無檔案惡意程式(Fileless Malware)五種運作方式

無檔案惡意程式早已不是什麼新聞,但目前卻有 日益增加的趨勢。事實上,根據報導,在針對企業的攻擊得逞案例當中,有 77% 都是使用無檔案惡意程式。這類惡意程式不像傳統惡意程式那樣容易被發現,而且會利用各種技巧來長期躲藏在系統內部,因此隨時可能對企業流程或營運基礎架構造成危害。

以下詳細說明無檔案式威脅的幾種運作方式以及如何加以防範。

一.經由文件漏洞攻擊來啟動惡意程式

無檔案式威脅也有可能經由傳統方式進入系統,例如經由 JavaScript 或 VisualBasic (VBA) 惡意巨集腳本並內嵌在 Office 文件、PDF 檔案、壓縮檔或看似無害的檔案內部。這些巨集一旦執行,就會運用一些正常的工具 (如 PowerShell) 來進一步啟動、下載和執行更多程式碼、腳本或惡意檔案。這些巨集腳本通常也是經由 PowerShell 之類的工具來執行,並且會經過加密編碼,讓資安軟體無法輕易偵測觸發其執行的關鍵字。

這些腳本可利用 PowerShell 來讀取並執行本機系統上的執行檔,或者直接執行已經在記憶體中的程式碼。但即使是後者也不算完全的無檔案式攻擊,因為歹徒還是需要先透過檔案挾帶巨集來入侵系統。


無檔案式威脅透過文件漏洞發動攻擊的過程。

一般使用者可藉由培養一些良好的資安習慣並提升職場的資安意識,來盡可能避免遭受這類攻擊的威脅,例如:針對一些不請自來的郵件或檔案應提高警覺,尤其是在開啟時會要求使用者啟用巨集或腳本功能的檔案。

至於企業,則可採用一些端點防護產品來防範這類經由垃圾郵件散播的無檔案式攻擊,例如:趨勢科技Smart Protection Suites及   Worry-Free Business Security  這兩套解決方案都能妥善保護企業和使用者,偵測相關的惡意檔案和垃圾郵件,攔截所有相關的惡意連結。此外,還有趨勢科技Deep Discovery進階網路安全防護 可提供 電子郵件檢查來偵測惡意的附件檔案和網址以確保企業安全。趨勢科技Deep Discovery進階網路安全防護 可偵測從遠端執行的腳本,即使它並未下載到端點裝置上。 繼續閱讀

什麼是無檔案病毒(Fileless Malware)攻擊?

在2017 年有超過100家銀行和金融機構遭受無檔案病毒攻擊感染,影響了40多個國家。The Hacker News指出這種技術在過去並非主流,使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將 Meterpreter載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。

雖然這惡意軟體在2016年2月份被發現後就有些停擺,不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導,俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊,讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。

根據 Slate 報導指出,惡意軟體正以前所未有的速度發展著,每分鐘出現四隻新變種。這數字對企業來說已經夠大了,而這還不包括未被發現的威脅。許多攻擊者都開發了自己的技術來躲避常見的安全解決方案,好對受感染電腦造成最大的破壞和獲取更多的資料。

傳統安全軟體已經很努力地在追趕惡意軟體,不過復雜的無檔案病毒為企業帶來了更大的威脅。無檔案病毒在最近常被用來繞過傳統的檔案掃描技術,在受感染電腦內保持隱匿而不被發現。雖然這類病毒不像其他惡意軟體那樣能夠被很好的檢測,但無檔案病毒是企業所必須正視的隱藏性威脅。

一種隱藏的威脅:無檔案病毒(Fileless Malware

一般的作業系統和應用程式有著許多不同的漏洞,讓攻擊者可以利用來感染電腦並偷走敏感資料。通常被入侵完都還不發覺出現這些安全間隙 – 必須與時間賽跑來修補漏洞並阻止類似情況。無檔案病毒跟其他病毒一樣會利用程序漏洞 – 像是讓瀏覽器執行惡意程式碼、利用Microsoft Word巨集或使用Microsoft PowerShell工具,不一樣的是它會在不被察覺下進行。無檔案病毒透過特製的PowerShell腳本直接寫入電腦記憶體。根據TechRepublic撰稿人Jesus Vigo的說法,一旦取得存取權限,PowerShell會讓系統偷偷執行命令,這命令會根據攻擊者意圖及攻擊計畫時間長短而有所不同。

Fileless malware is written into code, making it hard to detect.

