我们在听闻资安攻击事件时,都会先留意到出现明显现象的手法,像是会将档案加密,并要求电脑使用者支付赎金的勒索软件,或是会消耗大量运算资源,导致电脑难以正常运作的挖矿攻击等。近2年来,许多资安厂商推出的年度报告中,上述的2大攻击型态,虽是所有人留意的焦点,但今年以来,趋势科技与McAfee两家资安大厂,特别提到无档案式攻击手法(Fileless)大幅增长的情形,而以次世代防毒起家的SentinelOne、Carbon△Black等,也在最近推出的报告中,印证这种现象的严重性。
为了回避电脑上防毒软件的侦测,时下许多的攻击中,便采取了所谓的无执行档案手法,在这类手法中,恶意软件实际执行的位置为记忆体内,不会在电脑的储存装置上出现,因此,往往需要正在执行时,才能从记忆体内容中发现,侦测的难度也非常高。
事实上,这种执行恶意软件攻击手法,最早可追溯到30年前(1987年)的Lehigh病毒,它埋藏在记忆体中,能在使用者将电脑与DOS磁片连接时,感染磁片上的COMMAND.COM档案。而随着时代的演进,通过像是Windows作业系统内建的PowerShell,或是JavaScript下达指令,将恶意软件埋藏到记忆体内执行的做法,便成为现在运用的主要管道。这包含了较为近期的网站漏洞渗透工具(Exploit△Kit),像是Magnitude,就是不需先经过储存装置,而直接在记忆体中发动攻击的例子。
无档案攻击的运作方式,大致可分为图中的6个过程,首先是使用者受到钓鱼邮件等攻击后,骇客借由特定软件弱点(如Flash)渗透后,将带有恶意内容的指令码,写入合法的处理程式所使用的记忆体内,以此连线到C△C中继站伺服器,并下载完整的作案工具到记忆体内执行。(图片来源/Morphisec)
无档案型态攻击行为急速成长趋势科技在今年上半年度报告中,特别列出这种攻击型态明显增加的情形。该公司指出,他们每月拉黑的事件数量,从1月份的24,430件,到5月、6月接近4万件(39,988件与38,189件),增加接近一倍的数量。
防毒大厂发现到无档案式攻击大幅成长的现象,趋势科技在今年的上半年度报告中,就呈现了5月与6月的攻击数量,较1月时多出许多。(图片来源/趋势科技)
更进一步来看,McAfee在每季推出一次的威胁报告中,则是针对利用JavaScript和PowerShell的攻击手法,提出相关的发现。今年3月时,他们指出通过PowserShell触发的恶意软件,不论是新的攻击手法还是事件数量,去年度都大幅增加,而JavaScirpt恶意软件也有持续的成长。
而在今年6月份的报告中,利用PowerShell的恶意软件增加幅度趋缓,新的恶意软件数量则是明显少了许多。不过,McAfee指出,从去年下半年开始,使用LNK捷径档案,借此启动PowerShell指令的做法,则是成为另一个大幅增加的现象。
在今年6月McAfee推出的每季威胁报告中,则是呈现了近期JavaScript与PowerShell滥用增加的现象,不过,值得留意的是,虽然近期PowerShell受到骇客广泛运用在攻击上,但实际上采用JavaScript的做法才是大宗。(图片来源/McAfee)
在8月28日,SentinelOne刚发布的2018上半年企业风险指标报告中,指出无档案式攻击的数量,从今年1月到6月,只有短短5个月之间,竟然多出了接近一倍。而值得注意的是,勒索软件的次数,远少于前述的攻击手法。
根据该公司的资料,无档案式的攻击数量,在今年1月份,平均每1,000台电脑中,只有21.9次攻击,但到6月份时,增加到42.5次,几乎是快要多出一倍(94%)。而勒索软件事件次数,这6个月里,从每千台电脑每月出现5.6次到14.4次不等。此外,虽然内建于Windows电脑的PowerShell,是无档案攻击常用的手法,但这份报告中,采用这种做法的比例并不高,每千台电脑中,每月只有1.5至5.2次不等。这份报告的内容,也与前述趋势科技和McAfee研究成果相符。
