資安團隊指出軟體防護問題,潛藏記憶體內的無檔案攻擊大幅增加.png

無檔案式(Fileless)的攻擊手法,由於潛藏在電腦的記憶體內執行,因此不容易被察覺,而受到越來越多的駭客採用,導致相關攻擊事件大幅增加的情況,多家端點防護廠商開始留意到這樣的現象,並提出各種研究數據,顯示這種攻擊相當氾濫。

 

 

我們在聽聞資安攻擊事件時,都會先留意到出現明顯現象的手法,像是會將檔案加密,並要求電腦使用者支付贖金的勒索軟體,或是會消耗大量運算資源,導致電腦難以正常運作的挖礦攻擊等。近2年來,許多資安廠商推出的年度報告中,上述的2大攻擊型態,雖是所有人留意的焦點,但今年有兩家資安大廠特別提到無檔案式攻擊手法(Fileless)大幅增長的情形,而以次世代防毒起家的SentinelOne、Carbon Black等,也在最近推出的報告中,印證這種現象的嚴重性。

 

 

為了迴避電腦上防毒軟體的偵測,時下許多的攻擊中,便採取了所謂的無執行檔案手法,在這類手法中,惡意軟體實際執行的位置為記憶體內,不會在電腦的儲存裝置上出現,因此,往往需要正在執行時,才能從記憶體內容中發現,偵測的難度也相當高。

 

 

事實上,這種執行惡意軟體攻擊手法,最早可追溯到30年前(1987年)的Lehigh病毒,它埋藏在記憶體中,能在使用者將電腦與DOS磁片連接時,感染磁片上的COMMAND.COM檔案。而隨著時代的演進,透過像是Windows作業系統內建的PowerShell,或是JavaScript下達指令,將惡意軟體埋藏到記憶體內執行的做法,便成為現在運用的主要管道。這包含了較為近期的網站漏洞滲透工具(Exploit Kit),像是Magnitude,就是不需先經過儲存裝置,而直接在記憶體中發動攻擊的例子。

 

 

無檔案型態攻擊行為急速成長

趨勢科技在今年上半年度報告中,特別列出這種攻擊型態明顯增加的情形。該公司指出,他們每月封鎖的事件數量,從1月份的24,430件,到5月、6月接近4萬件(39,988件與38,189件),增加接近一倍的數量。

 

 

更進一步來看,今年3月他們指出透過PowerShell觸發的惡意軟體,不論是新的攻擊手法還是事件數量,去年度都大幅增加,而JavaScirpt惡意軟體也有持續的成長。

 

 

而在今年6月份的報告中,利用PowerShell的惡意軟體增加幅度趨緩,新的惡意軟體數量則是明顯少了許多。不過,McAfee指出,從去年下半年開始,使用LNK捷徑檔案,藉此啟動PowerShell指令的做法,則是成為另一個大幅增加的現象。

 

 

而次世代防毒起家,並提供端點偵測與防禦系統(EDR)、端點防護平臺(EPP)產品的廠商,也提出了相關報告,反映這種攻擊的嚴重性,指出無檔案式攻擊的數量,從今年1月到6月,只有短短5個月之間,竟然多出了接近一倍。而值得注意的是,勒索軟體的次數,遠少於前述的攻擊手法。

 

 

與其他攻擊手法混合運用是未來趨勢

無檔案式攻擊手法濫用的現象,也有其他端點防護廠商注意到這樣的情況,並在部落格上發表他們的看法。像是Malwarebytes實驗室最近的一篇文章中,就點名鎖定中大型企業發動攻擊的SamSam勒索軟體,這個攻擊手法雖然會在磁碟上寫入惡意軟體檔案,但內容會受到加密保護,只有駭客解密之後,才會在受害電腦的記憶體中執行。

 

 

該實驗室認為,像SamSam這樣部分無檔案式(Semi-Fileless)的攻擊手法,雖然會先存放惡意軟體到受害者電腦的磁碟,但企業仍然難以分析是否有害,而且除非透過駭客手上的腳本,不然這些檔案也不會執行,這意味著,企業利用沙箱設備觸發,也無法判別是否有惡意內容。因此,Malwarebytes實驗室指出,上述的混合攻擊型態攻擊方式,將是這種攻擊手法的未來發展方向。

 

 

參考資料來源:https://www.ithome.com.tw/news/125606

 

 

欲詳細了解產品資訊請拜訪:

正新電腦 http://www.pronew.com.tw/ 04-24738309

arrow
arrow
    創作者介紹
    創作者 Keypro 軟體保護 的頭像
    Keypro 軟體保護

    Keypro,軟體保護,OTP動態密碼鎖,HSM,SSL憑證 - 正新電腦

    Keypro 軟體保護 發表在 痞客邦 留言(0) 人氣()