趨勢科技發現了一種新的模組化無檔案殭屍網路病毒(命名為 Novter,也被稱為Nodersok或 Divergent),自三月起就一直透過KovCoreG惡意活動散播。自從此威脅出現發展以來,我們就一直積極地加以監控,也觀察到它經常地進行更新。從2011年就開始活躍的KovCoreG是以使用Kovter殭屍網路病毒聞名的長期惡意活動,主要是利用惡意廣告和漏洞攻擊套件散播。Kovter自2015年開始就一直參與點擊詐欺的操作,據報用欺詐性廣告讓企業損失超過2,900萬美元。在執法和網路安全專家(包括趨勢科技)的共同努力下,殭屍網路在2018年底被關閉。
殭屍網路關閉並沒有阻止網路犯罪分子。儘管殭屍網路已死,但我們注意到KovCoreG並未停止活動,而是開發了另一個殭屍網路。通過與ProofPoint威脅研究人員Kafeine的合作,我們發現了由KovCoreG操作者散布的新型無檔案殭屍網路 病毒Novter。
繼續閱讀在2017 年有超過100家銀行和金融機構遭受無檔案病毒攻擊感染,影響了40多個國家。The Hacker News指出這種技術在過去並非主流,使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將 Meterpreter載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。
雖然這惡意軟體在2016年2月份被發現後就有些停擺,不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導,俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊,讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。
根據 Slate 報導指出,惡意軟體正以前所未有的速度發展著,每分鐘出現四隻新變種。這數字對企業來說已經夠大了,而這還不包括未被發現的威脅。許多攻擊者都開發了自己的技術來躲避常見的安全解決方案,好對受感染電腦造成最大的破壞和獲取更多的資料。
傳統安全軟體已經很努力地在追趕惡意軟體,不過復雜的無檔案病毒為企業帶來了更大的威脅。無檔案病毒在最近常被用來繞過傳統的檔案掃描技術,在受感染電腦內保持隱匿而不被發現。雖然這類病毒不像其他惡意軟體那樣能夠被很好的檢測,但無檔案病毒是企業所必須正視的隱藏性威脅。
一種隱藏的威脅:無檔案病毒(Fileless Malware)
一般的作業系統和應用程式有著許多不同的漏洞,讓攻擊者可以利用來感染電腦並偷走敏感資料。通常被入侵完都還不發覺出現這些安全間隙 – 必須與時間賽跑來修補漏洞並阻止類似情況。無檔案病毒跟其他病毒一樣會利用程序漏洞 – 像是讓瀏覽器執行惡意程式碼、利用Microsoft Word巨集或使用Microsoft PowerShell工具,不一樣的是它會在不被察覺下進行。無檔案病毒透過特製的PowerShell腳本直接寫入電腦記憶體。根據TechRepublic撰稿人Jesus Vigo的說法,一旦取得存取權限,PowerShell會讓系統偷偷執行命令,這命令會根據攻擊者意圖及攻擊計畫時間長短而有所不同。
無檔案病毒被寫入程式碼使其難以偵測。
從正面看,駭客不知道自己有多長時間可以進行攻擊,因為系統可能隨時都會重新啟動而讓攻擊中斷。不過駭客也已經為這些狀況做好準備來確保無檔案病毒不用依賴端點保持連線。駭客會寫入註冊表並設定腳本好在系統重新啟動後執行,確保攻擊能夠繼續。這些能力對沒有為這類複雜性攻擊做好準備的企業構成了極大的威脅。
現在的安全軟體基於惡意軟體特徵碼來偵測攻擊。但因為無檔案病毒沒有感染系統的實體檔案,因此安全軟體不知道該看什麼。此外,這類威脅利用系統本身的命令來執行攻擊,進行網路流量和系統行為監控時可能沒有考慮到這一點。
