转载

不依赖于恶意软件的攻击活动正在增长，勒索软件将是大方向

根据CarbonBlack的最新研究报告，各位安全研究专家可要注意了，因为现在越来越多的攻击者在进行恶意活动时并不需要依赖恶意软件了。

根据该公司发表的这篇标题为《2016年非恶意软件攻击和勒索软件正在兴起》的报告，在今年的1月份，大约有3%的网络攻击利用的是目标系统中的应用程序漏洞以及合法进程。但是到11月份时，这种攻击方法的占比数量上升到了13%。报告中指出：“不依赖于恶意软件的黑客攻击活动目前已经到达了一种前所未有的高水平阶段，所以在2017年，安全研究专家们应该更加注意这种类型的恶意攻击活动。”

这项调查中的数据来源于一千多位CarbonBlack的客户，其研究结果至少涵盖了250万终端设备的安全状态。为了更好地衡量所谓的“非恶意软件攻击”（不依赖于恶意软件的攻击活动），调查人员将PowerShell和Windows Management Instrumentation（WMI）的恶意使用归纳进了“非恶意软件攻击”的范畴内。

报告中写到：

“通常情况下，攻击者在进行“非恶意软件攻击”的时候是不需要在目标主机中下载恶意文件的。即便如此，他们仍然能够在目标用户的计算机中进行各种恶意活动，例如窃取数据、盗窃用户凭证、或者监视目标主机所处的整个网络环境。”

不依赖于恶意软件的攻击活动正在增长，勒索软件将是大方向

恶意软件PowerWare就是一个很好的例子，它可以使用目标主机中的PowerShell来下载并运行勒索软件。在PowerShell的帮助下，攻击者可以更好地隐藏自己的活动踪迹，因为PowerShell是一个合法的Windows工具，而这款工具的使用并不会引起反病毒产品的注意。同样的，有些攻击者还会利用Windows Management Instrumentation（WMI）来进行攻击，因为它也是Windows系统中的一个合法工具。

为了更好地研究这种类型的攻击活动，CarbonBlack还对它们进行了归类，并且对那些严重程度较高的“非恶意软件攻击”事件进行了单独地分析。报告表示，相较于2016年的第一季度，此类攻击活动的活跃度在2016年第四季度上升了33%。在接下来的90天内，大约有三分之一的组织将会遭受这种类型的恶意攻击。

报告中所定义的“严重攻击”指的是那些使用了可疑OS命令以及能够直接向PowerShell发送可执行代码的攻击活动。在这些攻击活动中还涉及到了其他的一些恶意攻击技术，例如动态执行shellcode，读取其他进程的内存数据，或者向其他正在运行的进程中注入恶意内容等等。