什麼是無檔案病毒（Fileless Malware）攻擊?

2018 年 11 月 27 日2018 年 12 月 10 日趨勢科技 TrendMicro

在2017 年有超過100家銀行和金融機構遭受無檔案病毒攻擊感染，影響了40多個國家。The Hacker News指出這種技術在過去並非主流，使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將 Meterpreter載入記憶體而非寫入硬碟，目的是要入侵控制自動提款機的電腦。

雖然這惡意軟體在2016年2月份被發現後就有些停擺，不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導，俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊，讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。

根據 Slate 報導指出，惡意軟體正以前所未有的速度發展著，每分鐘出現四隻新變種。這數字對企業來說已經夠大了，而這還不包括未被發現的威脅。許多攻擊者都開發了自己的技術來躲避常見的安全解決方案，好對受感染電腦造成最大的破壞和獲取更多的資料。

傳統安全軟體已經很努力地在追趕惡意軟體，不過復雜的無檔案病毒為企業帶來了更大的威脅。無檔案病毒在最近常被用來繞過傳統的檔案掃描技術，在受感染電腦內保持隱匿而不被發現。雖然這類病毒不像其他惡意軟體那樣能夠被很好的檢測，但無檔案病毒是企業所必須正視的隱藏性威脅。

一種隱藏的威脅:無檔案病毒（Fileless Malware）

一般的作業系統和應用程式有著許多不同的漏洞，讓攻擊者可以利用來感染電腦並偷走敏感資料。通常被入侵完都還不發覺出現這些安全間隙 – 必須與時間賽跑來修補漏洞並阻止類似情況。無檔案病毒跟其他病毒一樣會利用程序漏洞 – 像是讓瀏覽器執行惡意程式碼、利用Microsoft Word巨集或使用Microsoft PowerShell工具，不一樣的是它會在不被察覺下進行。無檔案病毒透過特製的PowerShell腳本直接寫入電腦記憶體。根據TechRepublic撰稿人Jesus Vigo的說法，一旦取得存取權限，PowerShell會讓系統偷偷執行命令，這命令會根據攻擊者意圖及攻擊計畫時間長短而有所不同。

無檔案病毒被寫入程式碼使其難以偵測。

從正面看，駭客不知道自己有多長時間可以進行攻擊，因為系統可能隨時都會重新啟動而讓攻擊中斷。不過駭客也已經為這些狀況做好準備來確保無檔案病毒不用依賴端點保持連線。駭客會寫入註冊表並設定腳本好在系統重新啟動後執行，確保攻擊能夠繼續。這些能力對沒有為這類複雜性攻擊做好準備的企業構成了極大的威脅。

現在的安全軟體基於惡意軟體特徵碼來偵測攻擊。但因為無檔案病毒沒有感染系統的實體檔案，因此安全軟體不知道該看什麼。此外，這類威脅利用系統本身的命令來執行攻擊，進行網路流量和系統行為監控時可能沒有考慮到這一點。

“這些情況顯示出無檔案病毒有多危險。”

攻擊案例

有許多重大攻擊已經利用無檔案病毒感染進行。這些情況顯示出無檔案病毒的危險程度，卻也提供了組織該注意什麼地方的經驗。

無檔案攻擊讓 8台自動提款機吐鈔 80 萬美金

在2017 年早些時候，有超過100家銀行和金融機構遭受無檔案病毒攻擊感染，影響了40多個國家。The Hacker News指出這種技術在過去並非主流，使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將Meterpreter載入記憶體而非寫入硬碟，目的是要入侵控制自動提款機的電腦。

雖然這惡意軟體在2016年2月份被發現後就有些停擺，不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導，俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊，讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。

這次攻擊可能是用 PowerShell 將 Meterpreter載入記憶體而非寫入硬碟，目的是要入侵控制自動提款機的電腦。

UIWIX 跟隨 WannaCry 的腳步,使用無檔案病毒技術

在WannaCry(想哭)勒索病毒影響數千家企業後不久，其他變種也開始出現模仿。UIWIX勒索病毒使用跟WannaCry一樣的漏洞攻擊，不過還加上了無檔案病毒技術。根據趨勢科技的報告，如果UIWIX偵測到虛擬機或沙箱就會自行終止，從而避免被偵測和分析。這變種相當難被停止及從受感染系統移除，而且會使用兩種演算法進行加密。

幸運的是，有一種方法可以阻止這隻惡意軟體影響你的系統。當 WannaCry(想哭)勒索病毒出現之後，就釋出了重大修補程式來解決此漏洞。企業系統只要可以更新必要的修補程式就能夠對抗利用此安全漏洞的UIWIX及類似威脅。儘管進行改變可能需要一些時間，但確保系統受到保護還是值得的。

