非惡意軟件不是說攻擊時真的不需要使用任何文件。而是攻擊者使用被攻擊主機中信任的系統(tǒng)程序或授權(quán)的協(xié)議來進行的一種惡意攻擊。這種攻擊無需運行任何惡意文件，就能達到攻擊的目的。例如，攻擊者定向發(fā)送釣魚郵件，當你打開郵件時，會調(diào)用系統(tǒng)可信程序，如PowerShell，執(zhí)行寫好的攻擊代碼，達到攻擊目的。攻擊的代碼只駐留在內(nèi)存中，無落地文件，因此殺毒軟件不會有任何響應(yīng)。杰思安全在實踐中，便遇過許多類似的案例。例如，某省氣象局，便遇到一個利用PowerShell進行挖礦的惡意事件，攻擊者只創(chuàng)建了一個計劃任務(wù)，調(diào)用PowerShell定期執(zhí)行挖礦命令，導致業(yè)務(wù)系統(tǒng)卡頓，而這一切攻擊者沒留下任何可疑文件。

　　由于非惡意軟件攻擊的強大破壞力和隱蔽性，被越來越多的黑客使用。在2018年全球網(wǎng)絡(luò)攻擊中，有超過40%的攻擊者便采用了這種方式。據(jù)Malwarebytes發(fā)布的報告稱，非惡意軟件攻擊正在迅速飆升，平均每3個感染中就有1個是非惡意軟件攻擊造成的。

　　面對如此神出鬼沒的攻擊，我們應(yīng)采取哪些措施？當傳統(tǒng)防御手段失效時，還能利用什么方式來保護企業(yè)？如何盡快發(fā)現(xiàn)非惡意軟件攻擊的蹤跡？基于大量的成功實踐經(jīng)驗，杰思認為快速檢測及響應(yīng)（EDR），是一個有效并可靠的辦法，能彌補傳統(tǒng)安全軟件的不足。用戶可以從評估、監(jiān)測、響應(yīng)幾個方面入手。

　　有些安全威脅能在用戶網(wǎng)絡(luò)中隱匿數(shù)月甚至數(shù)年。再隱匿的威脅，總會留下蛛絲馬跡，因而需要檢查和追蹤當前與歷史事件進行綜合安全關(guān)聯(lián)分析。從時間軸維度，對事件發(fā)生期間主機內(nèi)各項變化進行匯總關(guān)聯(lián)分析，還原事件全貌，找出隱匿威脅。用戶必須使用能夠識別歷史攻擊跡象的工具，如可疑的文件、網(wǎng)絡(luò)訪問、注冊表項、用戶登錄、異常命令等。

　　賬戶監(jiān)視和管理可以通過提高工作環(huán)境的可見性，以檢測和防止未經(jīng)授權(quán)的訪問活動。防止由此導致的數(shù)據(jù)丟失，允許權(quán)限用戶控制數(shù)據(jù)訪問權(quán)，讓用戶實時了解訪問權(quán)限是否被不當授予。資產(chǎn)清點顯示網(wǎng)絡(luò)上正在運行的計算機，允許用戶有效部署安全體系結(jié)構(gòu)，以確保沒有惡意系統(tǒng)在內(nèi)網(wǎng)環(huán)境運行。幫助安全和IT運營商區(qū)分環(huán)境中的托管資產(chǎn)、非托管資產(chǎn)和不可管理資產(chǎn)，并采取適當措施提高整體安全性。

　　聰明的攻擊者會利用PowerShell、svchost等系統(tǒng)自身進程，執(zhí)行命令行達到挖礦、操控主機等目的，此類攻擊沒有落地的惡意程序，采用傳統(tǒng)的文件檢測甚至行為檢測的方式無法捕獲任何攻擊信息�？刹捎糜涗泈indows系統(tǒng)中如cmd、PowerShell等進程執(zhí)行的命令操作，并根據(jù)異常命令規(guī)則庫判斷其是否為有威脅的異常命令，并進行阻斷實現(xiàn)防御。