1         一张图片让你的电脑被非法远程控制

很多用户认为计算机病毒都是可执行类型的文件，但其实一张看似安全的图片就可能导致你的计算机被黑客远程控制，敏感数据被窃取。

在安天CERT之前披露的一起攻击活动中，攻击者正是利用将Shellcode隐写到图片中，诱导用户下载并浏览。当用户查看该图片时会运行文件中的恶意代码，运行后从该黑产团伙控制的服务器中获取加密压缩包或者加密文件，利用指定的解压密码或自定义的解密方法进行解密，从而加载最终的远控木马。攻击流程如下图：

攻击过程中恶意程序实体并没有落到本地磁盘，而是在内存中完成释放、加载和恶意行为的执行，这一手段就是现在攻击者常用的“无文件攻击”技术，也正是因为使用了无文件攻击技术使得在该攻击活动中让一些防病毒软件未能对恶意代码进行查杀。

2         无文件攻击技术解析

所谓无文件攻击是指不向磁盘写入可执行病毒程序，而是利用合法程序或者系统漏洞将恶意程序加载至内存运行来攻击计算机。无文件攻击常见的利用手法包括：

1.      调用Powershell、WMI、PsExec等系统自有工具远程下载执行恶意命令；

2.      利用office文档的宏功能下载并执行恶意代码；、

3.      利用系统的计划任务或注册表，创建自启动项，调用系统可信程序执行恶意脚本；

4.      利用缓冲区溢出漏洞，将恶意代码注入到目标进程的内存中执行。

目前较为流行的一种攻击方式是“钓鱼邮件+无文件攻击”，通过向目标发送钓鱼邮件，诱导用户运行混淆文件、图片或者文档，用户运行后文件后从C2服务器下载恶意文件并在内存中执行，整个过程用户可能毫无感知。

3        无文件攻击让常规防病毒手段难以生效

https://www.bilibili.com/video/BV1yc411P7iS/

（视频）

常规防病毒手段主要是对磁盘中文件实体进行病毒扫描或者行为监控，但是在无文件攻击恶意代码直接在内存中运行，并不会在本次磁盘落盘，这就导致很多防病毒产品无法防御无文件攻击。

面对无文件攻击，安天智甲终端防御系统（以下简称“智甲”）基于内核级防御模块，建立了针对内存的主动防御与检测手段。无论恶意文件实体是否在本地落盘，但只要执行就会在内存中进行解密、内存改写、加载恶意代码等行为，智甲内存检测功能会实时感知内存的改写，以及对应模块的映射，从而能够准确定位出恶意代码的出处，并通过栈回溯、堆检测等机制快速准确识别恶意攻击行为，配合着内存检测引擎可以快速识别加密或解密后的内存特征码，实现快速感知恶意行为，有效防御无文件攻击。

       智甲产品家族系列产品是基于UES（统一端点安全）理念研发，将病毒查杀、主动防御、安全加固、可信环境验证、分布式防火墙/HIPDS、介质管控、WEB SERVER防护等能力，进行模块积木化组合，覆盖包括桌面办公机、工作站、服务器、虚拟化、容器和移动智能设备等场景的安全需求，为 Windows、Linux、Android 以及欧拉、麒麟、统信等国产操作系统提供内核层防御以实现有效防护的安全目标。