大多數人認為惡意軟體是從電子郵件或網路下載的惡意可執行檔案,但無檔案式惡意軟體為資料保護帶來了新的變化。使用者不用每次啟動系統時都會載入檔案,而是從 Windows 登錄系統載入無檔案式惡意軟體,並直接開機至記憶體中,或使用儲存在文件中的惡意程式碼載入惡意軟體。無檔案式惡意程式是專為避開防毒軟體所打造,因此需要額外的防護才能阻止。
什麼是無檔案式惡意軟體?
無檔案式惡意軟體是一種完全在電腦記憶體內運作的惡意軟體,代表它不會在硬碟上建立任何檔案。有了傳統的惡意軟體,惡意軟體作者會編譯可執行檔,並必須找出方法將其傳遞給目標。舉例來說,惡意軟體作者可以撰寫電子郵件訊息,說服資料中心員工開啟指令碼,然後下載可執行檔。可執行檔會將惡意程式碼載入記憶體。每次使用者重新啟動時,可執行檔都會重新載入記憶體。
無檔案式惡意軟體比檔案式惡意軟體輕得多。無檔案式惡意軟體會將程式碼載入 Windows 登錄,或將惡意程式碼載入記憶體,而不需執行檔案。舉例來說,PowerShell 腳本可載入伺服器記憶體,用來將資料傳送至網路上的攻擊者控制伺服器。
無檔案式惡意軟體如何運作
大多數攻擊都是從惡意的網路釣魚電子郵件開始,但攻擊者也可以使用網路伺服器上託管的驅動下載。另一種常見的攻擊方式是透過社交工程。攻擊者可能會透過簡訊聯絡目標,並說服他們開啟含有惡意指令碼的網頁。網路上的惡意重新導向或中間人攻擊對惡意組合的 Wi-Fi 熱點的網路釣魚較罕見,但在惡意軟體攻擊中則可能發生。
無檔案式惡意軟體通常以 Windows 電腦為目標,因此 PowerShell 是這類攻擊中常用的腳本語言。首先說服使用者執行 PowerShell 指令碼,通常附於電子郵件訊息,而 PowerShell 指令碼則執行指令。其指示可能是安裝勒索軟體、竊取使用者電腦中的資料、默默聆聽密碼,或安裝 rootkit 以遠端控制本機電腦。PowerShell 可執行目前安裝在使用者電腦上的應用程式,因此無檔案式惡意軟體可能會嘗試建立含有惡意程式碼的文件,或將惡意程式碼注入現有文件。當使用者與其他使用者分享文件時,惡意程式碼會執行並傳遞其有效負載。
常見攻擊媒介
大多數有效負載最常見的攻擊媒介是網路釣魚,而無檔案式攻擊也最常見的媒介。為了使用電子郵件傳遞有效負載,攻擊者必須說服使用者開啟惡意附件,或引導他們前往託管惡意軟體的網站。企業企業應隨時設定電子郵件安全性,以防止這些訊息進入員工收件匣。
Microsoft Office 文件可以儲存巨集和程式碼,以便在文件開啟時觸發活動。作業可能無害,但儲存在 Office 文件(例如 Word、Excel 或 PowerPoint)中的惡意程式碼可能會執行許多有效負載。惡意檔案包括竊取資料、安裝 rootkit,或將勒索軟體傳送至本機電腦或網路環境。
社交工程可能是攻擊的一個組成部分。舉例來說,較複雜的網路釣魚攻擊通常有好幾名攻擊者試圖欺騙高權限員工,如會計師或人力資源人員。這些目標可存取敏感資料,因此威脅作者可以獲得更多回報。威脅作者可能會與社交工程詐騙者聯手,並打電話給目標,說服他們參與網路釣魚電子郵件。
無檔案式惡意軟體的影響
無檔案式攻擊通常會導致資料遺失或長期後門,惡意軟體即使在根除後仍可能持續存在。對大多數有組織的網路罪犯而言,他們攜手合作竊取資料。勒鎖軟體是一種常見的有效負載,如果組織沒有可用的資料備份,可能會迫使組織支付數百萬美元以取回資料。
持續的威脅通常會在偵測前持續數月。這些威脅可用來隱瞞資料外洩。雖然威脅持續存在,但通常會建立後門,讓安全人員無法完全移除或遏制它們。偵測並消除後,網路管理員可能會產生錯誤的安全性感,而持續性威脅的後門程式則允許攻擊者再次入侵環境。
大多數資料外洩事件都會導致訴訟與法規遵循罰款造成營收損失。必須遏制品牌損害,客戶信任損失也會降低銷售額。無檔案式惡意程式是專為避開偵測而設計,因此它對業務永續性和未來營收特別危險。
偵測及預防策略
為了避免無檔案式惡意軟體攻擊的後果,早期偵測至關重要。早期偵測可避免許多災害復原要求,以在資料外洩後進行清理。安裝在網路基礎架構和端點(如使用者行動裝置)上的監控工具,在無檔案式惡意軟體載入記憶體之前,會先被攔截。當惡意程式碼試圖存取敏感檔案和資料時,網路監控解決方案會偵測任何異常行為。
入侵防護將自動包含威脅。監控功能可偵測惡意軟體並警示管理員,但入侵防護能進一步阻止網路安全竊取資料。網路管理員仍須採取行動,但入侵防護與遏制能減輕損害。
今日的監控與防範功能,利用分析與行為模式來偵測惡意活動。舉例來說,含有敏感資料的檔案在一年當中可能只會收到少量的存取要求。當惡意軟體試圖在短時間內存取檔案數次時,偵測解決方案就會將此視為可疑活動,並提醒管理員。零時差威脅也能利用異常的基準與發現來偵測。
結論
無檔案式惡意軟體只是系統管理員必須處理的眾多網路安全風險之一。您可用正確的監控工具、入侵偵測與預防解決方案,將風險降至最低並降低風險。在所有使用者裝置上安裝端點偵測及回應(EDR)保護,尤其是連接到第三方 Wi-Fi 熱點的裝置。最後,與值得信賴的技術合作夥伴合作,提供解決方案來保護您的資料,並優先考慮資料保護。
