SparkCognition——AI如何阻止无文件攻击
2018年09月07日 由 荟荟 发表
660925
0
一种新的网络攻击正在上升。2017年,所有成功的网络攻击中有多达77%涉及无文件攻击。但是什么是无文件攻击,你怎么能防御它们?
无文件攻击如何工作
最基本的是,计算机将数据存储在两个位置:其硬盘驱动器和随机存取存储器(RAM)。硬盘驱动器包含锁定长期存储的数据。想想存储在计算机上的所有文件和应用程序,但现在还没有打开 - 这些文件和应用程序都在磁盘上。但是,当您打开应用程序和文件时,您告诉计算机将它们从长期存储中取出,以便RAM可以处理它们。例如,查看此网页所涉及的数据处理主要在于这种更小,更快的存储形式,即计算机内存。
传统恶意软件通过将自身保存到计算机磁盘(例如,在下载之后)工作,试图诱使用户执行文件以便恶意软件可以接管。然而,在过去的几年中,一种新的恶意软件正在崛起,通过完全绕过硬盘来渗透目标系统。通过巧妙地操纵您的计算机的管理属性,“无文件”程序执行恶意代码而无需与硬盘进行任何交互,从而无需用户执行任何操作。在大多数情况下,它们直接在系统的内存中运行,或者在与计算机操作系统相关的低级数据库中运行。
在过去,网络攻击就像特洛伊木马一样 - 试图让用户无意中将他们带入大门。现在,除了这些传统威胁之外,攻击者还使用无文件恶意软件直接降落到您的计算机指挥中心。
无文件攻击的类型
一旦嵌入,无文件攻击几乎可以实现传统恶意软件可以执行的所有操作。它可以收集私人信息,迫使您的计算机安静地将其发送到远程服务器。许多值得注意的数据泄露事件,包括2016年大选期间的DNC攻击,都被认为是无文件恶意软件。此类程序可以充当勒索软件,将数据作为人质,直到付出过高的代价。以下是无文件渗透的三种常见变种:
代码注入:恶意软件运行SQL代码,用于查询组织的数据库,收集有价值的数据并将其发送到黑客的服务器。
基于宏:恶意软件从Word文档执行宏,指示计算机密码锁定其所有已保存的文档。
基于脚本:恶意软件在恶意网站上使用HTML脚本执行,提示您的Web浏览器将其保存的密码和信用卡号自动填充到黑客的数据库中。
AI如何击败无文件攻击
无文件威胁在某种程度上是如此成功,因为传统的防病毒(AV)软件对它们无能为力。还记得那些说他们正在搜索你的文件的长防病毒扫描吗?他们正在扫描您的硬盘,寻找要隔离的恶意文件。但是因为无文件软件没有隐藏在磁盘上,所以这些传统AV无法检测到它。
通过分析计算机上的代码和脚本来搜索可疑命令,下一代AV可以做得更好。他们使用特定的规则和启发式方法,旨在识别已知类型的恶意软件,甚至在内存中。但是,下一代AV通常也是无效的,因为它们的识别规则和启发式方法无法快速适应不断增长的各种无文件程序。
基于机器学习的网络安全是无文件攻击的最佳解决方案。这是因为它不是试图记住与无文件威胁相关的所有签名,而是不断更新自己或“学习”,以最好地预测和防止新的和未知的威胁,同时加强对以前见过的防御。正是这种优势已经让SparkCognition自己的基于机器学习的网络安全解决方案DeepArmor??击败过一些最阴险的网络威胁,包括像勒索的GandCrab和CryptoMix,目前已被使用fileless方式交付。
欢迎关注ATYUN官方公众号
商务合作及内容投稿请联系邮箱:bd@atyun.com