以次世代防毒起家的SentinelOne,最近发布了今年上半年度的企业风险指标,指出1月到6月中,无档案式(Fileless)攻击事件比例大幅增加,且在5个月内接近翻倍的情况,但PowerShell攻击的次数则并未随之成长。(图片来源/SentinelOne)
而同样是次世代防毒起家的Carbon△Black,他们在今年1月发表的报告中,也指出无档案式攻击的严重性。根据该公司的研究,去年的无档案式攻击事件数量,超过了一般的恶意软件档案攻击(52%与48%)。他们也对资安研究员进行访查,结果发现,相较于一般的恶意软件,普遍认为无档案式的攻击手法会为企业带来更多的风险,而且超过6成的研究员(64%), 也留意到此类攻击明显增加的现象。
在Carbon△Black今年年初发表的报告中,也强调无档案式攻击(这里以Non-malware称呼)手法泛滥的情形,而且多达63%研究员,已经留意到相关攻击事件数量的显着成长。(图片来源/Carbon△Black)
与其他攻击手法混合运用是未来趋势无档案式攻击手法滥用的现象,也有其他端点防护厂商,注意到这样的情况,并在博客上发表他们的看法。像是Malwarebytes实验室最近的一篇文章中,就点名锁定中大型企业发动攻击的SamSam勒索软件,这个攻击手法虽然会在磁碟上写入恶意软件档案,但内容会受到加密保护,只有骇客解密之后,才会在受害电脑的记忆体中执行。
该实验室认为,像SamSam这样部分无档案式(Semi-Fileless)的攻击手法,虽然会先存放恶意软件到受害者电脑的磁碟,但企业仍然难以分析是否有害,而且除非通过骇客手上的脚本,不然这些档案也不会执行,这意味着,企业利用沙箱设备触发,也无法判别就是SamSam勒索软件。因此,Malwarebytes实验室指出,上述的混合攻击型态攻击方式,将是这种攻击手法的未来发展方向。
I 相关 / Other
相信大家对“余额宝”不陌生,近两年,有不少购买了余额宝的货币基金产品,每天得到不错的收益。然而,现在余额宝收益大幅下跌,收益率跌至3.2%,购买货币基金产品的朋友都想将钱取出来。余额宝收益率持续下跌 余额宝
功能大幅提升 简约 Skagen Falster 2 智能表发表 | 香港 UNWIRE.HK 玩生活.乐科技
去年 Google 开始跟时装钟表品牌 Fossil 合作,Fossil 旗下的多个品牌都使用 Android Wear 系统(Wear OS 的前身)生产智能手表,当中包括了走简约设计风的丹麦品牌 Skagen。今年年初发表的 Skagen Falster 是市场鲜
电脑被远端控制挖矿手法横行,趋势科技揭露新兴挖矿的僵尸攻击手法与现象
利用新兴的挖矿手法(Crypto-Currency△Mining),辅以僵尸病毒(Botnet)发动攻击,用受害者的电脑为骇客挖矿,虽然,可能不致直接造成电脑的损害,但背后耗用大量的处理器与绘图运算资源,而且电脑远端听令于骇客,
香港 Uber 公布新车费 UberX 短途大幅加价 | 香港 UNWIRE.HK 玩生活.乐科技
Uber 在于日志上宣布,由于驾车成本上升,从 8 月 29 日 (星期三) 起,将会调整 UberX 收费,及新增等待时间收费。另外,自 24 日起至 9 月9 日,不论何时何地,乘搭 Uber 都可享七折优惠。图片来源 :?BGR.com收费调
Redis Labs修改授权,云端服务商不再能对开源记忆体资料库Redis服务收费
开源记忆体资料库Redis背后官方赞助商Redis△Labs宣布,其为Redis建构的模组包含RediSearch、Redis△Graph、ReJSON、Redis-ML和Rebloom,现在采用Commons△Clause修改的Apache△2.0授权许可,这项修改针对现有云端服