惡意軟件和殺毒軟件的未來將是一個有趣的戰場。惡意軟件不斷演變，迫使防病毒開發者保持速度。但是自動化機器學習反黑客系統的未來願景比你想象的要近得多。

事實上，未來就在這裡。

它也來得正是時候。一系列新的無文件惡意軟件正在感染全球的**機構、企業和銀行。無文件惡意軟件本質上是隱形的。它曾經是民族國家威脅行為體的唯一職責，現在正進入主流。

這個惡意軟件足夠先進，像你我這樣的普通用戶不必擔心。至少目前是這樣。儘管如此，未來幾年的安全需要有一個清晰的圖景。

機器學習防病毒

英國網絡安全公司Darktrace的Antigena是一款機器學習反黑客系統自動化工具。用外行的話來說，防病毒軟件在接觸到新數據時會學習。在這種情況下，Antigena被用來在公司系統中尋找奇怪的行為模式。有些攻擊比其他攻擊更容易發現。

在英國投票離開歐盟後，一家公司發現了罕見的行為。一名僱員對僱主的脫歐（英國和退出）策略不滿，試圖洩露機密文件。安提吉納追蹤威脅，但也自動反應。

機器學習系統代表了Darktrace的又一個進步。儘管有些攻擊比其他攻擊更容易阻止，但系統真正學會了。例如，勒索軟件攻擊“看起來像**爆炸”，而內部攻擊則要微妙得多。

主要的區別是響應時間。Antigena在感染的早期階段注意到攻擊，防止勒索軟件攻擊加密文件。”我們開始打斷這些類型的攻擊，”DarkTrace的技術總監Dave Palmer解釋道。當一個人，甚至是一個傳統的端點安全套件做出響應時，已經太遲了。

行為網絡防禦

機器學習防病毒解決方案並非沒有被注意到。家庭用戶的防病毒產品現在定期使用啟發式掃描。啟發式方法不是掃描特定的文件簽名，而是分析可疑的特徵和行為模式。啟發式分析的主要目的是在攻擊開始前阻止它，與Antigena相當。

像Antigena這樣的高級機器學習解決方案在很長一段時間內不太可能在家用電腦上使用。它實在太複雜太強大了。數學原理和先進的環境掃描已經開始滲透，迫使家用殺毒軟件供應商重新考慮他們的發展戰略。

這是推動進步，自動化，安全設計。

什麼是無文件惡意軟件(fileless malware)？

還有什麼在推動漸進式防病毒設計？

無網格惡意軟件是一種相對較新但非常常規的攻擊向量。無文件惡意軟件感染只存在於系統RAM或內核中，而不是依賴於直接安裝到系統硬盤上。無文件惡意軟件利用一系列滲透策略滲透系統，同時保持完全未被發現。下面是一個攻擊工作原理的示例：

• 用戶通過垃圾郵件強制使用瀏覽器訪問網站。
• 閃存已加載。
• Flash調用並使用PowerShell**基於內存的命令。
• PowerShell以靜默方式連接到命令和控制（C2）服務器以下載惡意PowerShell腳本。
• 腳本會發現敏感數據並將其返回給攻擊者。

整個過程中沒有下載任何文件。展出的隱身水平令人印象深刻。可怕，但令人印象深刻。

無文件攻擊不會留下任何痕跡，除非攻擊者粗心大意——請閱讀下一節——或者希望您找到文件，就像電話卡一樣。

此外，無文件惡意軟件為攻擊者提供了寶貴的資源：時間。隨著時間的推移，攻擊者會針對高價值目標部署複雜的多層攻擊。

俄羅斯atm詐騙

你有沒有夢見自己路過的時候從自動取款機裡往外倒錢？好吧，一隊俄羅斯黑客就這麼做了，從至少8臺自動取款機中解放了80萬美元。看起來非常簡單。

一個男人走向自動取款機。自動取款機吐出一沓現金。那人走開了，想必他對新發現的財富很滿意。強迫自動取款機按需取現並不是什麼新把戲。然而，幾乎無紙化的追蹤方法被使用。

卡巴斯基實驗室報告說，攻擊者留下了一個單一的日誌文件，給研究人員一個重要的線索，在他們的調查。

"Based on the contents of the log file they were able to create a YARA rule -- YARA is a malware research tool; basically, they made a search request for public malware repositories. They used it to try to find the original malware sample, and after a day the search yielded some results: a DLL called tv.dll, which by that time had been spotted in the wild twice, once in Russia and once in Kazakhstan. That was enough to begin untangling the knot."

攻擊者在銀行保安室安裝了後門。然後，他們在銀行基礎設施內的ATM機上安裝了惡意軟件。惡意軟件看起來像是合法的更新，無法觸發任何警告。攻擊者運行一個遠程命令，首先詢問機器中有多少現金，然後觸發分發。

錢是自動分配的。黑客走開了。與此同時，惡意軟件開始清理操作，刪除任何可執行文件，並清除對ATM所做的任何更改。

防範無文件惡意軟件

當無文件惡意軟件首次出現時，它使目標系統運行非常緩慢。早期的例子編碼效率很低。因此，它們更容易被發現，因為目標系統會逐漸停止。當然，這並沒有持續太久，一個無文件惡意軟件感染是難以置信的困難。然而，這並非不可能。

1. 更新。隨時更新一切。安全更新至關重要。發現並修補漏洞。根據US-CERT，通過定期修補，“85%的目標攻擊是可以預防的”。
2. 教育。無文件惡意軟件將通過受感染的網站或網絡釣魚電子郵件到達。溫習如何發現垃圾郵件噪音中的釣魚電子郵件。
3. 殺毒軟件。殺毒軟件消亡的傳言被大大誇大了。最新的防病毒軟件可能會阻止與命令和控制服務器的通信，從而阻止下載其腳本負載的無文件惡意軟件感染。

最大的收穫就是不斷更新你的系統。當然，存在零日漏洞。但儘管他們登上了頭條新聞，但他們仍然是個例外——不是規則。

奔向未來

企業防病毒解決方案已經在考慮惡意軟件的未來前景。所取得的進步將滲透到保護你和我的消費品中。不幸的是，這個過程有時很慢，但一個重要的轉變是基於行為的殺毒正在進行中。

同樣，無文件惡意軟件正在進入主流，但仍然是黑客手冊中的一個專門“工具”。由於這樣的無文件惡意軟件只被用來對付高價值的目標，但放心，惡意黑客將確保它在我們的計算機上結束。

惡意軟件不斷髮展。你認為我們的防病毒產品足以保護我們嗎？還是應該由用戶教育來承擔責任？下面讓我們知道你的想法！

圖片來源：ktsdesign/Shutterstock