警惕，濫用PowerShell 的無文件病毒再興起······

一直以來，無文件病毒都因為「來無影去無蹤」而讓人膽寒，但實際上他們也需要「搭檔」的幫助來完成潛入用戶系統的重任，其中PowerShell惡意腳本堪稱黃金搭檔。最近，這對「黃金搭檔」又捲土重來，肆虐企業網路！

亞信安全網路監測實驗室發現，僅2017年1月到2月，有超過78,600起惡意郵件攻擊均採用了這種「黃金組合」（檢測名為W2KM_POWMET和W2KM_POWLOAD）。這兩者都是包含「宏」的惡意下載程序，利用惡意PowerShell腳本將有效載荷送入中毒系統。

為什麼會選擇PowerShell

首先，Windows PowerShell 是一種命令行外殼程序和腳本環境,使命令行用戶和腳本編寫者可以利用 .NET Framework的功能，在IT/系統管理員間得到普及。

其次，PowerShell內建在微軟操作系統內，而網路犯罪分子經常利用系統內置工具或服務來散播惡意軟體。簡單概括就是：方便、有效和隱蔽。舉例來說，利用這些合法工具可以讓威脅活動混在正常的網路流量或IT/系統管理工作內，也讓這些惡意威脅能夠留下較少的痕迹，使得偵測更加困難。無文件病毒就是其中一個例子。

無文件病毒意味著沒有文件被寫入或下載至受感染機器的本地磁碟執行。相對地，它們會在系統的內存中直接執行，或駐留在系統註冊表內以取得持久性。在典型的無文件病毒感染中，有效載荷可以被注入現有應用程序/軟體的內存中，或透過白名單內的應用程序（如PowerShell）來執行腳本。

此類技術已經常地被使用在針對性攻擊/鎖定目標攻擊（Targeted attack）中。無文件病毒最可能被察覺的是網路蹤跡，像是命令與控制（C&C）聯機，和其他留在中毒系統內的惡意代碼。

亞信安全教你六招搞定「無文件病毒威脅」

一、更新修補程序和保持系統更新；

二、部署行為監控機制；

三、啟用定製化的沙盒；

四、防護可能的進入點；

五、停用不必要的程序；

六、主動監控系統和網路。