隨著安全措施能夠更好地識別和封鎖惡意軟體及其他威脅,現在的攻擊者會不斷開發更先進的技術來躲避偵測。最具持續性的躲避技術之一是無檔案病毒(fileless malware)攻擊,不需惡意檔案就能侵入系統。這類威脅並不依靠執行檔,而是利用系統內的工具來進行攻擊。
趨勢科技的2019資安總評裡提到無檔案威脅已經更加常見。透過追蹤非基於檔案的指標和使用端點偵測及回應等技術,我們在過去一年封鎖超過140萬筆的無檔案惡意事件。這樣的趨勢是可以預期的,因為無檔案威脅能夠讓攻擊者保持隱蔽性和持續性。更明顯的是,可以看到有許多惡意軟體攻擊活動都在攻擊中使用無檔案組件和技術。
無檔案(fileless)這個詞代表威脅或技術不需要有檔案,而是存在電腦記憶體內。無檔案技術可以做到執行命令、竊取資訊或保持持續性等;一次攻擊鏈並不一定是完全的”無檔案”,可能只在某些部分使用某種形式的無檔案技術。
繼續閱讀駭客透過無檔案式威脅,利用系統上原有的應用程式來攻擊系統。本文探討一些值得關注的攻擊事件和技巧,以及可偵測無檔案式威脅並防範相關攻擊的最佳實務原則。
在傳統的資安威脅中,駭客大多經由電子郵件、檔案或網站在受害系統上安裝惡意程式。但無檔案式威脅有別傳統惡意程式,不會透過惡意軟體或執行檔來感染系統,而是利用系統內建的工具和應用程式來發動攻擊,也就是利用系統工具來攻擊系統。
無檔案式威脅並無可辨識的特徵碼來觸發傳統資安軟體的偵測機制,所以才能越過傳統的資安防護,並且濫用了原本正當用途的工具。
無檔案式攻擊是一種利用系統內建應用程式來攻擊系統的惡意手法,有別於在系統上偷偷安裝惡意軟體的攻擊。無檔案式攻擊,基本上是濫用了系統原本受到信賴的應用程式、軟體或通訊協定,所以不需仰賴惡意程式來執行攻擊。
在2017 年有超過100家銀行和金融機構遭受無檔案病毒攻擊感染,影響了40多個國家。The Hacker News指出這種技術在過去並非主流,使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將 Meterpreter載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。
雖然這惡意軟體在2016年2月份被發現後就有些停擺,不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導,俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊,讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。
根據 Slate 報導指出,惡意軟體正以前所未有的速度發展著,每分鐘出現四隻新變種。這數字對企業來說已經夠大了,而這還不包括未被發現的威脅。許多攻擊者都開發了自己的技術來躲避常見的安全解決方案,好對受感染電腦造成最大的破壞和獲取更多的資料。
傳統安全軟體已經很努力地在追趕惡意軟體,不過復雜的無檔案病毒為企業帶來了更大的威脅。無檔案病毒在最近常被用來繞過傳統的檔案掃描技術,在受感染電腦內保持隱匿而不被發現。雖然這類病毒不像其他惡意軟體那樣能夠被很好的檢測,但無檔案病毒是企業所必須正視的隱藏性威脅。
一種隱藏的威脅:無檔案病毒(Fileless Malware)
一般的作業系統和應用程式有著許多不同的漏洞,讓攻擊者可以利用來感染電腦並偷走敏感資料。通常被入侵完都還不發覺出現這些安全間隙 – 必須與時間賽跑來修補漏洞並阻止類似情況。無檔案病毒跟其他病毒一樣會利用程序漏洞 – 像是讓瀏覽器執行惡意程式碼、利用Microsoft Word巨集或使用Microsoft PowerShell工具,不一樣的是它會在不被察覺下進行。無檔案病毒透過特製的PowerShell腳本直接寫入電腦記憶體。根據TechRepublic撰稿人Jesus Vigo的說法,一旦取得存取權限,PowerShell會讓系統偷偷執行命令,這命令會根據攻擊者意圖及攻擊計畫時間長短而有所不同。
無檔案病毒被寫入程式碼使其難以偵測。
從正面看,駭客不知道自己有多長時間可以進行攻擊,因為系統可能隨時都會重新啟動而讓攻擊中斷。不過駭客也已經為這些狀況做好準備來確保無檔案病毒不用依賴端點保持連線。駭客會寫入註冊表並設定腳本好在系統重新啟動後執行,確保攻擊能夠繼續。這些能力對沒有為這類複雜性攻擊做好準備的企業構成了極大的威脅。
現在的安全軟體基於惡意軟體特徵碼來偵測攻擊。但因為無檔案病毒沒有感染系統的實體檔案,因此安全軟體不知道該看什麼。此外,這類威脅利用系統本身的命令來執行攻擊,進行網路流量和系統行為監控時可能沒有考慮到這一點。
