F-Secure的安全專家提醒,近期140多家銀行、電信商和政府的網路中發現了「無檔案」惡意軟體攻擊,這些攻擊是存在隨機存取記憶體(RAM)而非硬碟上的惡意程式,它通常是在使用者造訪惡意網站或點選惡意郵件附件時進行感染,由於它不是以檔案的形式存在,因此可躲過防毒軟體的偵測。
Gartner安全分析師Avivah Litan說:「無檔案惡意軟體攻擊變得越來越普遍,並且繞過了今天部署的大多數端點保護和檢測工具。」
在記憶體中執行攻擊而不是透過可執行檔的攻擊方式近期強勢回歸。去年有一些用這種技術展開針對銀行的明顯攻擊增加。事實上,這項技術在15年前就出現了。
2001年Office XP中引入的安全性原則-在運行嵌入在檔中的未簽名巨集之前要求使用者許可權。這使得這類攻擊相對難以執行,因此,大多數攻擊者停止使用基於巨集的惡意軟體,傾向於其他惡意軟體分發方法。
惡意軟體與巨集指令的結合
然而15年後,基於巨集的惡意軟體正在重新出現。
基於巨集的惡意軟體之所以會復興,是因為它與一個眾所周知的工具結合在一起:社會工程(social engineering)。即便到了2017年,員工依然是企業安全防護最弱的一環。包含巨集惡意軟體的惡意檔,以及用於分發惡意軟體的電子郵件,都是犯罪份子精心製作的,以便與讀者產生共鳴。使用銷售發票,稅務通知和簡歷的業務相關的主題,用戶可以很容易上當不假思索打開附件。
芬-安全F-Secure實驗室的Andy Patel表示:「 無檔案的惡意軟體攻擊,目的在打敗只檢測可執行檔來識別惡意軟體的傳統防毒技術。」
攻擊者利用Microsoft自帶的工具(如PowerShell)通過惡意巨集執行基於記憶體的攻擊,這些巨集會觸發PowerShell將惡意軟體載入到機器上。檢測這些攻擊可能很困難,因為巨集使用逃避技術和無檔案方法來逃避基於檔案的檢測方式。
巨集本質上是自動執行任務的有用工具。然而,它們具有安全風險,因為惡意軟體可以隱藏在看似無害的文檔中,並且可以欺騙受害者執行惡意程式碼。通常,受害者接收作為電子郵件附件,在打開時要求接收者啟用巨集來讀取附件內容。啟用後,惡意軟體程式碼即被執行。
記憶體利用通常利用已知的漏洞。而且,修補漏洞是一些組織無法及時和有效完成的事情。根據芬-安全在2015年底進行的一項研究,約70%的組織缺乏修補程式管理解決方案。然而,根據最近Gartner題為「Get Ready for Fileless Malware(準備好迎接無文本惡意軟體的降臨)」的報告,企業應該做的事情之一是注重安全”衛生“習慣和修補漏洞管理。
通過限制對關鍵資源(如Command&Control伺服器)的存取,企業可最大程度地降低由無檔案惡意軟體造成的風險。即使惡意軟體僥倖得以進入企業網路,它不能存取C&C就無法造成任何危害 - 這一點可以通過我們的殭屍網路攔截(Botnet Blocker)功能實現。
芬-安全的DeepGuard專家Jose Perez表示:「DeepGuard提供漏洞保護,以減少對合法應用程式的利用。它還通過阻止腳本的執行來提供針對基於腳本的攻擊的保護。這一切本質上是DeepGuard檢測法的核心:使用行為攻擊指標(indicators of compromise)。」
本文授權轉載自:T客邦