“這些情況顯示出無檔案病毒有多危險。”
攻擊案例
有許多重大攻擊已經利用無檔案病毒感染進行。這些情況顯示出無檔案病毒的危險程度,卻也提供了組織該注意什麼地方的經驗。
無檔案攻擊讓 8台自動提款機吐鈔 80 萬美金
在2017 年早些時候,有超過100家銀行和金融機構遭受無檔案病毒攻擊感染,影響了40多個國家。The Hacker News指出這種技術在過去並非主流,使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將Meterpreter載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。
雖然這惡意軟體在2016年2月份被發現後就有些停擺,不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導,俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊,讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。
這次攻擊可能是用 PowerShell 將 Meterpreter載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。
UIWIX 跟隨 WannaCry 的腳步,使用無檔案病毒技術
在WannaCry(想哭)勒索病毒影響數千家企業後不久,其他變種也開始出現模仿。UIWIX勒索病毒使用跟WannaCry一樣的漏洞攻擊,不過還加上了無檔案病毒技術。根據趨勢科技的報告,如果UIWIX偵測到虛擬機或沙箱就會自行終止,從而避免被偵測和分析。這變種相當難被停止及從受感染系統移除,而且會使用兩種演算法進行加密。
幸運的是,有一種方法可以阻止這隻惡意軟體影響你的系統。當 WannaCry(想哭)勒索病毒出現之後,就釋出了重大修補程式來解決此漏洞。企業系統只要可以更新必要的修補程式就能夠對抗利用此安全漏洞的UIWIX及類似威脅。儘管進行改變可能需要一些時間,但確保系統受到保護還是值得的。
偵測隱形風險
要跟上不斷變化的威脅形勢並應對如無檔案病毒這樣的複雜性病毒對許多企業來說都是件令人頭大的事情。但是管理者可以採取一些措施來保護自己免於隱形風險的威脅,並且更好地偵測這些躲避技術。趨勢科技建議要部署最新的修補程式,採用最低權限原則並啟用客製化沙箱。企業還應該要採用最佳實作來防護和使用PowerShell,檢查系統內的可疑或惡意行為。IT部門還應考慮設定監視規則來偵測可能用於惡意PowerShell腳本內的命令。監控系統行為、防護可能的進入點及停用不必要組件對於防止無檔案病毒感染都相當重要。
無檔案病毒提醒了我們網路威脅的發展方向,日益複雜的新病毒及企業該如何做好應對這些風險的準備。了解這些技術可以幫助管理者了解要檢視的目標及如何保護好自身安全。想了解更多關於無檔案病毒及如何保護企業的資訊,請立即聯繫趨勢科技
微軟最近報告說他們的進階威脅防護工具偵測並封鎖了兩個重度混淆過的惡意腳本。這些威脅顯然地使用了Sharpshooter技術(曾紀錄並發表於一篇英國資安公司2017年的部落格文章)。
微軟的報告詳細說明了這難以被捕捉的病毒行為 – 它沒有觸動防毒掃描,使用合法程序來執行腳本載入,在硬碟上也沒有留下任何痕跡。因為這些特性,他們將這些腳本歸類為無檔案威脅。
通常無檔案病毒都能夠躲避傳統偵測技術,因為它不會在受害者系統上產生惡意檔案。相對地,它會將惡意程式碼注入執行中的應用程式記憶體或利用系統或設備上的合法工具。
