攻防演練 | 無懼無文件釣魚，這里有一份硬核指南

無文件釣魚是將社會工程學與無文件攻擊相結合的高級網絡攻擊手段，是近幾年真實攻擊事件和攻防演練案例中利用頻率最高也是最容易成功的一類攻擊手段，最常見的就是利用大家對疫情的高度關注、利用大家對八卦信息的獵奇心理等。

攻擊者利用無文件釣魚主要有兩大優勢：

一是有效降低了攻擊門檻，使紅隊不必強攻用戶網絡即可有機會獲取受信任立足點。它充分利用了人性弱點，通過精心偽造場景，誘使目標下載、執行惡意程序或訪問惡意鏈接，從而達到提權或數據竊取等目的。

二是利用無文件的攻擊手法能有效繞過用戶網絡安全防御體系，提升釣魚成功概率。無文件攻擊通常會利用操作系統的合法程序直接將惡意程序加載至內存運行來攻擊計算機，不會有惡意文件在本地磁盤落地，并且不會留下任何足跡，這給檢測、溯源帶來很大困難。為了逃避檢測，攻擊者開發的無文件惡意軟件變得越來越復雜越來越有針對性。這些軟件往往采用最新的技術，并以混淆、加密等方式來偽裝自己。

圖 典型無文件釣魚攻擊場景 

無文件攻擊常見于PC終端，攻擊者通常利用釣魚郵件或是某些軟件漏洞發起攻擊，并調用Powershell、WMI、PsExec等系統自有工具遠程下載執行惡意命令，具有隱蔽性強、攻擊成功率高、破壞力大、溯源困難等特點。基于特征簽名、網絡流量、系統日志的傳統檢測手段很難有效應對無文件攻擊，很多勒索病毒、挖礦木馬甚至惡意后門程序均是通過無文件攻擊實現。

目前，關基運營者針對釣魚攻擊的防護主要從“人防”和“技防”兩個層面入手。人防主要是通過安全培訓、郵件釣魚演習提高員工的網絡安全意識。技防主要是通過部署郵件安全網關、郵件防泄漏等措施應對郵件威脅。而要想發現無文件釣魚這類攻擊，需要實現對郵件附件、郵件賬號、郵件URL、郵件來源、郵件異常行為等一體化安全解決方案。

安芯網盾內存保護系統（MDPS）無文件攻擊防護模塊以行為分析為核心，深入腳本解釋器內部，監控腳本執行行為，通過發現腳本敏感動作，結合上下文關聯，能有效檢測和發現無文件攻擊行為，并能對攻擊進行阻斷。檢測過程不依賴特征簽名、網絡流量、系統日志等靜態特征，有效降低了因混淆、變種導致繞過的概率。

同時，立足郵件安全綜合防護需要，安芯網盾配合公安一所開發了郵件安全聯防預警系統M01。通過在本地部署郵件網關和威脅樣本異常行為分析系統，依托“云端”威脅情報共享平臺、威脅行為分析系統和專家運營服務團隊，有效解決實戰攻防對抗過程中人員安全意識參差不齊、難以全面應對郵件釣魚及惡意程序攻擊、預警不及時等痛點問題，大力提升了應對社會工程學攻擊的防護水平。