“我们每天都看到它，”三星研究美国公司的首席运营官史蒂文·伦茨说。

“发生了一些事情，一些利用类型，未知的勒索软件。我们已经停止了防御，无论是从网络角度还是在终点。

Lentz担心的攻击是无文件攻击，也称为零占用空间攻击，宏或非恶意软件攻击。

这些类型的攻击不会在用户计算机上安装新软件，因此防病毒工具很可能会错过它们。

无文件攻击是有效的。根据Ponemon Institute的“端点安全风险状况报告” ，2017年受攻击的77％是无文件的。该报告估计，无文件攻击成功的可能性是基于文件的攻击的十倍。

无文件攻击也可以避开白名单。使用白名单，仅允许在计算机上安装批准的应用程序。

无文件攻击利用了已安装且在批准列表中的应用程序。

但是，术语“无文件”，“零占用空间”和“非恶意软件”在技术上是错误的名词，因为它们通常取决于用户下载恶意附件文件，并且如果您知道要查找的内容，它们的确会在计算机上留下痕迹。

FireEye，Inc.的高级威胁情报分析师Cristiana Brafman Kittner说：“完全没有零足迹的恶意软件，因为即使没有将其自身安装在硬盘驱动器上，也可以检测到恶意软件。”不要完全避开防病毒软件，因为即使没有安装可执行文件，防病毒软件仍然可以发现恶意附件或恶意链接。

攻击者知道，通过无文件攻击，他们有更大的机会进入。“这就是真正的威胁所在，”伦茨说。

为了捕捉确实存在的漏洞，三星研究院依靠基于行为的系统，包括炭黑的端点保护。

例如，当访客连接到公司的网络时，防御措施能够发现

用户的防病毒工具遗漏的

恶意软件

。

Lentz说：“我们在访客笔记本电脑上找到了键盘记录程序和密码窃取程序。”

Carbon Black，Inc.首席技术官Mike Viscuso表示，无文件恶意软件攻击的比率从2016年初的3％增长到去年11月的13％。“而且我们继续看到这种情况在增加，”他说。

“我们发现多达三分之一的感染是无文件感染。”

由于并非所有的炭黑客户都选择阻止攻击，而是选择警报，因此Viscuso可以看到无文件攻击实际上会产生更大的影响。

他说：“成功的所有攻击中有一半以上是无文件的。”

他说，有些客户还使用蜜罐，甚至在其网络的某些部分没有基于行为的高级保护，因此他们可以监视攻击，然后跟踪攻击者的行为以及它们的传播方式。

他说：“他们可以确保环境的其余部分为攻击做好准备。”

在对1000多个客户（包括250万多个端点）进行的炭黑分析中，几乎每个组织在2016年都受到了无文件攻击的攻击。

Viscuso说，无文件攻击对于攻击者来说非常有意义。

他说：“我在美国国家安全局（NSA）和中央情报局（CIA）担任美国政府的进攻性黑客长达十年。”

“因此，我从攻击者的思维方式着手进行大多数对话。”

从攻击者的角度来看，在受害者的计算机上安装新软件可能会引起注意。

“如果我不将文件放在此受害者的计算机上，您将受到多少审查？”

维斯库索问。

“这就是为什么当攻击者选择使用无文件或内存攻击时，它更加令人发指的原因。他们受到的审查少得多，而且攻击成功得多。”

Viscuso补充说，功能没有损失。

“有效载荷是完全一样的。”

例如，如果攻击者想要发起勒索软件攻击，则他们可以安装二进制文件，也可以使用PowerShell。

他说：“ PowerShell可以完成新应用程序可以完成的所有工作。”

“我可以在内存中或使用PowerShell进行的攻击没有任何限制。”

McAfee还报告了无文件攻击的增加。

宏恶意软件（占无文件恶意软件的很大一部分）从2015年底的40万增加到今年第二季度的110万。

McAfee LLC策略研究的首席科学家兼首席工程师Christiaan Beek说，增长的原因之一是易于使用的工具包的出现，其中包括这些类型的攻击。

结果，以前主要限于民族国家和其他先进对手的无文件攻击的使用已经民主化，现在在商业攻击中也很普遍。

Beek说：“网络犯罪分子已经接管了这一点，以传播勒索软件。”

