一、前言

究竟什么是“無文件惡意軟件(fileless malware)”?談到這個名詞時，許多安全行業的專業人員都心有余悸，許多文章和產品手冊在介紹無文件惡意軟件時，總會順帶提到我們難以防御和分析這類威脅。我在這篇文章中會試著拋開這些陳詞濫調，追溯無文件惡意軟件的最初起源，并以此類惡意軟件的幾個樣本為例，勾勒出這個名詞的演變輪廓。

二、這是一個熱門話題

人們在工業事件、私人會議以及在線討論中經常會提到無文件惡意軟件這個話題。原因可能在于這類威脅放大了傳統端點安全技術的缺點，又給了新型安全技術展現實力的機會。

事實的確如此，Google趨勢給出的資料表明，人們在2012年到2014年之間對這個名詞鮮有問津，自2015年后人們對它的興趣逐步提升，并在2017年到達了一個峰值。

這種趨勢與近年來公眾對具備“無文件”能力的惡意軟件的討論不無關系，特別是在2017年，有大量關于這個話題的研究成果和出版物噴涌而出。

三、什么是無文件惡意軟件

首先我們得明確一點，那就是“無文件惡意軟件有時候還是會使用文件”。現如今，大多數人們在使用無文件惡意軟件這個名詞時，似乎約定俗成地使用了以下這個定義：

“無文件惡意軟件是一種不需要在文件系統中存放惡意可執行文件的軟件”。

這個定義對于利用惡意腳本或者文件系統中良性可執行文件進行傳播的惡意軟件來說是適用的。對于隱藏在注冊表中惡意軟件來說，這個定義也是正確的，雖然這種情況下注冊表本身還是存儲在Windows文件系統中。這個定義不需要考慮惡意文件的傳播途徑，不論是通過漏洞利用、社會工程學技巧還是濫用某些正常功能來進行傳播，這個定義都是適用的。

雖然無文件惡意軟件最初指的是那些不使用本地持久化技術、完全駐留在內存中的惡意代碼，但這個術語的范圍在逐漸擴大，現在也將那些依賴文件系統的某些功能以實現惡意代碼激活和駐留的惡意軟件包括在內。讓我們一起回顧一下對這個術語的演變過程造成影響的那些惡意程序。

四、2001-2003： Code Red以及SQL Slammer

完全駐留在內存中的惡意代碼肯定在21世紀前就已經存在。然而，直到2001年，Code Red蠕蟲在互聯網上肆意傳播，才將“無文件惡意軟件”這個名詞帶給普羅大眾。我所能找到的最早與此有關的公開資料發布于2001年的夏天，當時卡巴斯基實驗室發表了一份公告，其中提到：

“我們預測，在不久的將來，像Code Red之類的‘無文件’蠕蟲將泛濫成災，無法處理這類威脅的反病毒軟件只能給大眾帶來安全風險”。

Code Red蠕蟲使用了微軟IIS web服務器中的一個漏洞進行傳播，能夠完全駐留在受害主機的內存中，詳細的分析可以參考CAIDA的這篇文章。

一年半以后，另一個蠕蟲(SQL Slammer)就像燎原野火一般傳播。SQL Slammer利用的是微軟SQL服務器中的一個漏洞。Robert Vamosi在2003年為ZDNet撰寫的一篇文章中，將這個蠕蟲歸類為“無文件”類別惡意軟件，指出它“與Code Red類似，僅駐留在內存中”。

我也在Peter Szor(彼時正在賽門鐵克工作的一名資深前輩)于2003年提交的一份專利申請中找到了一些資料。專利名為“簽名提取系統及方法”，其中給出了無文件惡意軟件的定義，如下所示：

“無文件惡意軟件指的是不依賴文件、僅存在于內存中的惡意代碼……更具體地說，無文件惡意代碼……可以將自身附加到活動進程的內存空間中……”。

無文件惡意軟件的原始定義與這個名詞字面上的意思非常接近，指的是能夠在沒有殘留文件的前提下保持活躍的那些惡意軟件。

五、2012：安裝Lurk木馬的僵尸程序

我能找到與無文件惡意軟件有關的另一份資料，是在Code Red和SQL Slammer蠕蟲誕生的近十年之后。2012年，卡巴斯基實驗室的Sergey Golovanov發表了一份分析報告，介紹了某個沒有文件落盤行為的僵尸程序(bot)，其中提到：

“我們面對的是一個非常罕見的惡意軟件，這種無文件程序不存在于硬盤文件中，僅在受感染計算機的內存中活動”。

這個僵尸程序利用了Java客戶端的某個漏洞，僅在受感染的javaw.exe進程的內存空間中活動。Sergey提到這個僵尸程序具備安裝Lurk銀行木馬的功能。

在2012年的早些時候，SecurityXploded的Amit Malik發表了一篇技術短文，介紹了從互聯網下載Windows程序后，如何在不保存到本地硬盤的前提下，實現Windows程序的“內存化或無文件執行”。