偵測隱形風險

要跟上不斷變化的威脅形勢並應對如無檔案病毒這樣的複雜性病毒對許多企業來說都是件令人頭大的事情。但是管理者可以採取一些措施來保護自己免於隱形風險的威脅，並且更好地偵測這些躲避技術。趨勢科技建議要部署最新的修補程式，採用最低權限原則並啟用客製化沙箱。企業還應該要採用最佳實作來防護和使用PowerShell，檢查系統內的可疑或惡意行為。IT部門還應考慮設定監視規則來偵測可能用於惡意PowerShell腳本內的命令。監控系統行為、防護可能的進入點及停用不必要組件對於防止無檔案病毒感染都相當重要。

無檔案病毒提醒了我們網路威脅的發展方向，日益複雜的新病毒及企業該如何做好應對這些風險的準備。了解這些技術可以幫助管理者了解要檢視的目標及如何保護好自身安全。想了解更多關於無檔案病毒及如何保護企業的資訊，請立即聯繫趨勢科技

@原文出處：Fileless Malware: A Hidden Threat

趨勢科技籲關注ATM攻擊走勢，持續探索防禦自保之道

2017 年 12 月 13 日2017 年 12 月 14 日 Trend Labs 趨勢科技全球技術支援與研發中心

從古至今，只要錢財聚集之處，就容易成為犯罪溫床。到銀行搶錢，必須突破層層保全與警衛，得手機率低且風險大，相形之下，隻身佇立在各角落的ATM，看在犯罪者眼中，確實是更易下手的標的，加上攻擊手法會流傳於暗網市集，學習精進空間大，導致ATM攻擊事件日趨頻繁。

趨勢科技資深威脅研究專家Fyodor Yarochkin，日前透過一場「The Age of Broken ATMs那些年，他們搶的ATM」演講指出，回溯 ATM攻擊史，最令人印象深刻的一次演繹，為 2010年黑帽大會上由已故白帽駭客 Barnaby Jack 展示如何駭進 ATM令其吐鈔。

Fyodor說，ATM攻擊者的明確目標就是拿錢，無論透過實體攻擊、盜拷卡片資料、Jackpotting(利用惡意程式控制吐鈔)，或TRF(Transaction Reverse Fraud)，全都圍繞在此目的；其中在去年(2016)震驚全臺的第一銀行ATM盜領事件，即屬於Jackpotting。

3D 列印技術盛行，但ATM惡意程式更令人擔憂

實體攻擊的常見型態，乃是借助炸藥、鑽探等工具，將ATM整臺搬走，是最耗時費力、也最易敗露行跡的攻擊手法，因此逐漸式微。至於發生頻繁曾經頗高的Skimmer或Shimmers，前者意指傳統磁條卡側錄器，後者則為晶片卡側錄器，它們的目的不在讓ATM吐鈔，亦非獲取鈔票箱裡的錢，而是記錄使用者的卡片資訊；Fyodor認為，隨著3D列印技術的發達，唯恐降低Skimmer或Shimmers製作門檻，使得原本不具足夠Know-how的宵小之徒，皆可能從事非法側錄動作，可謂一大隱憂。

但更值得人們嚴陣以待的攻擊手段，則為ATM惡意程式；只因此類犯罪的複雜性不斷攀升，攻擊範圍與規模日益擴大，對於銀行而言，堪稱是殺傷力最強的威脅之一。

回顧ATM惡意程式演進歷程，2009年資安研究人員發現在俄羅斯、烏克蘭有一隻Skimer軟體，不僅能在ATM竊取用戶的錢，也能將ATM變為側錄機，算是史上第一隻ATM惡意程式。

爾後從2014年開始，ATM惡意程式推陳出新的速度不斷提升，其間不管是2014、2016年期間偷遍歐洲與東南亞的Padpin(含變種)，及同樣發生在2016年的ATMitch、Alice，及臺灣的ATM盜領事件，都相當駭人聽聞。

Fyodor回憶2016年ATM盜領案爆發當時，許多銀行如驚弓之鳥，紛紛把特定廠牌ATM換置下架，他認為並非有效做法，因這起攻擊事件的癥結，並不是出在ATM訊號問題，而在於背後操刀的駭客已鎖定攻擊對象，接著分析該對象的ATM設備漏洞；換言之只要目標對象持續被鎖定，即便將ATM悉數換過，仍有很大機會遇駭。

疑似與一銀案相同班底的犯罪者，可能的作案地點至少包括了吉爾吉斯、塔吉克等國家，遭駭客攻破的ATM廠牌機型，與一銀案件皆不相同。

ATM惡意程式觸角，可能延伸至其他設備

Fyodor接著說，2017年ATM惡意程式持續演進，例如發生在墨西哥與秘魯、號稱不需銀行卡即可清空ATM鈔票的Ploutus.D，有趣之處在於該程式必須靠授權金鑰啟動，時間僅24小時，堪稱是暗黑市集中新穎的商業模式。至於發生在印度的Rufus，是一款USB開機隨身碟軟體，只要駭客設法插入ATM的USB埠，就能讓機器輕鬆吐錢。