這些被偵測到的無檔案病毒是用兩個無檔案階段完成攻擊,包括用一個難以被偵測的.NET執行檔進行DNS查詢(之前就發生過)下載資料,接著用來初始化和解碼惡意軟體核心。這核心也是無檔案威脅,因為它在記憶體內執行而無需寫入硬碟。
他們在報告作出此惡意軟體可能只是測試而非真正攻擊的結論。
惡意軟體偵測技術在不斷地跟上威脅成長,迫使惡意份子尋找躲避技術和進入點。我們在年中的資安綜合報告詳細介紹了讓檔案型偵測技術頭疼的惡意軟體在大量成長。出現了各種不同類型 – 小型惡意軟體,巨集病毒,當然還有無檔案病毒。
無檔案病毒在這一年多以來都是資安領域的重大威脅。在2017年6月,我們看到了自毀型的SOREBRECT無檔案勒索病毒;之後我也報導了木馬病毒JS_POWMET,這是隻完全無檔案的惡意軟體。我們也注意到使用到這類型惡意軟體的資安事件在增加。
從年初到2018年6月,我們可以看到趨勢科技產品所封鎖的相關事件成長了56%。
最近2018年7月的報導顯示出病毒作者持續地在創新無檔案技術。有許多關於PowerGhost無檔案虛擬貨幣挖礦病毒正在瞄準企業系統的報告。惡意軟體利用合法工具PowerShell及EternalBlue漏洞在各個組織的設備和伺服器間散播而不被偵測。
大多數這類威脅都使用了多組件,留下了檔案以外的線索 – 來自散播機制的電子郵件或連結,在伺服器上進行惡意行為的證據,或出現在網路/系統日誌內的行為線索。根據微軟的說法,一旦Sharpshooter技術公開就會被濫用並用於攻擊。為了偵測無檔案威脅,他們使用了多層次做法,包括反惡意程式碼掃描介面(AMSI)、行為監控和開機磁區保護技術。
這代表了企業需要跨世代的安全解決方案並且採用能夠橫跨整個網路的多層次防禦技術整合來應對無檔案威脅。趨勢科技Smart Protection Suites具備了多種功能(如高保真機器學習、網頁信譽評比服務、行為監控和應用程式控制以及漏洞防護),可以最大限度地降低此威脅影響。趨勢科技的Endpoint Sensor也可以有效地監控事件,因為此產品可以幫助快速檢查觸發惡意活動的程序或事件。
網路犯罪分子越來越常利用系統內建工具或服務來散播惡意軟體,原因是方便、有效和隱蔽。舉例來說,利用這些合法工具可以讓威脅活動混在正常的網路流量或IT/系統管理工作內,也讓這些惡意威脅能夠留下較少的痕跡,使得偵測更加困難。無檔案病毒就是其中一個例子。
無檔案病毒意味著沒有檔案被寫入或下載至受感染機器的本地磁碟執行。相對地,它們會在系統的記憶體內執行,或駐留在系統註冊表內以取得持久性。在典型的無檔案病毒感染中,有效載荷可以被注入現有應用程式/軟體的記憶體內,或透過白名單內的應用程式(如PowerShell)來執行腳本。
即便它們不是基於檔案(或可執行檔)的威脅,我們知道它們確實在外活動著,因為此類技術已經常地被使用在針對性攻擊/鎖定目標攻擊(Targeted attack )中。無檔案病毒最可被察覺的是網路蹤跡,像是命令與控制(C&C)連線,和其他留在中毒系統內的惡意程式碼。不幸的是無檔案病毒也可以在公開的專案計畫中取到,甚至在網路地下市場作為產品(或服務)提供。無檔案病毒也是如Angler等漏洞攻擊的主要功能之一。舉例來說,網路犯罪集團Lurk利用自己所開發的漏洞攻擊套件來透過無檔案病毒從金融機構竊取超過4,500萬美元。
[延伸閱讀:無檔案勒索病毒技術全貌 – UIWIX]
惡意PowerShell腳本是許多無檔案病毒的關鍵要素。Windows PowerShell是內建基於.NET框架的命令列Shell,提供使用者存取作業系統(OS)服務的介面,也是能夠建立腳本的程式語言。PowerShell主要用來自動化系統管理工作,像是檢視系統內所有的USB設備、磁碟和服務,排程工作並在背景執行,或是終止程序(就像是工作管理員)。PowerShell也可以讓管理員無縫管理系統和伺服器及軟體或服務所運行環境的設定。 繼續閱讀