無檔案病毒被寫入程式碼使其難以偵測。

從正面看,駭客不知道自己有多長時間可以進行攻擊,因為系統可能隨時都會重新啟動而讓攻擊中斷。不過駭客也已經為這些狀況做好準備來確保無檔案病毒不用依賴端點保持連線。駭客會寫入註冊表並設定腳本好在系統重新啟動後執行,確保攻擊能夠繼續。這些能力對沒有為這類複雜性攻擊做好準備的企業構成了極大的威脅。

現在的安全軟體基於惡意軟體特徵碼來偵測攻擊。但因為無檔案病毒沒有感染系統的實體檔案,因此安全軟體不知道該看什麼。此外,這類威脅利用系統本身的命令來執行攻擊,進行網路流量和系統行為監控時可能沒有考慮到這一點。

“這些情況顯示出無檔案病毒有多危險。”

 

攻擊案例

有許多重大攻擊已經利用無檔案病毒感染進行。這些情況顯示出無檔案病毒的危險程度,卻也提供了組織該注意什麼地方的經驗。

無檔案攻擊讓 8台自動提款機吐鈔 80 萬美金

在2017 年早些時候,有超過100家銀行和金融機構遭受無檔案病毒攻擊感染,影響了40多個國家。The Hacker News指出這種技術在過去並非主流,使得企業難以適時地對新威脅作出反應。一家銀行的安全團隊在一台Microsoft網域控制器的記憶體內找到一份Meterpreter而發現了該惡意軟體。此攻擊可能是用PowerShell來將Meterpreter載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。

雖然這惡意軟體在2016年2月份被發現後就有些停擺,不過在幾個月後還是讓駭客們有了收穫。根據The Hacker News的報導,俄羅斯至少有8台自動提款機遭受無檔案病毒攻擊,讓駭客控制機器並偷走了80萬美元。受影響銀行在自動提款機或後端網路都找不到任何惡意軟體感染的痕跡。只在自動提款機的硬碟上發現兩份惡意軟體日誌檔案。據信惡意軟體是透過遠端管理模組安裝和執行。

fileless malware

這次攻擊可能是用 PowerShell 將 Meterpreter載入記憶體而非寫入硬碟,目的是要入侵控制自動提款機的電腦。

 

UIWIX 跟隨 WannaCry 的腳步,使用無檔案病毒技術

WannaCry(想哭)勒索病毒影響數千家企業後不久,其他變種也開始出現模仿。UIWIX勒索病毒使用跟WannaCry一樣的漏洞攻擊,不過還加上了無檔案病毒技術。根據趨勢科技的報告,如果UIWIX偵測到虛擬機或沙箱就會自行終止,從而避免被偵測和分析。這變種相當難被停止及從受感染系統移除,而且會使用兩種演算法進行加密。

幸運的是,有一種方法可以阻止這隻惡意軟體影響你的系統。當 WannaCry(想哭)勒索病毒出現之後,就釋出了重大修補程式來解決此漏洞。企業系統只要可以更新必要的修補程式就能夠對抗利用此安全漏洞的UIWIX及類似威脅。儘管進行改變可能需要一些時間,但確保系統受到保護還是值得的。

偵測隱形風險

要跟上不斷變化的威脅形勢並應對如無檔案病毒這樣的複雜性病毒對許多企業來說都是件令人頭大的事情。但是管理者可以採取一些措施來保護自己免於隱形風險的威脅,並且更好地偵測這些躲避技術。趨勢科技建議要部署最新的修補程式,採用最低權限原則並啟用客製化沙箱。企業還應該要採用最佳實作來防護和使用PowerShell,檢查系統內的可疑或惡意行為。IT部門還應考慮設定監視規則來偵測可能用於惡意PowerShell腳本內的命令。監控系統行為、防護可能的進入點及停用不必要組件對於防止無檔案病毒感染都相當重要。

無檔案病毒提醒了我們網路威脅的發展方向,日益複雜的新病毒及企業該如何做好應對這些風險的準備。了解這些技術可以幫助管理者了解要檢視的目標及如何保護好自身安全。想了解更多關於無檔案病毒及如何保護企業的資訊,請立即聯繫趨勢科技

 

@原文出處:Fileless Malware: A Hidden Threat

趨勢科技:2018上半年無檔案攻擊事件成長56%

微軟最近報告說他們的進階威脅防護工具偵測並封鎖了兩個重度混淆過的惡意腳本。這些威脅顯然地使用了Sharpshooter技術(曾紀錄並發表於一篇英國資安公司2017年的部落格文章)。

微軟的報告詳細說明了這難以被捕捉的病毒行為 – 它沒有觸動防毒掃描,使用合法程序來執行腳本載入,在硬碟上也沒有留下任何痕跡。因為這些特性,他們將這些腳本歸類為無檔案威脅

