到目前为止，我们已经对恶意软件很熟悉了，并深知它的工作原理：通过包含恶意附件的垃圾邮件进行传播，诱使用户打开附件（PDF文档），或者诱使用户打来邮件中的链接。很简单，只要不点击恶意附件或链接，就可以躲过这场灾难。只要教育人们不要打来陌生邮箱发送的附件或链接，世界就安全了。

Fileless malware

但是，怎么可能呢？这些坏人可也是在努力打破这个对它们不利的局面，因此一种新的网络攻击形式出现了——fileless malware。顾名思义，没有文件的恶意软件，与我们常见的恶意软件不同，这种新型攻击不需要文件，也不依赖于受害者去下载文件。Filelsss malware通过2种方式入侵系统：

· 恶意软件代码在RAM或系统注册表中；

· 恶意软件通过脚本感染主机。

传统的传播方法vs非传统的意图

虽然文件并不用来传播恶意代码，仍然可以用钓鱼攻击来让代码渗透系统。比如，恶意代码可以以word文档的形式传递，一旦打开word文档，恶意软件就释放了。更多的担心在于fileless malware使用反取证技术来擦出记录，这样就让它彻底不可见了。

Fileless malware的意图与传统攻击是相似的，那就是访问机密数据或个人信息。因为它的隐蔽性和持久性的本质，fileless malware可能会被用于间谍活动，或者为将来的破坏活动做准备。

如何阻止？

关于如何停止和阻止fileless malware，这个问题很复杂。首先，企业要意识到运行脚本的进程（比如powershell）可以传播恶意软件，比如打开PDF文件。其次，企业要确保教育员工关于打开来自任意人发来的恶意附件带来的未知后果。第三，及时安装厂商分发、推送的产品补丁，包括但不限于杀毒软件和操作系统。这样的步骤可以一定程度上减少恶意软件带来的威胁。

选择正确的安全软件

要意识到这种威胁变得越来越普遍了，攻击者也变得越来越有创造力。无论是通过含有附件的垃圾邮件、powershell、Windows注册表，fileless malware都会在系统环境中找到位置。针对这种恶意软件攻击的最好方式就是进行适当的教育，培养员工的安全意识，选择多层架构的安全软件。在选择安全软件时，要考虑以下因素：

· 厂商是否理解并关注此类威胁？

· 厂商会对当前用户提供访问吗？

· 是否强调终端保护？

· 升级历史

· 厂商是否提供网络安全预警信息。

攻击面在不断增加，对员工进行教育和选择合适的安全解决方案是目前防御此类攻击的最优原则。