为了抵御这些攻击，McAfee和其他主要的防病毒供应商一直在基于传统签名的防御基础上添加基于行为的分析。

他说：“例如，如果在看到PowerShell连接的同时执行Word，那将是高度可疑的。”

“我们可以隔离该过程，或者决定终止该过程。”

无文件恶意软件利用了已经安装在用户计算机上的应用程序，这些应用程序被认为是安全的。

例如，漏洞利用工具包可以针对浏览器漏洞，以使浏览器运行恶意代码，或利用Microsoft Word宏，或使用Microsoft的Powershell实用程序。

威胁情报通信团队经理Jon Heimerl说：“已经安装的软件中的软件漏洞是进行无文件攻击所必需的，因此，预防的最重要步骤不仅是修补和更新操作系统，还包括软件应用程序。”在NTT Security。

“浏览器插件是补丁管理过程中最容易被忽视的应用程序，也是针对无文件感染的最有针对性的应用程序。”

可以通过关闭宏功能来阻止使用Microsoft Office宏的攻击。

Rapid7 LLC的研究主管Tod Beardsley说，实际上，它默认是关闭的。

用户必须明确同意启用宏才能打开这些受感染的文档。

他说：“仍有一定比例的人会打开它，特别是如果您欺骗受害者已经知道的人。”

Barracuda Networks，Inc.高级技术工程高级副总裁Fleming Shi说，攻击者还将针对Adobe PDF Reader和Javascript中的漏洞。“有些偏执狂的人会关闭其浏览器中的JavaScript执行，以防止被感染，但通常会破坏站点，”他说。

Virsec Systems，Inc.的创始人兼CTO Satya Gupta说，最近的Equifax漏洞也是无文件攻击的一个例子。他说，Apache Struts中使用了命令注入漏洞。

他说：“在这类攻击中，易受攻击的应用程序无法充分验证用户的输入，其中可能包含操作系统命令。”

“这样一来，这些命令可以得到受害者计算机上，使用相同的特权那些易受攻击的应用程序的执行。”

他补充说：“这种机制完全掩盖了任何未在考虑应用程序执行路径以确定应用程序是否未执行其自然代码的反恶意软件解决方案的情况。”

自3月份发布补丁以来，通过补丁进行修复可以防止漏洞发生。

今年早些时候，无文件攻击感染了40个国家的140多家企业，包括银行，电信和政府组织。

卡巴斯基实验室在其企业网络的注册表中发现了恶意的PowerShell脚本。

据卡巴斯基称，只有在RAM，网络和注册表中才能检测到这种攻击。

根据Carbon Black的说法，另一场备受瞩目的无文件攻击是民主党全国委员会的入侵。

对于希望长时间不被发现的攻击者而言，无文件攻击有助于他们躲在雷达下。

FireEye的Kittner说：“我们已经观察到许多网络间谍活动者利用这种技术来逃避检测。”

她说，最近的袭击包括中国和朝鲜团队的袭击。

无文件攻击的一种新的商业应用是使用受感染的机器来开采比特币。

eSentire Inc.创始人兼首席安全策略师Eldon Sprickerhoff表示：“加密矿工正在尝试使用Eternal Blue将直接加载到内存中的矿工分布到整个公司中。”

随着时间的推移，开采比特币的难度一直在增加，其速度快于虚拟货币价值的增长。

比特币矿工必须购买专门的硬件并支付电费，因此赚钱变得非常困难。

通过劫持公司的PC和服务器，它们可以消除这两个成本。

他说：“如果您可以最大限度地利用一个巨大的多路CPU，那么它比某人的笔记本电脑要好得多。”

Sprickerhoff建议公司寻找异常的CPU使用率，以作为比特币挖矿正在进行中的可能指示。

Rapid7的Beardsley说，即使行为分析系统也无法检测到所有无文件攻击。

他说：“您需要注意何时开始发生异常事件，例如我的用户帐户遭到入侵，并且我开始连接到以前从未与之通信的一堆机器上。”

在这些攻击触发警报之前，或者如果它们做了某些行为算法不会注意的事情，就很难抓住它们。

他说：“如果对手在低速和慢速上付出了很多努力，则很难发现[攻击]。”

“对于我们所看到的东西，可能是选择偏见-我们只会看到笨拙的东西，因为那是最容易看到的东西。如果您超级隐形，我就不会看到它。”