六、2014：Powerliks、Angler以及Phase僵尸程序

前面提到的程序完全駐留在內存中，不會在文件系統中留下任何明顯的蛛絲馬跡。因為這種特性，它們在系統重啟后就消失得無影無蹤。相比之下，2014年出現的Poweliks惡意軟件是一種“無需文件的可持久化惡意軟件”(G Data的原話)。這個惡意軟件利用了微軟Word的某個漏洞來進入系統，使用帶有shellcode的PowerShell以及JavaScript腳本實現內存中的執行功能。賽門鐵克的Kevin Gossett對它的本地持久化技術進行了分析，其中提到：

“通常情況下，惡意軟件會在注冊表的Run鍵值中添加一個子項，指向某個惡意可執行文件以完成本地持久化。Poweliks將Run鍵值的子鍵指向rundll32.exe，利用這個合法的微軟程序加載DLL文件，并向其傳遞幾個參數。傳遞的參數中包括JavaScript代碼，最終實現將Poweliks加載到內存中并執行的目的”。

一個月之后，安全研究員Kafeine發表一篇關于Angler漏洞利用工具的分析文章。惡意軟件的攻擊目標是存在漏洞的Java客戶端，僅在受感染的javaw.exe進程的內存空間中活動。2016年，Palo Alto的安全研究員Brad Duncan在一篇分析報告中提到，Angler開始出現安裝Bedep下載器的行為，且在安裝時不涉及到任何文件創建，因為Angler將下載器直接加載到內存中運行。

2014年年末，安全研究員MalwareTech發表了一篇分析報告，研究了一款名為“Phase僵尸程序”的無文件rootkit。根據該報告內容，這款惡意軟件可以“在不釋放任何文件到本地磁盤、不創建自身進程的前提下安裝到系統中。……Phase將可重新定位的惡意代碼加密保存在注冊表中，通過PowerShell讀取并在內存中執行這段與具體位置無關的代碼”。與Powerliks類似，這個惡意軟件通過注冊表的autorun鍵值，調用rundll32.exe執行JavaScript實現本地持久化。

七、2014-2015：Duqu 2.0以及Kovter

在2015年年中，卡巴斯基實驗室發表了一份報告，詳細介紹了某個高級組織在2014-2015年期間使用一款名為Duqu 2.0的復雜惡意軟件平臺開展攻擊活動。他們在攻擊活動使用了某個Windows漏洞來安裝惡意軟件，惡意軟件完全隱藏在受感染主機的內存中。惡意軟件沒有實現本地持久化機制，相反，攻擊者的目標是長時間上線的服務器，他們只需要在服務器重啟后重新感染系統即可。

名為Kovter的另一個無文件惡意軟件也在2015年引起了人們的關注。Kovter的感染方式與Powerliks十分相似。它最初由某個惡意可執行文件加載運行，將經過混淆或加密處理的程序保存在注冊表后，惡意軟件就將原始的加載程序從磁盤中刪除。至少有一個Kovter變種通過創建快捷方式執行JavaScript以實現本地持久化。正如Airbus的Andrew Dove所述，這個JavaScript腳本會啟動一個能夠執行shellcode的PowerShell腳本，所執行的shellcode會將惡意代碼注入到一個非惡意的應用程序中，并執行這個應用程序。

八、2016：PowerSniff、PowerWare以及August

在2016年年中，Palo Alto Networks的Josh Grunzweig和Brandon Levene在一篇文章中介紹了PowerSniff這個惡意軟件。惡意軟件的感染路徑從包含惡意宏的微軟Word文檔開始。PowerSniff的內存駐留技巧在某些方面與Kovter類似，使用了PowerShell腳本來執行shellcode，僅在內存中執行的shellcode可以解碼并執行附加的惡意載荷。PowerSniff具備將惡意DLL臨時保存到文件系統中的能力。

幾周之后，Carbon Black的Mike Sconzo和Rico Valdez在一篇文章中介紹了PowerWare這個惡意軟件。與PowerSniff類似，PowerWare依然使用包含惡意宏的微軟Office文檔開始攻擊活動，文檔中的惡意宏最終會啟動一個PowerShell腳本，不需要在文件系統中存放惡意可執行文件即可完成攻擊流程。

在當年晚些時候，Proofpoint在另一篇文章中介紹了August這個惡意軟件，該樣本同樣使用微軟Word宏以及PowerShell來完成攻擊過程。根據這篇文章，August會“從遠程站點下載部分載荷，作為PowerShell的字節數組”，載荷的執行完全在內存中完成，不需要保存到文件系統中。

