無檔案式惡意程式 - 資安趨勢部落格

巨集病毒Powload 再進化：從無檔案式技巧到圖像隱碼術

2019 年 03 月 29 日2019 年 03 月 29 日趨勢科技 TrendMicro

Powload 在資安威脅領域歷久不衰，代表它一直在推陳出新。事實上，巨集惡意程式數量在 2018 上半年之所以突然暴增，就是因為當時 Powload 正透過垃圾郵件大量散布。Powload 是 2018 年北美地區最猖獗的威脅之一，它會利用各種技巧在系統植入惡意程式，例如 Emotet、Bebloh、Ursnif 等資訊竊取程式。趨勢科技偵測到Powload 的數量以及我們 2018 年所分析的相關案例/，都較 2017 年顯著增加。另一方面，Powload 在技巧上不斷演進，也顯示它可能還要持續發揮惡勢力一陣子。儘管它的散布管道依然是經由垃圾郵件，但它卻會運用不同技巧在系統上植入惡意程式，包括：避開文件預覽模式、使用無檔案式技巧以及駭入電子郵件帳號等等。

圖 1：趨勢科技 Smart Protection Network™ 的偵測數據 (左) 以及我們已分析的非重複 Powload 樣本案例/案件數量。

我們在近期所見到的 Powload 相關案件中發現，其垃圾郵件所使用的附件檔案開始出現明顯變化，包括使用圖像隱碼術 (steganography) 以及鎖定特定國家。圖 2 說明了這樣的變化，例如，我們 2018 年早期分析到的樣本在感染程序方面較為單純直接，而新的手法則是多了一道手續來躲避偵測。

繼續閱讀

盜領 ATM 得手千萬美元,MoneyTaker 犯罪集團如何讓 ATM 吐鈔?

2017 年 12 月 22 日2017 年 12 月 20 日趨勢科技 TrendMicro

資安研究人員最近批露了有關俄語系網路犯罪團體 MoneyTaker 的細節。根據報導指出，該集團曾經攻擊美國和俄羅斯的金融機構，並且至少從 20 個支付卡與跨行轉帳系統得手了一千萬美元的不法獲利。

MoneyTaker 是什麼？

MoneyTaker 是一個網路犯罪集團，其名稱來自該團體所用的客製化惡意程式，此程式專門用來入侵與金融交易系統連接的工作站電腦。MoneyTaker 的作案手法是先入侵這些系統，然後再雇用一群車手到自動提款機 (ATM) 前提款。

MoneyTaker運作至今至少有 18 個月之久，他們下手的對象包括：信用合作社、金融服務機構、律師事務所、軟體廠商等等的系統與網路。研究人員表示，該集團目前也開始拓展版圖至拉丁美洲企業，甚至嘗試入侵環球銀行金融電信協會 (SWIFT) 的系統。去年，歹徒利用 SWIFT 系統的弱點洗劫了孟加拉中央銀行，使得該銀行至少損失 8,100 萬美元。

[資安基礎觀念：商業流程入侵 (Business Process Compromise)]

MoneyTaker 是如何將錢從銀行偷走？

MoneyTaker 基本上使用的是無檔案式惡意程式，這類惡意程式不需下載檔案，亦不需將檔案寫入本地端磁碟。它們會直接注入系統記憶體內執行，或者躲藏在系統登錄內，以長期潛伏。典型的無檔案式攻擊技巧包括：將惡意程式碼直接注入現有執行程序當中，或者利用 PowerShell 這類工具來執行腳本。其中一個率先使用這類犯罪技巧的就是 Lurk 網路犯罪集團，該集團已從金融機構得手超過 4,500 萬美元。繼續閱讀

純無檔案式惡意程式 JS_POWMET, 90% 的感染案例在亞太區

2017 年 08 月 11 日2017 年 08 月 09 日趨勢科技 TrendMicro

最近，網路駭客開始專心研究如何在攻擊過程當中不留下痕跡，因此無檔案式惡意程式 (如最近的 SOREBRECT 勒索病毒) 未來將更加普遍。不過，這類惡意程式有很多只在潛入使用者系統時才不寫入檔案，但最後在執行真正的惡意程式時還是會在磁碟上產生檔案，所以純無檔案式的攻擊畢竟還是少數。因此，我們覺得有必要跟大家介紹一個新的木馬程式，叫做「JS_POWMET」(趨勢科技命名為 JS_POWMET.DE)，該程式會利用 Windows 系統登錄中的開機自動執行機碼來進入電腦。其感染過程完全不會在磁碟上產生檔案，所以很難用沙盒模擬分析技術來加以偵測，同時也加深了資安人員的研究難度。

根據趨勢科技 Smart Protection Network (SPN) 全球威脅情報網所收到的初步資料顯示，感染 JS_POWMET 最嚴重的是亞太地區，將近 90% 的感染案例都來自該區域。

技術細節