安芯网盾的内存保护产品应对无文件攻击效果怎样？原理是什么？

无文件攻击和0day漏洞一样，属于“高级威胁”的一种。而所谓的“无文件”，顾名思义就是不在目标主机的磁盘上写入任何恶意文件。根据微软的无文件攻击模型，可按磁盘文件的活动将其分为以下三种类型的攻击：

一、需要操作文件进行活动。比较容易能理解的意思是恶意代码变成了数据，利用文件相关的程序漏洞或功能特性将恶意数据转换为恶意代码执行

二、没有磁盘落地文件，但通过文件间接活动，恶意代码一般通过白文件间接加载到内存中执行。这类攻击恶意代码的载体大多数都是脚本，通过程序命令执行，也有通过磁盘引导记录等特定机制的执行。

三、没有任何的文件活动。简单说就是攻击活动没有任何的磁盘文件落地和磁盘文件的操作行为，一般这种攻击的实施都脱离了操作系统，是由更上层的硬件固件和软件层发起的。

通常情况下，反病毒引擎的检测是需要检测文件写入异常情况的，因此无文件攻击具有很强的隐蔽性和潜伏性，它也成为高级攻击者常用到的一种攻击技术手段。

虽然业内安全专家们一直有在解析、分享和研究无文件攻击模型，但却一直没有提出可落地的针对性安全方案。而安芯网盾是国内至今为止唯一一家提出内存安全保护技术以及推出成熟可落地安全产品的厂商，填补了业界在此类安全产品方面的空白。

安芯网盾的内存保护技术由内存访问行为监控、程序行为监控、智能行为分析引擎、系统安全增强和安全响应等模块构成，可阻止异常内存访问和恶意代码执行等攻击行为，为计算机系统构建一个完整的内存安全环境。

从技术角度来看，这条技术路线，比从代码的角度看安全还要更加底层。其核心原理是从计算机体系结构出发，因为任何需要CPU执行的代码、处理的数据都需要经过内存进行存储，所以需要基于实时的程序行为监控、内存操作监控等技术实现在应用程序级别保护内存。

通过安芯网盾的内存保护技术，可将安全防护能力从应用层、系统层拓展到硬件虚拟化层，做到在脚本解释器内部监视脚本行为动作，不惧各类脚本层面的绕过技术，还可有效避开脚本解释器自身行为“噪音”干扰，检测更精准，因此针对无文件攻击也有较好的防御能力。

网络中面临着各类常见的攻击，例如服务器的破坏、敏感数据窃取、服务干预甚至直接的网络设备破坏导致服务异常或中断。诸如此类的事件一直在上演，从未停歇。应对如此现状，势必要做好网络安全防御，以检测各种类型的网络攻击，并采取适当的措施保护内网免受恶意攻击，从而保证内网和系统的正常运行。

而且，随着《网络安全法》和《等级保护制度条例2.0》的颁布实施，对网络安全提出了更高的要求。实战攻防的必要性也就愈发凸显，“以战验防，以攻促防”，从而提升安全防御能力。自实战攻防施行以来，越来越多的企事业单位参与其中，且越来越常态化。一切源于攻防的江湖风起云涌，暗流涌动。攻守双方不断更新各自的技法，以求一胜！

对于攻击方而言，通常会通过暴露的攻击面进行信息搜集、利用漏洞探测、资产扫描等手段收集到各种问题进行汇总分析，发现可利用漏洞，然后采用APT等攻击手段对被攻击目标进行渗透，以期望获得目标系统的访问权限。整个流程的完成，比较符合于Cyber-Kill-Chain（网络杀伤链）。

图1 网络杀伤链

1、侦察跟踪

攻击者进行探测、识别及锁定攻击对象（目标）的阶段。信息一般通过互联网进行收集（内容包括网站、邮箱、电话、社会工程学等一切可能相关的情报）

2、武器构建

攻击者对锁定目标针对性的准备网络武器。一般由攻击者直接构建或使用自动化工具构建等。

3、载荷投递

攻击者将构建完成的网络武器向目标投递的阶段。投递方式一般包括钓鱼邮件、物理USB投递等。

4、漏洞利用

攻击者在网络武器投递成功后，启动恶意代码的阶段。一般会利用应用程序或操作系统的漏洞或缺陷等。

5、安装植入

攻击者在目标系统植入木马、后门等，并进行持续性的观察和后续攻击活动。

6、命令与控制

攻击者建立目标系统攻击路径的阶段。一般使用自动和手工相结合的方式进行，一旦攻击路径确立后，则盗取用户登录信息，再进行横向移动，并进一步控制目标系统。

7、目标达成

攻击者达到预期目标的阶段。攻击目标呈现多样化，可能包括侦察、敏感信息收集、数据破坏、系统摧毁等。

而在近年的攻防演练中，攻击者也往往利用通用性系统如OA、CMS、ERP等设备的0day漏洞进行漏洞利用发起攻击；或者利用内存WebShell、PowerShell攻击等方式获取目标系统访问权限，从而进行恶意攻击。还有将攻击重心放在DC上，通常向一个或多个用户发送鱼叉式网络钓鱼电子邮件，使攻击者能够在目标网络内的计算机上运行恶意代码。一旦攻击者在企业内部运行了恶意代码，便可以执行侦察以发现有用的资源，以提升权限保留目标主机的访问权限，从而发起恶意攻击。此外，还有社工等诸多攻击方式，都是为了突破安全防线，达成攻击目的。除此之外还有ATT&CK攻击模型的利用，后面再为大家展开！

对于防守方来讲，应对攻防演练一般需要做好四个方面的工作：备战阶段、临战阶段、决战阶段、战后总结。

1、备战阶段：对自身资产进行梳理、针对性风险评估、自查自纠、开展安全培训、建立安全防护体系。

2、临战阶段：开展资产巡查、渗透测试、制定应急预案、开展实战应急演练、依据内外网检测结果进行系统加固及应急优化。

3、决战阶段：7*24小时现场值守，实时监控安全态势，并对安全事件进行应急响应确保整个重大活动期间的安全保障，包含依据安全审计防护设备告警信息进行实时监控与上报、实时监测重点系统的风险及安全隐患第一时间进行应急处置、现场依据策略调整进行处理突发事件、针对产生的安全事件进行应急溯源分析等。

4、战后总结：对攻防演练工作成果及不足进行讨论总结，并根据经验持续改进优化网络安全整体建设。

在攻防演练中，防守方也会做好安全的排查，做好安全边界的防御与内网的隔离，树立安全防线，像WAF、HIPS、态势感知等类型的产品都会被选择使用；也包括像蜜罐等工具，对攻击方进行诱捕和反制；此外还可以选择内存保护系统，以解决像无文件攻击、0day漏洞等传统安全手段难以检测与防护的高级威胁。在2021年的攻防演练中，安芯网盾的内存保护系统为客户守护了10万+台服务器，对内存马、无文件攻击、远程溢出漏洞攻击等防护千余次。

攻防演练的兴起是时代的需求，也是行业的必然。从攻与守的角度来讲，包含的内容细节也是众多。在接下来的系列内容中也会从此视角角度为大家慢慢简述攻与防。攻守有道，慢慢道来！

安芯网盾（北京）科技有限公司（简称安芯网盾）是专注于内存安全的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾帮助企业构建基于硬件虚拟化技术的内存安全环境，防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁，切实有效保障用户的核心业务不被阻断、核心数据不被窃取，已为百度、海关、金山、Google、G42等众多国际知名企事业单位持续提供服务。

---