恶意软件和杀毒软件的未来将是一个有趣的战场。恶意软件不断演变，迫使防病毒开发者保持速度。但是自动化机器学习反黑客系统的未来愿景比你想象的要近得多。

事实上，未来就在这里。

它也来得正是时候。一系列新的无文件恶意软件正在感染全球的**机构、企业和银行。无文件恶意软件本质上是隐形的。它曾经是民族国家威胁行为体的唯一职责，现在正进入主流。

这个恶意软件足够先进，像你我这样的普通用户不必担心。至少目前是这样。尽管如此，未来几年的安全需要有一个清晰的图景。

机器学习防病毒

英国网络安全公司Darktrace的Antigena是一款机器学习反黑客系统自动化工具。用外行的话来说，防病毒软件在接触到新数据时会学习。在这种情况下，Antigena被用来在公司系统中寻找奇怪的行为模式。有些攻击比其他攻击更容易发现。

在英国投票离开欧盟后，一家公司发现了罕见的行为。一名雇员对雇主的脱欧（英国和退出）策略不满，试图泄露机密文件。安提吉纳追踪威胁，但也自动反应。

机器学习系统代表了Darktrace的又一个进步。尽管有些攻击比其他攻击更容易阻止，但系统真正学会了。例如，勒索软件攻击“看起来像**爆炸”，而内部攻击则要微妙得多。

主要的区别是响应时间。Antigena在感染的早期阶段注意到攻击，防止勒索软件攻击加密文件。”我们开始打断这些类型的攻击，”DarkTrace的技术总监Dave Palmer解释道。当一个人，甚至是一个传统的端点安全套件做出响应时，已经太迟了。

行为网络防御

机器学习防病毒解决方案并非没有被注意到。家庭用户的防病毒产品现在定期使用启发式扫描。启发式方法不是扫描特定的文件签名，而是分析可疑的特征和行为模式。启发式分析的主要目的是在攻击开始前阻止它，与Antigena相当。

像Antigena这样的高级机器学习解决方案在很长一段时间内不太可能在家用电脑上使用。它实在太复杂太强大了。数学原理和先进的环境扫描已经开始渗透，迫使家用杀毒软件供应商重新考虑他们的发展战略。

这是推动进步，自动化，安全设计。

什么是无文件恶意软件(fileless malware)？

还有什么在推动渐进式防病毒设计？

无网格恶意软件是一种相对较新但非常常规的攻击向量。无文件恶意软件感染只存在于系统RAM或内核中，而不是依赖于直接安装到系统硬盘上。无文件恶意软件利用一系列渗透策略渗透系统，同时保持完全未被发现。下面是一个攻击工作原理的示例：

• 用户通过垃圾邮件强制使用浏览器访问网站。
• 闪存已加载。
• Flash调用并使用PowerShell**基于内存的命令。
• PowerShell以静默方式连接到命令和控制（C2）服务器以下载恶意PowerShell脚本。
• 脚本会发现敏感数据并将其返回给攻击者。

整个过程中没有下载任何文件。展出的隐身水平令人印象深刻。可怕，但令人印象深刻。

无文件攻击不会留下任何痕迹，除非攻击者粗心大意——请阅读下一节——或者希望您找到文件，就像电话卡一样。

此外，无文件恶意软件为攻击者提供了宝贵的资源：时间。随着时间的推移，攻击者会针对高价值目标部署复杂的多层攻击。

俄罗斯atm诈骗

你有没有梦见自己路过的时候从自动取款机里往外倒钱？好吧，一队俄罗斯黑客就这么做了，从至少8台自动取款机中解放了80万美元。看起来非常简单。

一个男人走向自动取款机。自动取款机吐出一沓现金。那人走开了，想必他对新发现的财富很满意。强迫自动取款机按需取现并不是什么新把戏。然而，几乎无纸化的追踪方法被使用。

卡巴斯基实验室报告说，攻击者留下了一个单一的日志文件，给研究人员一个重要的线索，在他们的调查。

"Based on the contents of the log file they were able to create a YARA rule -- YARA is a malware research tool; basically, they made a search request for public malware repositories. They used it to try to find the original malware sample, and after a day the search yielded some results: a DLL called tv.dll, which by that time had been spotted in the wild twice, once in Russia and once in Kazakhstan. That was enough to begin untangling the knot."

攻击者在银行保安室安装了后门。然后，他们在银行基础设施内的ATM机上安装了恶意软件。恶意软件看起来像是合法的更新，无法触发任何警告。攻击者运行一个远程命令，首先询问机器中有多少现金，然后触发分发。

钱是自动分配的。黑客走开了。与此同时，恶意软件开始清理操作，删除任何可执行文件，并清除对ATM所做的任何更改。

防范无文件恶意软件

当无文件恶意软件首次出现时，它使目标系统运行非常缓慢。早期的例子编码效率很低。因此，它们更容易被发现，因为目标系统会逐渐停止。当然，这并没有持续太久，一个无文件恶意软件感染是难以置信的困难。然而，这并非不可能。

1. 更新。随时更新一切。安全更新至关重要。发现并修补漏洞。根据US-CERT，通过定期修补，“85%的目标攻击是可以预防的”。
2. 教育。无文件恶意软件将通过受感染的网站或网络钓鱼电子邮件到达。温习如何发现垃圾邮件噪音中的钓鱼电子邮件。
3. 杀毒软件。杀毒软件消亡的传言被大大夸大了。最新的防病毒软件可能会阻止与命令和控制服务器的通信，从而阻止下载其脚本负载的无文件恶意软件感染。

最大的收获就是不断更新你的系统。当然，存在零日漏洞。但尽管他们登上了头条新闻，但他们仍然是个例外——不是规则。

奔向未来

企业防病毒解决方案已经在考虑恶意软件的未来前景。所取得的进步将渗透到保护你和我的消费品中。不幸的是，这个过程有时很慢，但一个重要的转变是基于行为的杀毒正在进行中。

同样，无文件恶意软件正在进入主流，但仍然是黑客手册中的一个专门“工具”。由于这样的无文件恶意软件只被用来对付高价值的目标，但放心，恶意黑客将确保它在我们的计算机上结束。

恶意软件不断发展。你认为我们的防病毒产品足以保护我们吗？还是应该由用户教育来承担责任？下面让我们知道你的想法！

图片来源：ktsdesign/Shutterstock