無檔案惡意軟體攻擊不著痕跡,逾140家銀行政府企業受駭

「加三嘻行動哇 Yipee! 成為好友」

FacebookYoutubeTwitterInstagramTelegramLine

F-Secure 芬-安全提醒,近期140多家銀行、電信商和政府的網路中發現了無檔案惡意軟體攻擊,這些攻擊是存在隨機存取記憶體(RAM),而非硬碟上的惡意程式,它通常是在使用者造訪惡意網站或點選惡意郵件附件時進行感染,由於它不是以檔案的形式存在,因此可躲過防毒軟體的偵測。

Gartner 安全分析師 Avivah Litan 說:「無檔惡案意軟體攻擊變得越來越普遍,並且繞過了今天部署的大多數端點保護和檢測工具。」

在記憶體中執行攻擊而不是透過可執行檔的攻擊方式近期強勢回歸。去年有一些用這種技術展開針對銀行的明顯攻擊增加。事實上,這項技術在15年前就出現了。

2001 年 Office XP 中引入的安全性原則-在運行嵌入在檔中的未簽名巨集之前要求使用者許可權。這使得這類攻擊相對難以執行,因此,大多數攻擊者停止使用基於巨集的惡意軟體,傾向於其他惡意軟體分發方法。

然而15年後,基於巨集的惡意軟體正在重新出現。基於巨集的惡意軟體的復興與一個眾所周知的工具結合在一起:社會工程(social engineering)。事實證明,即便到了 2017 年,員工依然是企業安全防護最弱的一環。包含巨集惡意軟體的惡意檔,以及用於分發惡意軟體的電子郵件,都是犯罪份子精心製作的,以便與讀者產生共鳴。使用銷售發票,稅務通知和簡歷的業務相關的主題,用戶可以很容易上當不假思索打開附件。

芬-安全 F-Secure 實驗室的 Andy Patel 表示:「 無檔案的惡意軟體攻擊,目的在打敗只檢測可執行檔來識別惡意軟體的傳統防毒技術。」

攻擊者利用 Microsoft 自帶的工具(如 PowerShell)通過惡意巨集執行基於記憶體的攻擊,這些巨集會觸發 PowerShell 將惡意軟體載入到機器上。檢測這些攻擊可能很困難,因為巨集使用逃避技術和無檔案方法來逃避基於檔的檢測。

芬-安全 F-Secure 「2017 網路安全報告」解釋了什麼是巨集:巨集本質上是自動執行任務的有用工具。然而,它們具有安全風險,因為惡意軟體可以隱藏在看似無害的文檔中,並且可以欺騙受害者執行惡意程式碼。通常,受害者接收作為電子郵件附件的文檔,在打開時要求接收者啟用巨集來讀取附件內容。啟用後,惡意軟體代碼即被執行。

記憶體利用通常利用已知的漏洞。而且我們知道,修補漏洞是一些組織無法及時和有效完成的事情 – 根據芬-安全在 2015 年底進行的一項研究,約 70% 的組織缺乏修補程式管理解決方案。然而,根據最近 Gartner 題為「Get Ready for Fileless Malware(準備好迎接無文本惡意軟體的降臨)」的報告,企業應該做的事情之一是注重安全「衛生」習慣和修補漏洞管理。

通過限制對關鍵資源(如 Command&Control 伺服器)的存取,企業可最大程度地降低由無檔案惡意軟體造成的風險。即使惡意軟體僥倖得以進入企業網路,它不能存取 C&C 就無法造成任何危害 – 這一點可以通過我們的殭屍網路攔截(Botnet Blocker)功能實現。

芬-安全的 DeepGuard 專家 Jose Perez 表示:「DeepGuard 提供漏洞保護,以減少對合法應用程式的利用。它還通過阻止腳本的執行來提供針對基於腳本的攻擊的保護。這一切本質上是 DeepGuard 檢測法的核心:使用行為攻擊指標(indicators of compromise)。」

相關文章,請參考:

消息及資料來源:F-Secure 芬-安全

好友人數

大家對網站文章上的一個讚、+1及轉分享,都是對我們的最好的鼓勵及繼續下去的原動力,請大家不要吝嗇。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料

下一頁

連假Netflix追劇,小心勒索病毒伴身邊

週六 4 月 1 , 2017
「加三嘻行動哇 Yipee! 成為好友」 【Facebook、Youtube、Twitter、Ins […]
Shares