無檔案型態惡意攻擊(Fileless Attack)暴增,記憶體防護成為唯一王道

在今年三月,以色列資安廠商Morphisec的研究員開始調查一個新的無檔案型態威脅攻擊(Fileless Attack),這個攻擊利用傳送至知名企業的網路釣魚郵件,在其中夾帶啟用巨集的 WORD 文件。在這個調查過程中,我們發現非常精密的無檔案型態攻擊架構,手法很類似最近幾個常討論的攻擊陣營。根據我們的發現,這個駭客團體組織發動最近幾次針對金融機構、政府組織以及知名企業所發動的精密複雜攻擊。

發現新的攻擊架構

Morphisec 持續針對新的攻擊,尤其是低偵測率的精密複雜攻擊,利用自己的端點威脅防護技術廣泛測試防護效果。在調查此類攻擊的同時,我們不僅是觀察到在不同目標上數個變異的樣本,也一併發現完整的攻擊架構。我們認定,這個攻擊架構主導最近針對銀行、企業與政府組織所發動的攻擊。

一開始的感染起源於被當作武器的 WORD 文件,其中夾帶的 PowerShell 會開啟後門並建立持續性。所謂持續性就是將攻擊程序寫入到磁碟中,確保重開機之後還能繼續發動攻擊。在大多數情況,這個時間點過後,剩餘的 PowerShell 指令將會利用指令伺服器傳送到受害者。經過整個三天的過程後,依照目標類型的不同,我們觀察到不同的指令被傳送到目標當中。對於某些目標,這個攻擊完全是不使用任何檔案,最後直接在記憶體中開啟 Meterpreter 連線。

綜合各家報導,無檔案攻擊的事件正在暴增,問題可能比任何人的想像都來的嚴重。這種類型的惡意程式只會存在於記憶體中,然後操控指令直接從網際網路發送,磁碟中沒有任何執行檔,所以基本上根本就是隱形。

上個月,Kaspersky 研究室發現有一個多達140家的銀行、政府單位與企業所構成的受害者遭受無檔案型態惡意程式攻擊,並且推測實際受害者可能遠多於這個數字。防毒軟體或是次世代解決方案,包括人工智慧技術,遇到這些無檔案型態的記憶體攻擊根本就是毫無反應能力。正是因為這樣,駭客組織相當擅長利用這類攻擊,所使用的工具到處都可以取得。使得加密攻擊動作變的相對容易,更容易躲過傳統資安產品的檢查。

建議

這裡我們看到單一駭客團體利用到處可以取得的工具就可以造成非常大的傷害。由於這類犯罪團體的數目只會增加,對於記憶體防護的需求成為迫切必要,Morphisec Endpoint Threat Prevention 將會是最好的選擇。

 

如需更多關於 Morphisec 的相關資訊,請馬上與我們聯絡!

Posted in 新聞 and tagged , , , , .