通常無檔案病毒都能夠躲避傳統偵測技術,因為它不會在受害者系統上產生惡意檔案。相對地,它會將惡意程式碼注入執行中的應用程式記憶體或利用系統或設備上的合法工具

這些被偵測到的無檔案病毒是用兩個無檔案階段完成攻擊,包括用一個難以被偵測的.NET執行檔進行DNS查詢(之前就發生過)下載資料,接著用來初始化和解碼惡意軟體核心。這核心也是無檔案威脅,因為它在記憶體內執行而無需寫入硬碟。

他們在報告作出此惡意軟體可能只是測試而非真正攻擊的結論。

 

無檔案病毒在2018年普及

惡意軟體偵測技術在不斷地跟上威脅成長,迫使惡意份子尋找躲避技術和進入點。我們在年中的資安綜合報告詳細介紹了讓檔案型偵測技術頭疼的惡意軟體在大量成長。出現了各種不同類型 – 小型惡意軟體,巨集病毒,當然還有無檔案病毒。

無檔案病毒在這一年多以來都是資安領域的重大威脅。在2017年6月,我們看到了自毀型的SOREBRECT無檔案勒索病毒;之後我也報導了木馬病毒JS_POWMET,這是隻完全無檔案的惡意軟體。我們也注意到使用到這類型惡意軟體的資安事件在增加。

從年初到2018年6月,我們可以看到趨勢科技產品所封鎖的相關事件成長了56%。

趨勢科技2018上半年封鎖的無檔案病毒事件
圖1、趨勢科技2018上半年封鎖的無檔案病毒事件

 

最近2018年7月的報導顯示出病毒作者持續地在創新無檔案技術。有許多關於PowerGhost無檔案虛擬貨幣挖礦病毒正在瞄準企業系統的報告。惡意軟體利用合法工具PowerShell及EternalBlue漏洞在各個組織的設備和伺服器間散播而不被偵測。

 

解決問題

大多數這類威脅都使用了多組件,留下了檔案以外的線索 – 來自散播機制的電子郵件或連結,在伺服器上進行惡意行為的證據,或出現在網路/系統日誌內的行為線索。根據微軟的說法,一旦Sharpshooter技術公開就會被濫用並用於攻擊。為了偵測無檔案威脅,他們使用了多層次做法,包括反惡意程式碼掃描介面(AMSI)、行為監控和開機磁區保護技術。

這代表了企業需要跨世代的安全解決方案並且採用能夠橫跨整個網路的多層次防禦技術整合來應對無檔案威脅。趨勢科技Smart Protection Suites具備了多種功能(如高保真機器學習、網頁信譽評比服務、行為監控和應用程式控制以及漏洞防護),可以最大限度地降低此威脅影響。趨勢科技的Endpoint Sensor也可以有效地監控事件,因為此產品可以幫助快速檢查觸發惡意活動的程序或事件。

 

@原文出處:Microsoft Detection Tools Sniff Out Fileless Malware

純無檔案式惡意程式 JS_POWMET, 90% 的感染案例在亞太區

最近,網路駭客開始專心研究如何在攻擊過程當中不留下痕跡,因此無檔案式惡意程式 (如最近的 SOREBRECT 勒索病毒) 未來將更加普遍。不過,這類惡意程式有很多只在潛入使用者系統時才不寫入檔案,但最後在執行真正的惡意程式時還是會在磁碟上產生檔案,所以純無檔案式的攻擊畢竟還是少數。因此,我們覺得有必要跟大家介紹一個新的木馬程式,叫做「JS_POWMET」(趨勢科技命名為 JS_POWMET.DE),該程式會利用 Windows 系統登錄中的開機自動執行機碼來進入電腦。其感染過程完全不會在磁碟上產生檔案,所以很難用沙盒模擬分析技術來加以偵測,同時也加深了資安人員的研究難度。

根據趨勢科技 Smart Protection Network (SPN) 全球威脅情報網所收到的初步資料顯示,感染 JS_POWMET 最嚴重的是亞太地區,將近 90% 的感染案例都來自該區域。

技術細節

Figure 1

 圖 1:JS_POWMET 感染過程示意圖。

儘管此木馬程式進入系統的確切管道還無法確定,但很可能是因為使用者瀏覽了惡意網站才下載到該木馬程式,或者是由其他惡意程式植入系統當中。但很肯定的是,當該惡意程式下載到系統上時,系統登錄當中就會出現以下機碼: 繼續閱讀