无文件攻击防御
 
背景
 
        无文件攻击,是指攻击者在入侵系统时,不复制PE(Portable Executable)文件到磁盘上,以此来绕过防病毒引擎的检测。在没有恶意文件的前提下,攻击者只需劫持其他合法的系统工具或是利用受信任的应用程序,就可以继续开展本地提权、信息收集、横向移动、利用系统脚本语言加密文件等攻击行动。这所有的一切都在合法的程序中进行,传统的防病毒软件、防火墙、IPS等安全产品对这种攻击方式束手无策,连重启电脑清除内存都无法规避。
 
杰思安全防护方案
 
        无文件攻击并不是指不通过任何文件。相反,它必须借助文件或漏洞才能完成攻击,如内嵌到office文档的宏代码、使用PowerShell加密文件、利用漏洞直接注入到内存执行等行为。
 
        杰思安全并不把目标局限在恶意文件,而是着眼整个主机环境,锁定操作系统异常行为。从系统活动通过不同的安全策略,结合应用程序清单、漏洞利用阻断、攻击向量指标、托管狩猎等多元化的检测与响应,灵活应对多种类型的无文件攻击,包括恶意文档、恶意脚本、本地程序交互、恶意代码注入等。