无文件恶意软件是一种新型的攻击，还是媒体现在将他们更多地提请我们注意，以促进相关“新”解决方案的销售？

Question

我觉得有那么多关于无文件恶意软件的文章，所以我试着去理解这是一种新型的攻击，还是那些文章只是在推广新的网络解决方案？

Answer 1

无文件恶意软件已经存在多年了。这不是什么新鲜事。任何在内存中运行的恶意软件都被认为是“无文件的”。

普通媒体也有一种误解，认为从书记官处运行的恶意软件是无文件的。因为注册表是写到注册表单元内的磁盘上的，所以它并不是真正无文件的。使用WMI的恶意软件也是如此。

真正的无文件恶意软件是简单地生活在一个进程中，在被劫持进程的记忆中的恶意软件(因为如果它是从自己的映像中启动的，那么它就不会是无文件的，因为它在磁盘上会有一个跟踪)。您可以将其看作是一个执行进程注入的恶意软件，然后从磁盘中删除自身，只在驻留它的进程中保持活动状态。例如，通过PowerShell执行恶意脚本可以被视为无文件。

至于检测，安全产品也有一段时间能够检测到无文件的恶意软件。根据媒体对这个概念的描述，Powerliks、GootKit和Kovter是无文件恶意软件的例子。

Answer 2

无文件恶意软件并不新鲜。然而，新的端点监控解决方案的出现，如人群罢工、炭黑、enSilo等，使基于文件的恶意软件的使用比过去更加困难。因此，攻击者正在强调无文件恶意软件，因此您可以看到更多关于它的文章。(而新的解决方案又试图检测无文件恶意软件。)

是那些文章只是在推广新的网络解决方案？

不，在无文件恶意软件驱动对话中肯定有更多的强调，尽管这不是一个“新”的东西。