“這些情況顯示出無檔案病毒有多危險。”
攻擊案例
有許多重大攻擊已經利用無檔案病毒感染進行。這些情況顯示出無檔案病毒的危險程度,卻也提供了組織該注意什麼地方的經驗。
無檔案攻擊讓 8台自動提款機吐鈔 80 萬美金
在2017 年早些時候,有超過100家銀行和金融機構遭受無檔案病毒攻擊感染,影響了40多個國家。The Hacker News指出這種技術在過去並非主流,使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將Meterpreter載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。
雖然這惡意軟體在2016年2月份被發現後就有些停擺,不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導,俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊,讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。
這次攻擊可能是用 PowerShell 將 Meterpreter載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。
UIWIX 跟隨 WannaCry 的腳步,使用無檔案病毒技術
在WannaCry(想哭)勒索病毒影響數千家企業後不久,其他變種也開始出現模仿。UIWIX勒索病毒使用跟WannaCry一樣的漏洞攻擊,不過還加上了無檔案病毒技術。根據趨勢科技的報告,如果UIWIX偵測到虛擬機或沙箱就會自行終止,從而避免被偵測和分析。這變種相當難被停止及從受感染系統移除,而且會使用兩種演算法進行加密。
幸運的是,有一種方法可以阻止這隻惡意軟體影響你的系統。當 WannaCry(想哭)勒索病毒出現之後,就釋出了重大修補程式來解決此漏洞。企業系統只要可以更新必要的修補程式就能夠對抗利用此安全漏洞的UIWIX及類似威脅。儘管進行改變可能需要一些時間,但確保系統受到保護還是值得的。
偵測隱形風險
要跟上不斷變化的威脅形勢並應對如無檔案病毒這樣的複雜性病毒對許多企業來說都是件令人頭大的事情。但是管理者可以採取一些措施來保護自己免於隱形風險的威脅,並且更好地偵測這些躲避技術。趨勢科技建議要部署最新的修補程式,採用最低權限原則並啟用客製化沙箱。企業還應該要採用最佳實作來防護和使用PowerShell,檢查系統內的可疑或惡意行為。IT部門還應考慮設定監視規則來偵測可能用於惡意PowerShell腳本內的命令。監控系統行為、防護可能的進入點及停用不必要組件對於防止無檔案病毒感染都相當重要。
無檔案病毒提醒了我們網路威脅的發展方向,日益複雜的新病毒及企業該如何做好應對這些風險的準備。了解這些技術可以幫助管理者了解要檢視的目標及如何保護好自身安全。想了解更多關於無檔案病毒及如何保護企業的資訊,請立即聯繫趨勢科技
趨勢科技曾經在今年的八月初探討過一個後門程式 (趨勢科技命名為 BKDR_ANDROM.ETIN) 是經由 JavaScript 惡意腳本 (JS_POWMET.DE) 以無檔案的形式進入受害系統。當時我們並不曉得該後門程式是如何進入受害系統,我們猜測它要不是經由使用者不小心下載到電腦上,不然就是經由其它惡意程式植入系統。
最近我們終於知道它的確切入侵途徑:它不是被其他惡意程式植入,也不是經由使用者下載,而是經由 USB 隨身碟感染。
技術細節
這個 USB 隨身碟上包含兩個惡意檔案 (趨勢科技將兩者皆命名為 TROJ_ANDROM.SVN),檔案名稱分別為:
此外也可能會用到一個捷徑檔案,捷徑的目標指向「%System%\cmd.exe /c start rundll32 {一個名稱很長的 DLL 程式庫檔案},{DLL 匯出的函式名稱}」。歹徒刻意將捷徑檔案的名稱取得跟隨身碟磁碟名稱相同,以誘騙使用者點選該檔案 (我們將此捷徑檔案命名為:LNK_GAMARUE.YYMN)。
惡意程式碼經過解密之後將直接載入記憶體中執行。此處,解密程式的檔案名稱就是加密金鑰。在感染過程中,沒有任何檔案會實際儲存到受害系統上。
解密後的程式碼會在系統登錄當中加入開機自動執行機碼,從這裡開始就銜接到我們上一篇分析文章描述的情形,所以此處不再重複說明整個感染過程,不變的是,系統最終將感染 BKDR_ANDROM.ETIN 後門程式。
圖 1:完整感染過程。 繼續閱讀