达到隐身的效果。想要隐藏恶意软件的过程,触发预期的行动是关键。比如有类“型”恶意软件——利用exploit kit进入进行无文件,就能轻易达成目标。
还有类无文件恶意软件,是在直接写入RAM后,通过隐藏在传统杀毒软件难以扫描检测到的位置来获得。下面所列举的和可能是真正影响你电脑的顽疾所在:
1.内存驻留恶意软件——这类准无文件恶意软件利用的是进程或可信的Windows文件的内存空间,将恶意代码加载到内存空间后,一直保持在那直到被触发。这类恶意软件可能并不算是无文件的恶意软件类型,但我们也可以将其归于此类。
——这类恶意软件会用用户身份掩饰自身的存在,进而获得员访问权限。Rootkit通常驻留在内核中,机器重启和常规的毒扫描对其不起作用。它的能力可以用不可思议来形容,想要移除它几乎是不可能的。当然这类也不能算是的无文件,但把它放在这也无妨。
3.Windows注册表恶意软件——这是一种较新类型的无文件恶意软件,它能够驻留在Windows的注册表中。Windows注册表是一个存储操作和某些应用程序的低级设置的数据库,对普通用户而言这是个难以导航的地方,但恶意软件作者甚至可以利用操作的缩略缓存来获得。此类型的无文件恶意软件在注册表中的文件中执行代码,一旦任务执行完文件就会被自动销毁。
2014年8月,当Poweliks木亮相时,也带来了无文件。它初的设计目标用于执行欺诈点击,但后来发展出更多的可能,比如:
· 创造新的恶意软件,无需触发传统的检测机制就能;
· 通过传播新的恶意软件,从成的无文件恶意软件中获利;
· 通过能够窃取信息的一次恶意软件收集有关受的电脑的信息,然后再用恶意软件电脑;
· 利用漏洞,将payload到Windows注册表以实现;
· 采用先进、灵活甚至模块化的exploit kits,更快的发现和操作漏洞;
· 利用大量的0day漏洞危害更多计算机;
· 通过让机器软件来快速轻松的钱。
但无文件恶意软件也并非无缺,它是在电脑的RAM内存中运行的,所以只能在电脑开着的时候工作,这意味着攻击者只有很小的机会执行攻击并渗透到您的操作。但随着电脑的人均使用时长的增长,将会为创造更多的契机。
无文件的工作机制
让我们模拟个无文件计算机的真实场景:
· 你正在使用安装了Flash件的Chme浏览器(也可以是支持此件或Javascpt的浏览器)。
· 你没有及时对老旧版本的Flash件进行更新。
· 偶然间你访问了一个托管Angler exploit kit的站。
· exploit kit开始扫描漏洞,在Flash件中找到漏洞后会立刻在Chme进程的内存中运行payload。
· 如果payload是软件,它会连接到攻击者的C&C并获取加密密钥。
· 后一步就是加密PC上的数据,要求你支付大量。
从上面的步骤中你应该也能看出,执行恶意操作的payload将直接注入进程并在RAM内存中运行。
攻击者不会将恶意软件程序安装在磁盘驱动器上,因为传统杀毒软件通过签名扫描就能检测到。
如果payload在磁盘上或内存中运行(这种情况比较少发生),传统杀毒软件也能检测得到。
Poweliks是第一个被发现的无文件恶意软件,让我们来看看它是如何用软件电脑并进行点击欺诈的:
Poweliks附带了一个默认的关键字列表,用于生成请求。该软件会假装受害者身份去合法的搜索这些关键字,然后联系联盟,接着Poweliks会由联盟发回的L,开启付费。同时,由于所展示的页本身就可能是有的,将会为恶意软件的创造一个良好的契机。比如Poweliks就有可能导致计算机上被安装。
在另外一些情况下,点击欺诈常常与恶意捆绑在一起:
虽然不会向受害者展示,但的和处理会消耗处理和络带宽,并可能使受害者面临二次,终可能导致受害者失去对计算机的掌控权。
EXPLOIT KITS——无文件的必要工具
在成的无文件恶意软件中,Exploit kits都起着重要作用。Exploit kits是一种软件程序,旨在发现应用程序中的漏洞、弱点或错误,利用它可以进入你的计算机或一些之中。
上文中我们已经提到过Angler Exploit kits。它是种比较特殊的漏洞利用工具包,可以支持这些无文件,它的优点在于非常灵活而且检测率也很低。这意味着它可以方便各种恶意软件的,从木到软件,而不会被传统的防毒软件所发现。
推动无文件恶意软件数量增加的两个核心因素:
· Exploit kits正越来越被广泛使用;
· 恶意软件制造商每天产生多达230,000个新恶意软件的,为攻击者提供了无数的攻击媒介。
络犯罪分子正在迅速发展,他们的大多目标都是为了在短时间内尽可能更多的钱。
这就是为什么当可用于商业的Exploit kits开始包括无文件技术时,会让络感到意外了。他们很难相信络犯罪分子为了让其攻击行为尽可能不被发现,会选择放弃。为了窃取大量数据或清空账户,他们需要时间去绕过用户的防御,尽可能多地收集和过滤数据。
如何保护您的计算机免受无文件?
当无文件刚出现时,由于其大量占据着计算机的RAM、使之运行而容易被发现。但此后,络犯罪分子又迅速加强了他们的策略和代码,使无文件不那么容易被检测到。
保护自己免受无文件恶意软件的方法是在它们发生之前阻止它们。
那我们该怎么做呢?
Ll 1:保持应用程序和操作应用更新
大多数用户会由于某些先入为主的观念而无视软件更新,比如:“它将占用我计算机的更多内存。”或是“这可能会使我的电脑运行速度变慢。”,甚至“这可能会导致我的操作或应用程序出现兼容问题。”。
但我们不再是90年代了。更新对您的至关重要!
始终保持您的应用和操作更新可以排除多达85%的目标攻击(针对您PC上特定漏洞的络攻击)。
如果您不喜欢实时更新的扰,也可以选择让其自动更新。
Ll 2:阻止携带Exploit kits的页面
当你点进一个带有Exploit kits的受页时,可能就已经开始了。但如果你使用的主动产品,那么它会访问之前立即阻止访问,Exploit kits将也无法访问您计算机上的应用程序(在本例中为浏览器)。
Ll 3:阻止payload传递
一旦Exploit kits发现中存在漏洞,它将连接到C&Cpayload并放入RAM内存中。
但是,如果计算机受到充分保护、组件知道Exploit kits正在尝试连接到恶意,它将停止payload。
在无文件发生之前就将其阻止,甚至软件也无法通过。
Ll 4:阻止你的电脑和攻击者的之间的通信
假设软件中存在一个制造商自己都不知道的漏洞,payload通过0Day漏洞终出现在上。
主动产品的下一层保护措施是阻止您的计算机与络罪犯控制的之间的通信。得益于此,攻击者将无法检索从你电脑里收集的数据,并且络罪犯也无法使用恶意软件您的。
计算机对我们的生活至关重要,络也是如此。随着越来越多的数据用于存储和,那些掌握知识的人将在保持设备和数据方面占据上风。
(作者:曲速未来区,内容来自链得得内容开放“得得”;本文仅代表作者观点,不代表链得得)
文章来自网络。:福答网 » 如何让电脑中毒也发现不了(电脑中毒的原因不留痕迹)