攻擊者發現繞過系統安全新方法:無檔案攻擊快速增長
Malwarebytes在最新一份報告中警告:公司企業面臨越來越大的無檔案網路攻擊風險。
這些高階攻擊通過借用以往民族國家複雜黑客攻擊中的傳播與反取證技術來規避檢測與維持駐留。
波耐蒙研究所的調查研究顯示,2018年所有攻擊中無檔案惡意軟體佔據了 35% 之多。
Malwarebytes研究人員認為,惡意黑客開發部署惡意軟體的方式發生了轉變,快速轉向了高度動態的攻擊,可以頻繁變形以躲過標準安全產品的檢測。
無檔案惡意軟體攻擊常利用預設Windows工具執行惡意動作或在網路中橫向移動到其他機器上。此類攻擊中最常用到的Windows工具就是Shell/">PowerShell和WMI,這兩個工具幾乎每臺Windows機器上都自帶。
PowerShell是一種指令碼語言,惡意黑客可以之獲取對 Windows API 和系統核心的不受限訪問權。
終端安全公司Cyberreason的研究員 Fred O’Connor 在部落格中評論道:
PowerShell可通過Windows遠端管理(WinRM)遠端執行的功能令其成為了黑客眼中頗為誘人的工具。該功能可使攻擊者繞過Windows防火牆,遠端執行PowerShell指令碼或直接將指令碼釋放到互動PowerShell會話中,提供對終端的完全管理控制。
全球範圍內檢測到無檔案惡意軟體
他還指出,即便WinRM沒有執行,也可以通過WMI用一行程式碼就能遠端啟動。
PowerShell指令碼
最近攻擊者開始在網路釣魚活動中傳送嵌入到Office文件裡的PowerShell指令碼。一旦開啟,經過精心編制的檔案就會在被感染主機上開始執行惡意程式碼。該攻擊完全繞過了系統的安全措施,並可潛伏一段時間不被發現。
Malwarebytes研究人員宣告:
無檔案攻擊對公司企業非常有效,因為大部分現有及舊有安全解決方案都是檢測基於檔案的惡意軟體的。”無檔案攻擊的成功率比其基於檔案的前輩們高出10倍。
由於能完全繞過系統安全防禦向系統中植入隱藏惡意程式碼,此類攻擊正成為惡意黑客的武器首選。
Mawarebytes評論道:這些高階攻擊通過借用以往民族國家複雜黑客攻擊中的傳播與反取證技術來規避檢測與維持駐留。
攻擊者一直在改變他們的方法以規避企業部署的安全措施。無檔案攻擊可使他們完全掌控一臺主機。而且,只要正確執行,攻擊者能在主機上潛伏相當長的一段時間。
對抗無檔案攻擊的最佳防禦之一,就是對自己在系統上使用和開啟的東西隨時保持警惕。
Malwarebytes認為,未來想要保住電腦保安,就得監視和保護計算體驗的方方面面,包括程序的入站和出站流量,甚至可以下載的檔案。