什麼是無檔案病毒(Fileless Malware)攻擊?

在2017 年有超過100家銀行和金融機構遭受無檔案病毒攻擊感染,影響了40多個國家。The Hacker News指出這種技術在過去並非主流,使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將 Meterpreter載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。

雖然這惡意軟體在2016年2月份被發現後就有些停擺,不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導,俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊,讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。

根據 Slate 報導指出,惡意軟體正以前所未有的速度發展著,每分鐘出現四隻新變種。這數字對企業來說已經夠大了,而這還不包括未被發現的威脅。許多攻擊者都開發了自己的技術來躲避常見的安全解決方案,好對受感染電腦造成最大的破壞和獲取更多的資料。

傳統安全軟體已經很努力地在追趕惡意軟體,不過復雜的無檔案病毒為企業帶來了更大的威脅。無檔案病毒在最近常被用來繞過傳統的檔案掃描技術,在受感染電腦內保持隱匿而不被發現。雖然這類病毒不像其他惡意軟體那樣能夠被很好的檢測,但無檔案病毒是企業所必須正視的隱藏性威脅。

一種隱藏的威脅: 無檔案病毒(Fileless Malware

一般的作業系統和應用程式有著許多不同的漏洞,讓攻擊者可以利用來感染電腦並偷走敏感資料。通常被入侵完都還不發覺出現這些安全間隙 – 必須與時間賽跑來修補漏洞並阻止類似情況。無檔案病毒跟其他病毒一樣會利用程序漏洞 – 像是讓瀏覽器執行惡意程式碼、利用Microsoft Word巨集或使用Microsoft PowerShell工具,不一樣的是它會在不被察覺下進行。無檔案病毒透過特製的PowerShell腳本直接寫入電腦記憶體。根據TechRepublic撰稿人Jesus Vigo的說法,一旦取得存取權限,PowerShell會讓系統偷偷執行命令,這命令會根據攻擊者意圖及攻擊計畫時間長短而有所不同。

Fileless malware is written into code, making it hard to detect.

無檔案病毒被寫入程式碼使其難以偵測。

從正面看,駭客不知道自己有多長時間可以進行攻擊,因為系統可能隨時都會重新啟動而讓攻擊中斷。不過駭客也已經為這些狀況做好準備來確保無檔案病毒不用依賴端點保持連線。駭客會寫入註冊表並設定腳本好在系統重新啟動後執行,確保攻擊能夠繼續。這些能力對沒有為這類複雜性攻擊做好準備的企業構成了極大的威脅。

現在的安全軟體基於惡意軟體特徵碼來偵測攻擊。但因為無檔案病毒沒有感染系統的實體檔案,因此安全軟體不知道該看什麼。此外,這類威脅利用系統本身的命令來執行攻擊,進行網路流量和系統行為監控時可能沒有考慮到這一點。

“這些情況顯示出無檔案病毒有多危險。”

攻擊案例

有許多重大攻擊已經利用無檔案病毒感染進行。這些情況顯示出無檔案病毒的危險程度,卻也提供了組織該注意什麼地方的經驗。

無檔案攻擊讓 8 台自動提款機吐鈔 80 萬美金

在2017 年早些時候,有超過100家銀行和金融機構遭受無檔案病毒攻擊感染,影響了40多個國家。The Hacker News指出這種技術在過去並非主流,使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將Meterpreter載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。

雖然這惡意軟體在2016年2月份被發現後就有些停擺,不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導,俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊,讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。

fileless malware

這次攻擊可能是用 PowerShell 將 Meterpreter 載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。

UIWIX 跟隨 WannaCry 的腳步,使用無檔案病毒技術

WannaCry(想哭)勒索病毒影響數千家企業後不久,其他變種也開始出現模仿。UIWIX勒索病毒使用跟WannaCry一樣的漏洞攻擊,不過還加上了無檔案病毒技術。根據趨勢科技的報告,如果UIWIX偵測到虛擬機或沙箱就會自行終止,從而避免被偵測和分析。這變種相當難被停止及從受感染系統移除,而且會使用兩種演算法進行加密。

幸運的是,有一種方法可以阻止這隻惡意軟體影響你的系統。當 WannaCry(想哭)勒索病毒出現之後,就釋出了重大修補程式來解決此漏洞。企業系統只要可以更新必要的修補程式就能夠對抗利用此安全漏洞的UIWIX及類似威脅。儘管進行改變可能需要一些時間,但確保系統受到保護還是值得的。

偵測隱形風險

要跟上不斷變化的威脅形勢並應對如無檔案病毒這樣的複雜性病毒對許多企業來說都是件令人頭大的事情。但是管理者可以採取一些措施來保護自己免於隱形風險的威脅,並且更好地偵測這些躲避技術。趨勢科技建議要部署最新的修補程式,採用最低權限原則並啟用客製化沙箱。企業還應該要採用最佳實作來防護和使用PowerShell,檢查系統內的可疑或惡意行為。IT部門還應考慮設定監視規則來偵測可能用於惡意PowerShell腳本內的命令。監控系統行為、防護可能的進入點及停用不必要組件對於防止無檔案病毒感染都相當重要。

無檔案病毒提醒了我們網路威脅的發展方向,日益複雜的新病毒及企業該如何做好應對這些風險的準備。了解這些技術可以幫助管理者了解要檢視的目標及如何保護好自身安全。想了解更多關於無檔案病毒及如何保護企業的資訊,請立即聯繫 趨勢科技

@原文出處:Fileless Malware: A Hidden Threat