檔案掃描程式的加強讓惡意軟體作者選擇跳脫原本傳統惡意軟體的安裝行為。惡意軟體將自己複製到惡意程式碼內所指定的位置,再利用持續性策略(像是加入自動啟動功能以確保自己持續運作)的做法已經不再足夠。檔案掃描程式可以輕易地封鎖和偵測這些威脅。
趨勢科技注意到的一個手法是利用無檔案惡意軟體。跟大多數惡意軟體不同,無檔案惡意軟體將自己隱藏在難以掃描或偵測的位置。無檔案惡意軟體只存在於記憶體中,並直接寫入記憶體而非目標電腦的硬碟上。POWELIKS是一個無檔案惡意軟體的例子,它可以將惡意程式碼隱藏在Windows註冊表中。利用一個傳統惡意軟體將惡意程式碼加入註冊表內。
在2014年8月,POWELIKS 的閃躲技術及使用Windows PowerShell 讓它被視為可能出現在未來攻擊的危險工具。
無檔案感染技術的成功(可以從2014年後期出現的POWELIKS感染高峰看出)讓其他惡意軟體作者也想要跟著仿效。在本文中,我們將討論另一個知名的惡意軟體也具備無檔案感染行為。
Phasebot,源自Solarbot
另一個無檔案惡意軟體的例子是「Phasebot」,趨勢科技發現它出現在販賣惡意軟體和其他惡意線上工具的網站上,被自稱是惡意軟體的創造者加以兜售。我們將 Phasebot偵測為TROJ_PHASE.A。Phasebot 同時具備 rootkit和無檔案執行能力。
趨勢科技注意到這個惡意軟體和Solarbot有著相同的功能,這個舊「Botnet傀儡殭屍網路」程式第一次出現是在2013年底左右。當我們比較販賣這兩個惡意軟體的網站後就可以看得更加清楚。
圖1、比較Solarbot(上)和Phasebot(下)網站