《資安入門》攻擊者如何不用安裝軟體就能侵入系統?認識無檔案(Fileless)攻擊運作

Fileless Threats 101: How Fileless Attacks Work and Persist in Systems
檢視資料圖表:無檔案威脅入門:無檔案攻擊如何運作並在系統內保持持續性?

隨著安全措施能夠更好地識別和封鎖惡意軟體及其他威脅,現在的攻擊者會不斷開發更先進的技術來躲避偵測。最具持續性的躲避技術之一是無檔案病毒(fileless malware)攻擊,不需惡意檔案就能侵入系統。這類威脅並不依靠執行檔,而是利用系統內的工具來進行攻擊。

趨勢科技的2019資安總評裡提到無檔案威脅已經更加常見。透過追蹤非基於檔案的指標和使用端點偵測及回應等技術,我們在過去一年封鎖超過140萬筆的無檔案惡意事件。這樣的趨勢是可以預期的,因為無檔案威脅能夠讓攻擊者保持隱蔽性和持續性。更明顯的是,可以看到有許多惡意軟體攻擊活動都在攻擊中使用無檔案組件和技術

什麼是無檔案攻擊?攻擊者如何不用安裝軟體就能侵入系統?

無檔案(fileless)這個詞代表威脅或技術不需要有檔案,而是存在電腦記憶體內。無檔案技術可以做到執行命令、竊取資訊或保持持續性等;一次攻擊鏈並不一定是完全的”無檔案”,可能只在某些部分使用某種形式的無檔案技術。

無檔案威脅在執行後不會留下痕跡,使得更難被偵測和清除。無檔案技術可以讓攻擊者連進系統來進行後續的惡意活動。利用漏洞攻擊、系統工具、巨集和腳本,攻擊者可以入侵系統、提升權限或在網路內進行橫向移動。

無檔案攻擊能夠有效地躲避傳統會監控寫入電腦磁碟的檔案以進行掃描並評估是否惡意的安全軟體偵測。這類威脅並不容易被察覺,因為它們會在系統記憶體內執行、駐留在登錄檔內或使用通常被允許執行的白名單內工具,如PowerShell、Windows Management Instrumentation(WMI)和PsExec。

不被察覺的危險:了解無檔案威脅 駭客使用無檔案(Fileless)威脅來利用現存應用程式和攻擊系統。我們在此文裡探討了值得注意的事件、技術和有助於識別無檔案威脅並抵禦攻擊的最佳實作。

許多無檔案威脅都會利用工作自動化和設定管理框架PowerShell,這是許多Windows作業系統內建的功能。這個Microsoft框架可以運用執行關鍵系統和應用程式功能的API。因為可以用來派送惡意檔案和用無檔案方式執行惡意命令,所以相當的吸引攻擊者。

另一個知名的Windows應用程式是WMI,可以用來在端點執行系統工作,所以也適合用來進行攻擊。攻擊者可以用WMI進行程式碼執行、橫向移動和持續性;WMI儲存庫還可以儲存週期性執行的惡意腳本。PowerShell和WMI通常被用於企業網路來進行系統管理工作自動化。攻擊者經常會利用這些工具,因為它們可以繞過基於特徵碼的偵測系統來維持持續性、外洩資料及其他更多惡意行為。

雖然無檔案攻擊並不是新興技術,不過它們已經成為許多駭客的主力攻擊武器。檢視我們的資料圖表”無檔案威脅入門:無檔案攻擊如何運作並在系統內保持持續性”來認識常見的無檔案攻擊,需要注意的技術以及可用來防止駭客入侵防護的安全措施。

資安入門:抵禦無檔案(Fileless)惡意軟體 無檔案威脅跟傳統惡意軟體相比並不那麼容易被察覺,它採用多種技術來保持持續性。本文裡介紹了無檔案惡意軟體的工作原理及如何阻止它們的詳細資訊。

企業該如何抵禦無檔案威脅?

多種無檔案技術讓攻擊可以保持持續性,進而影響企業業務基礎設施的完整性。儘管沒有可被偵測的執行檔案,但使用者和企業仍然可以阻止無檔案威脅。

應對無檔案攻擊需要多層次或縱深防禦的安全做法,不依賴基於檔案的傳統對策來解決惡意威脅。企業必須防護好系統安全,移除未使用或非關鍵的應用程式並監控網路流量。

使用行為監控機制可以追蹤對PowerShell和WMI等軟體或應用程式的不尋常修改。客製化沙箱和入侵偵測與防禦系統也有助於阻止如C&C通訊或資料外洩等可疑連線。


趨勢科技XDR解決方案使用強大的AI和專家安全分析來偵測、調查及回應無檔案攻擊等各類網路安全威脅,能夠橫跨電子郵件、端點、伺服器、雲端工作負載和網路來提供跨層次的偵測及回應。


趨勢科技Apex One安全防護使用了多種威脅偵測功能,特別是可防止無檔案威脅相關惡意腳本、注入、勒索病毒、記憶體和瀏覽器攻擊的行為分析技術。Apex One Endpoint Sensor提供情境感知的端點調查及響應(EDR)技術,可以監控事件並快速檢查哪些程序或事件觸發了惡意活動。

趨勢科技 Deep Discovery 進階網路安全防護 解決方案具備電子郵件檢查層,可以偵測惡意附件檔和網址來保護企業。趨勢科技 Deep Discovery進階網路安全防護還可以在遠端腳本還沒有被實際下載到端點系統前就加以偵測。

@原文出處:Security 101: How Fileless Attacks Work and Persist in Systems