無檔案式(Fileless)的攻擊手法,由於潛藏在電腦的記憶體內執行,因此不容易被察覺,而受到越來越多的駭客採用,導致相關攻擊事件大幅增加的情況,多家端點防護廠商開始留意到這樣的現象,並提出各種研究數據,顯示這種攻擊相當氾濫。
我們在聽聞資安攻擊事件時,都會先留意到出現明顯現象的手法,像是會將檔案加密,並要求電腦使用者支付贖金的勒索軟體,或是會消耗大量運算資源,導致電腦難以正常運作的挖礦攻擊等。近2年來,許多資安廠商推出的年度報告中,上述的2大攻擊型態,雖是所有人留意的焦點,但今年有兩家資安大廠特別提到無檔案式攻擊手法(Fileless)大幅增長的情形,而以次世代防毒起家的SentinelOne、Carbon Black等,也在最近推出的報告中,印證這種現象的嚴重性。
為了迴避電腦上防毒軟體的偵測,時下許多的攻擊中,便採取了所謂的無執行檔案手法,在這類手法中,惡意軟體實際執行的位置為記憶體內,不會在電腦的儲存裝置上出現,因此,往往需要正在執行時,才能從記憶體內容中發現,偵測的難度也相當高。
事實上,這種執行惡意軟體攻擊手法,最早可追溯到30年前(1987年)的Lehigh病毒,它埋藏在記憶體中,能在使用者將電腦與DOS磁片連接時,感染磁片上的COMMAND.COM檔案。而隨著時代的演進,透過像是Windows作業系統內建的PowerShell,或是JavaScript下達指令,將惡意軟體埋藏到記憶體內執行的做法,便成為現在運用的主要管道。這包含了較為近期的網站漏洞滲透工具(Exploit Kit),像是Magnitude,就是不需先經過儲存裝置,而直接在記憶體中發動攻擊的例子。
無檔案型態攻擊行為急速成長
趨勢科技在今年上半年度報告中,特別列出這種攻擊型態明顯增加的情形。該公司指出,他們每月封鎖的事件數量,從1月份的24,430件,到5月、6月接近4萬件(39,988件與38,189件),增加接近一倍的數量。
更進一步來看,今年3月他們指出透過PowerShell觸發的惡意軟體,不論是新的攻擊手法還是事件數量,去年度都大幅增加,而JavaScirpt惡意軟體也有持續的成長。
而在今年6月份的報告中,利用PowerShell的惡意軟體增加幅度趨緩,新的惡意軟體數量則是明顯少了許多。不過,McAfee指出,從去年下半年開始,使用LNK捷徑檔案,藉此啟動PowerShell指令的做法,則是成為另一個大幅增加的現象。
而次世代防毒起家,並提供端點偵測與防禦系統(EDR)、端點防護平臺(EPP)產品的廠商,也提出了相關報告,反映這種攻擊的嚴重性,指出無檔案式攻擊的數量,從今年1月到6月,只有短短5個月之間,竟然多出了接近一倍。而值得注意的是,勒索軟體的次數,遠少於前述的攻擊手法。
與其他攻擊手法混合運用是未來趨勢
無檔案式攻擊手法濫用的現象,也有其他端點防護廠商注意到這樣的情況,並在部落格上發表他們的看法。像是Malwarebytes實驗室最近的一篇文章中,就點名鎖定中大型企業發動攻擊的SamSam勒索軟體,這個攻擊手法雖然會在磁碟上寫入惡意軟體檔案,但內容會受到加密保護,只有駭客解密之後,才會在受害電腦的記憶體中執行。
該實驗室認為,像SamSam這樣部分無檔案式(Semi-Fileless)的攻擊手法,雖然會先存放惡意軟體到受害者電腦的磁碟,但企業仍然難以分析是否有害,而且除非透過駭客手上的腳本,不然這些檔案也不會執行,這意味著,企業利用沙箱設備觸發,也無法判別是否有惡意內容。因此,Malwarebytes實驗室指出,上述的混合攻擊型態攻擊方式,將是這種攻擊手法的未來發展方向。
參考資料來源:https://www.ithome.com.tw/news/125606
欲詳細了解產品資訊請拜訪:
正新電腦 http://www.pronew.com.tw/ 04-24738309
留言列表