無檔案惡意程式早已不是什麼新聞,但目前卻有 日益增加的趨勢。事實上,根據報導,在針對企業的攻擊得逞案例當中,有 77% 都是使用無檔案惡意程式。這類惡意程式不像傳統惡意程式那樣容易被發現,而且會利用各種技巧來長期躲藏在系統內部,因此隨時可能對企業流程或營運基礎架構造成危害。
以下詳細說明無檔案式威脅的幾種運作方式以及如何加以防範。
一.經由文件漏洞攻擊來啟動惡意程式
無檔案式威脅也有可能經由傳統方式進入系統,例如經由 JavaScript 或 VisualBasic (VBA) 惡意巨集腳本並內嵌在 Office 文件、PDF 檔案、壓縮檔或看似無害的檔案內部。這些巨集一旦執行,就會運用一些正常的工具 (如 PowerShell) 來進一步啟動、下載和執行更多程式碼、腳本或惡意檔案。這些巨集腳本通常也是經由 PowerShell 之類的工具來執行,並且會經過加密編碼,讓資安軟體無法輕易偵測觸發其執行的關鍵字。
這些腳本可利用 PowerShell 來讀取並執行本機系統上的執行檔,或者直接執行已經在記憶體中的程式碼。但即使是後者也不算完全的無檔案式攻擊,因為歹徒還是需要先透過檔案挾帶巨集來入侵系統。
無檔案式威脅透過文件漏洞發動攻擊的過程。
一般使用者可藉由培養一些良好的資安習慣並提升職場的資安意識,來盡可能避免遭受這類攻擊的威脅,例如:針對一些不請自來的郵件或檔案應提高警覺,尤其是在開啟時會要求使用者啟用巨集或腳本功能的檔案。
至於企業,則可採用一些端點防護產品來防範這類經由垃圾郵件散播的無檔案式攻擊,例如:趨勢科技Smart Protection Suites及 Worry-Free Business Security 這兩套解決方案都能妥善保護企業和使用者,偵測相關的惡意檔案和垃圾郵件,攔截所有相關的惡意連結。此外,還有趨勢科技Deep Discovery進階網路安全防護 可提供 電子郵件檢查來偵測惡意的附件檔案和網址以確保企業安全。趨勢科技Deep Discovery進階網路安全防護 可偵測從遠端執行的腳本,即使它並未下載到端點裝置上。 繼續閱讀