今年10月，暗黑市集中有人叫賣ATM惡意軟體工具箱，背後發起人為「Cutlet Maker」，針對ATM惡意軟體提供詳細使用手冊，強調只要利用供應商的API，無需費心取得ATM用戶資訊，即可成功從ATM盜取金錢。

總括而論，Fyodor認為展望未來，ATM攻擊行為不會消失，且將出現更大規模演化，舉凡自助付款機(UPT)、收銀機(POS)或自動售票機，都可能遭到駭客染指，值得留意。

由於人們對於ATM攻擊議題的關注度持續增高，趨勢科技特別透過粉絲頁接受相關提問，因反應熱烈，最終Fyodor偕同趨勢科技資深研究員Philippe Lin精選5個常見問題，並由Philippe進行回答。

針對備受關切議題，趨勢科技進行解惑

問題之一為「網路 ATM 與實體 ATM 的安全性是否有差異？」，Philippe答覆兩者運作方式歧異，網路ATM理論上需要你在電腦執行另一擴充套件，駭客埋伏在水坑(Waterhole)盯哨，Fingerprint你是否為某特定銀行的用戶，再進行攻擊。問題之二為「實體隔離是否可解決一銀案問題？」，Philippe認為此次一銀案的所有攻擊皆透過網際網路進行，故實體隔離可有效增加攻擊難度，但相信駭客仍會嚐試找尋別的出路。繼續閱讀

《資安專家解惑》關於那些年他們搶的 ATM,你可能也想知道的五個提問

2017 年 12 月 08 日2017 年 12 月 07 日趨勢科技 TrendMicro

趨勢科技資安專家Miaoski 和Fyodor,出席了 12/8(五) 的台灣駭客年會 HITCON 2018,主講的題目是: The Age of Broken ATMs (那些年，他們搶的 ATM),趨勢科技粉絲頁辦了一個互動活動,邀請粉絲在活動前提出最想要問講師的題目,活動反應熱烈,兩位講師精心挑選了以下五個題目,整理回答如下:
(稍晚本部落格也會整理出相關會後報導,請期待)

(1) Huang Yaya: 網路 ATM 與實體 ATM 的安全性是否有差異

這兩者運作方式十分不同。網路 ATM 是你要在電腦中跑另一個擴充套件，透過 waterhole 攻擊，可以 fingerprint 你是否為某個特定銀行的用戶，再進行攻擊。目前我們還沒看過針對網路ATM的攻擊，以後說不定會有。

(2) Ben Chien 實體隔離(ATM網路)就真的可以解決一銀案的問題嗎?

這次第一銀行的 case 因為所有的攻擊都是透過連上 internet 進行的，所以實體隔離可以有效增加攻擊的難度，但我們相信駭客還是會尋找不同的方式進行攻擊。

(3) Nicole Yu: 除了晶片密碼6-12位設計外 有更安全的防盜錄機制? (Poli Le 先問的，「導入生物辨識技術後的atm是否能夠完全防範駭客攻擊?」 我們把兩題合併回答)

導入生物辨識技術，比方說虹膜、指紋、心跳等等，可以更安全的防止盜錄，但是這只能防止側錄提款卡帳號，何況跨國提領能不能用生物辨識技術，還是另一個問題。此外，我們看到的 ATM 攻擊，包括了直接攻擊 dispenser 、存錢後再把錢夾出來、透過網路入侵 ATM 、把 ATM 整台搬走等等方式，所以導入生物辨識技術只能解決一小部份的問題。

(4) 蘇嗶: 為何ATM攻擊案例在全球漸多？是否ATM的防駭客攻擊系統遲遲沒有更新呢？

事實上各國的銀行有在加強 ATM 的防禦，比方說 skimmer 以前很普遍，但最近已經愈來愈少看到了。

有一個笑話是這樣說的，「你為什麼要去銀行搶錢？」「因為錢存在銀行裡面啊！」如果你要搶錢的話，銀行有保全和警衛，但 ATM 只有它自己。我們都知道罪犯會找最容易下手的目標，所以 ATM 就是一個好目標。此外，黑社會的技術會互相流傳，只要有人發現一個攻擊 ATM 的方法，其它人就會學走。

(5) Rock Chiang: ATM系統為何都使用微軟的WINDOWS….

提款機本身也是一台電腦，需要容易維護、也需要維護的 IT 人材。此外，為了節省維護成本、增加相容性，Microsoft 在 1991 年開始倡議 XFS (eXtended Financial Service) ，後來漸漸成為業界標準。這也是 Microsoft Windows 普遍用在提款機的一大主因。

延伸閱讀:從臨機攻擊到網路攻擊：ATM 惡意程式演化史(內含趨勢科技與歐洲刑警組織-Europol 共同發表研究報告)