Sophos日前发表一种新的防御方式，可以防范恶意分子试图载入无档案型恶意软体、勒索软体和远端存取代理程式到已遭感染电脑的临时记忆体。

已遭入侵电脑的记忆体区域是恶意软体普遍的藏身之处，因为安全扫描不会检查记忆体。因此，很难侦测和阻止这种类型的恶意软体。恶意分子试图安装到记忆体中的恶意软体类型包括勒索软体和远端存取代理程式。远端存取代理程式是其馀攻击的跳板，因此越早发现和阻止它们越好。

Sophos 研究人员建立一种根据行为来防御记忆体中此类恶意软体的方法。他们发现，无论类型或用途为何，攻击程式码在记忆体中的行为都是相同的。

· 与安装在主记忆体中的一般软体应用程式不同，攻击程式码会被??入到记忆体的某一部分，称为「堆积」(heap)。堆积可为应用程式提供额外的记忆体空间，以进行储存或解压缩程式码等操作。

· 恶意分子会以数个阶段新增攻击程式码。首先，他们将一个称为「载入程式」的小档案??入到堆积记忆体中。然後，载入程序会要求额外的堆积记忆体空间来满足主要装载的需求。主要装载可能是像 Cobalt Strike 这样的远端存取代理程式。接着，它要求为这些额外记忆体配置「执行」权限，以便执行恶意软体。

Sophos 研究人员设计了一种实用的保护措施，可以阻止执行权限从一个堆积记忆体转到另一个堆积记忆体。这项保护称为「动态 Shellcode 保护」。

Sophos 工程总监 Mark Loman 表示：「防止攻击者入侵已经遭骇的网路是全球安全从业人员的目标。这个目标非常重要，因为一旦被安装远端存取代理程式，它就可以成为跳板，协助攻击中绝大多数的主动攻击策略。包括执行、使用凭证、升级权限、探索网路、横向移动、收集、渗透和发布勒索软体。

「这些恶意使用的程式码会经过大幅模糊和封装，然後直接载入到记忆体中，以躲避侦测。安全工具不会定期扫描电脑记忆体，因此即使对程式码解模糊、解压缩和解封装，也经常无法侦测出来。

Sophos 发现它们有一个特徵：『堆积-堆积』记忆体配置，在多阶段远端存取代理程式和其他载入记忆体的攻击程式码中很常看到这个特徵，Sophos 并且已经对此提供保护措施。」