「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
F-Secure 芬-安全提醒,近期140多家銀行、電信商和政府的網路中發現了無檔案惡意軟體攻擊,這些攻擊是存在隨機存取記憶體(RAM),而非硬碟上的惡意程式,它通常是在使用者造訪惡意網站或點選惡意郵件附件時進行感染,由於它不是以檔案的形式存在,因此可躲過防毒軟體的偵測。
Gartner 安全分析師 Avivah Litan 說:「無檔惡案意軟體攻擊變得越來越普遍,並且繞過了今天部署的大多數端點保護和檢測工具。」
在記憶體中執行攻擊而不是透過可執行檔的攻擊方式近期強勢回歸。去年有一些用這種技術展開針對銀行的明顯攻擊增加。事實上,這項技術在15年前就出現了。
2001 年 Office XP 中引入的安全性原則-在運行嵌入在檔中的未簽名巨集之前要求使用者許可權。這使得這類攻擊相對難以執行,因此,大多數攻擊者停止使用基於巨集的惡意軟體,傾向於其他惡意軟體分發方法。
然而15年後,基於巨集的惡意軟體正在重新出現。基於巨集的惡意軟體的復興與一個眾所周知的工具結合在一起:社會工程(social engineering)。事實證明,即便到了 2017 年,員工依然是企業安全防護最弱的一環。包含巨集惡意軟體的惡意檔,以及用於分發惡意軟體的電子郵件,都是犯罪份子精心製作的,以便與讀者產生共鳴。使用銷售發票,稅務通知和簡歷的業務相關的主題,用戶可以很容易上當不假思索打開附件。
芬-安全 F-Secure 實驗室的 Andy Patel 表示:「 無檔案的惡意軟體攻擊,目的在打敗只檢測可執行檔來識別惡意軟體的傳統防毒技術。」
攻擊者利用 Microsoft 自帶的工具(如 PowerShell)通過惡意巨集執行基於記憶體的攻擊,這些巨集會觸發 PowerShell 將惡意軟體載入到機器上。檢測這些攻擊可能很困難,因為巨集使用逃避技術和無檔案方法來逃避基於檔的檢測。
芬-安全 F-Secure 「2017 網路安全報告」解釋了什麼是巨集:巨集本質上是自動執行任務的有用工具。然而,它們具有安全風險,因為惡意軟體可以隱藏在看似無害的文檔中,並且可以欺騙受害者執行惡意程式碼。通常,受害者接收作為電子郵件附件的文檔,在打開時要求接收者啟用巨集來讀取附件內容。啟用後,惡意軟體代碼即被執行。
記憶體利用通常利用已知的漏洞。而且我們知道,修補漏洞是一些組織無法及時和有效完成的事情 – 根據芬-安全在 2015 年底進行的一項研究,約 70% 的組織缺乏修補程式管理解決方案。然而,根據最近 Gartner 題為「Get Ready for Fileless Malware(準備好迎接無文本惡意軟體的降臨)」的報告,企業應該做的事情之一是注重安全「衛生」習慣和修補漏洞管理。
通過限制對關鍵資源(如 Command&Control 伺服器)的存取,企業可最大程度地降低由無檔案惡意軟體造成的風險。即使惡意軟體僥倖得以進入企業網路,它不能存取 C&C 就無法造成任何危害 – 這一點可以通過我們的殭屍網路攔截(Botnet Blocker)功能實現。
芬-安全的 DeepGuard 專家 Jose Perez 表示:「DeepGuard 提供漏洞保護,以減少對合法應用程式的利用。它還通過阻止腳本的執行來提供針對基於腳本的攻擊的保護。這一切本質上是 DeepGuard 檢測法的核心:使用行為攻擊指標(indicators of compromise)。」
相關文章,請參考:
- 3/31 世界備份日,別忘了備份你的電腦、手機資料喔!
- AV-TEST 公佈 2017 年 Windows 7 資安防毒軟體排行榜
- Google 打敗勁敵 Apple,成為 2017 全球最有價值品牌
- 2017年 Top 10 付費防毒資安軟體
- 【教學】LINE 資料佔用龐大空間,教你一鍵清理讓 LINE 瘦身!
- 【教學】Pixlr Editor 線上修圖,免費也能有 PhotoShop 去背、裁剪、濾鏡等功能
- 【教學】螢幕教學錄影不求人!史上超Easy好用的Movavi Screen Capture
- 【iOS 小技巧】隱藏祕技,教你同時關閉 iPhone 的語音控制與 Siri!
消息及資料來源:F-Secure 芬-安全