看资讯要看评论 科技独立评论号

点击题目下方蓝字关注 阿明观察

这是一个老生常谈的问题。

对于Fileless Malware，其实这两年出现得特别令人匪夷所思。Fileless Malware是指恶意软件专门设计和架构，实际上，它与运行的主机的文件系统交互。

对技术专业人员来说，警惕这一点很重要，因为它以几种不同的方式影响着他们。

首先，它在分析攻击者活动时更改了他们应该注意的内容。因为Fileless Malware已经转变了传统的恶意软件不同的特点，它需要寻找不同的指标。

其次，它影响了从业者如何计划和执行对恶意软件的响应。一个攻击者采用这种方法的原因是，绕过许多通常以减轻攻击的技术。

然而，从业者可以也应该做一些事情来保护他们的组织。

当然也可以采取预防策略。

首先，需要考虑Fileless Malware带来的直接影响，并且对检测恶意软件的方法有影响。此外，也影响到组织如何在调查环境中收集和保存证据。具体地说，由于没有收集和保存的文件，它使通常捕获文件系统内容的技术变得复杂，并将它们保存在digital amber中用于法庭或执法。

尽管有着这些复杂性，企业组织应该采取措施保护自己。

首先是修补和维护一个硬件端。

另一个常见的建议是从现有的Fileless Malware检测和预防软件中获取最多的信息。例如，许多硬件端端保护产品具有基于行为的检测功能，可以任意启用。

更具战略性的考虑，增加其操作的可视性。例如，PowerShell 5包括扩展和增强的日志记录功能，可以扩大安全团队更大的可视性。

事实上，“脚本块记录”保存了执行什么代码（即执行命令）的记录，可以用来支持检测能力，并保持记录，以便在后续的分析和调查中使用。

当然，还有其他的途径，攻击者可能利用超越PowerShell。尽管如此，无论如何需要用户提前考虑一下，花时间了解你所面临的问题并据此制定计划，这才是一个很好的起点。（Aming）

——阿明／编辑评论——