九、2017：POSHSPY等

在2017年初，卡巴斯基實驗室在一篇文章中介紹了某款惡意工具，其惡意代碼以Meterpreter為基礎，完全在內存中活動。在文件系統方面，攻擊者僅使用了合法的Windows實用工具，如sc(用來安裝運行PowerShell的惡意服務)以及netsh(使用隧道方式來承載惡意網絡流量)。

幾個月之后，Mandiant的Matthew Dunwoody在一篇分析復雜攻擊活動的文章中也提到了無文件惡意代碼。名為POSHSPY的惡意軟件使用了系統提供的WMI(Windows Management Instrumentation)功能來實現本地持久化機制，同時使用PowerShell來執行攻擊載荷。POSHSPY能夠下載可執行文件，并將該文件保存到文件系統中。Matthew總結到：

“攻擊者通過這種‘離地(living off the land)’攻擊技術，實現了一個非常獨立的后門，可以與之前更為傳統和更為復雜的后門族群一起部署，以便在傳統后門失效后還保留目標的控制權”。

這次攻擊事件突出反映了入侵者的強大實力，即使他們只能夠依賴系統內置的正常程序，他們也能在被感染系統上執行惡意載荷。

十、“無文件惡意軟件”的其他說法

2012年，Sergey Golovanov在一篇文章中，最開始使用的是“無文件惡意軟件”這個名詞。非常有趣的是，現在這篇文章中，使用的是“無實體惡意軟件”(bodiless malware)這個名詞。卡巴斯基實驗室在2016年之前使用的都是“無實體惡意軟件”，但在2017年之后，他們在文章中又回到了“無文件惡意軟件”這個說法。

此外，還有其他說法沒有流行起來。2013年，“高級易變性威脅”(Advanced Volatile Thread，AVT)這個說法短暫浮出水面。根據維基百科的解釋，該名詞由Triumfant公司的John Prisco提出。“AVT”存在的時間并不長，2013年，Byron Acohido在《今日美國》的一篇文章中，使用這個名詞來指代存在后門的某個Apache軟件。根據Piere-Marc Bureau(彼時是ESET的一員)的說法，這個后門“除了對web服務器文件進行修改之外，沒有在硬盤上留下其他任何痕跡”。

相比之下，Carbon Black在2016年的一份威脅報告中，使用了與無文件惡意軟件更為貼切的另一種說法。這篇報告中使用的是“無惡意軟件攻擊”這個名詞。幾個月之后，Michael Viscuso在公司的一篇博文中，對這個名詞做出了解釋，原話如下：

“無惡意軟件攻擊，指的是攻擊者使用現有軟件、被許可的應用程序以及已授權的協議來開展惡意活動。無惡意軟件攻擊無需下載任何惡意文件，即可獲取計算機的控制權。無惡意軟件攻擊這個概念也可以代表無文件、內存化或‘離地’攻擊”。

Gartner在2017年的一份報告中，與Carbon Black一樣，使用了“無惡意軟件攻擊”這個名詞。不過，一個月后，Gartner在的另一篇文章中，改用了“無文件攻擊”這個名詞。

十一、為什么寫這篇文章

我認為對于不同的場合，我們可以使用不同的說法。比如，對于僅僅依賴合法的系統管理工具以及其他非惡意軟件的攻擊事件，我更傾向于使用“無惡意軟件攻擊”這個說法，這種場景也就是人們常說的“離地”攻擊場景。另外，如果惡意代碼從來沒有保存到本地硬盤中(比如惡意代碼被注入到其他進程的內存空間中)，我更傾向于使用“完全內存化惡意軟件(memory-only malware)”這個說法。如果惡意軟件不需要在文件系統中保存傳統意義上的可執行文件來實現本地持久化，此時我認為使用“無文件惡意軟件”也是可以的。

不幸的是，現在這些說法已經雜糅在一起。盡管“無文件惡意軟件”代表各種含義，我們還是會堅持使用這個說法來描述前面提到的各種場景。只能感慨人類的語言不僅含義不清，而且總是在變，如果大家說的都是“C#”語言，說不定這個世界會變得更加美好 :-)

我之所以會關心這個術語，原因在于我在Minerva的工作是負責介紹某款反惡意軟件產品的功能，我需要避免使用那些陳詞濫調和毫無意義的短語。這款產品可以與其他端點安全工具配合使用，防御各種惡意軟件，無論它們的攻擊載荷是否需要保存到磁盤中。客戶經常向我咨詢我們對無文件惡意軟件的處理方式，因此我決定寫一篇綜合調研文章，以便更好把握這個名詞使用的方式和時機。