SentinelOne
我们在听闻资安攻击事件时,都会先留意到出现明显现象的手法,像是会将档案加密,并要求电脑使用者支付赎金的勒索软件,或是会消耗大量运算资源,导致电脑难以正常运作的挖矿攻击等。近2年来,许多资安厂商推出的年度报告中,上述的2大攻击型态,虽是所有人留意的焦点,但今年以来,趋势科技与McAfee两家资安大厂,特别提到无档案式攻击手法(Fileless)大幅增长的情形,而以次世代防毒起家的SentinelOne、Carbon Black等,也在最近推出的报告中,印证这种现象的严重性。
为了回避电脑上防毒软件的侦测,时下许多的攻击中,便采取了所谓的无执行档案手法,在这类手法中,恶意软件实际执行的位置为内存内,不会在电脑的储存装置上出现,因此,往往需要正在执行时,才能从内存内容中发现,侦测的难度也相当高。
事实上,这种执行恶意软件攻击手法,最早可追溯到30年前(1987年)的Lehigh病毒,它埋藏在内存中,能在使用者将电脑与DOS磁片连接时,感染磁片上的COMMAND.COM档案。而随着时代的演进,透过像是Windows操作系统内建的PowerShell,或是JavaScript下达指令,将恶意软件埋藏到内存内执行的做法,便成为现在运用的主要管道。这包含了较为近期的网站漏洞渗透工具(Exploit Kit),像是Magnitude,就是不需先经过储存装置,而直接在内存中发动攻击的例子。
无档案攻击的运作方式,大致可分为图中的6个过程,首先是使用者受到钓鱼邮件等攻击后,骇客借由特定软件弱点(如Flash)渗透后,将带有恶意内容的指令码,写入合法的处理程式所使用的内存内,以此连线到C&C中继站服务器,并下载完整的作案工具到内存内执行。(图片来源/Morphisec)
无档案型态攻击行为急速成长
趋势科技在今年上半年度报告中,特别列出这种攻击型态明显增加的情形。该公司指出,他们每月封锁的事件数量,从1月份的24,430件,到5月、6月接近4万件(39,988件与38,189件),增加接近一倍的数量。
防毒大厂发现到无档案式攻击大幅成长的现象,趋势科技在今年的上半年度报告中,就呈现了5月与6月的攻击数量,较1月时多出许多。(图片来源/趋势科技)
更进一步来看,McAfee在每季推出一次的威胁报告中,则是针对利用JavaScript和PowerShell的攻击手法,提出相关的发现。今年3月时,他们指出透过PowserShell触发的恶意软件,不论是新的攻击手法还是事件数量,去年度都大幅增加,而JavaScirpt恶意软件也有持续的成长。
而在今年6月份的报告中,利用PowerShell的恶意软件增加幅度趋缓,新的恶意软件数量则是明显少了许多。不过,McAfee指出,从去年下半年开始,使用LNK捷径档案,借此启动PowerShell指令的做法,则是成为另一个大幅增加的现象。
在今年6月McAfee推出的每季威胁报告中,则是呈现了近期JavaScript与PowerShell滥用增加的现象,不过,值得留意的是,虽然近期PowerShell受到骇客广泛运用在攻击上,但实际上采用JavaScript的做法才是大宗。(图片来源/McAfee)
在8月28日,SentinelOne刚发布的2018上半年企业风险指标报告中,指出无档案式攻击的数量,从今年1月到6月,只有短短5个月之间,竟然多出了接近一倍。而值得注意的是,勒索软件的次数,远少于前述的攻击手法。
根据该公司的资料,无档案式的攻击数量,在今年1月份,平均每1,000台电脑中,只有21.9次攻击,但到6月份时,增加到42.5次,几乎是快要多出一倍(94%)。而勒索软件事件次数,这6个月里,从每千台电脑每月出现5.6次到14.4次不等。此外,虽然内建于Windows电脑的PowerShell,是无档案攻击常用的手法,但这份报告中,采用这种做法的比例并不高,每千台电脑中,每月只有1.5至5.2次不等。这份报告的内容,也与前述趋势科技和McAfee研究成果相符。
以次世代防毒起家的SentinelOne,最近发布了今年上半年度的企业风险指标,指出1月到6月中,无档案式(Fileless)攻击事件比例大幅增加,且在5个月内接近翻倍的情况,但PowerShell攻击的次数则并未随之成长。(图片来源/SentinelOne)
而同样是次世代防毒起家的Carbon Black,他们在今年1月发表的报告中,也指出无档案式攻击的严重性。根据该公司的研究,去年的无档案式攻击事件数量,超过了一般的恶意软件档案攻击(52%与48%)。他们也对资安研究员进行访查,结果发现,相较于一般的恶意软件,普遍认为无档案式的攻击手法会为企业带来更多的风险,而且超过6成的研究员(64%), 也留意到此类攻击明显增加的现象。
在Carbon Black今年年初发表的报告中,也强调无档案式攻击(这里以Non-malware称呼)手法泛滥的情形,而且多达63%研究员,已经留意到相关攻击事件数量的显著成长。(图片来源/Carbon Black)
与其他攻击手法混合运用是未来趋势
无档案式攻击手法滥用的现象,也有其他端点防护厂商,注意到这样的情况,并在部落格上发表他们的看法。像是Malwarebytes实验室最近的一篇文章中,就点名锁定中大型企业发动攻击的SamSam勒索软件,这个攻击手法虽然会在磁盘上写入恶意软件档案,但内容会受到加密保护,只有骇客解密之后,才会在受害电脑的内存中执行。
该实验室认为,像SamSam这样部分无档案式(Semi-Fileless)的攻击手法,虽然会先存放恶意软件到受害者电脑的磁盘,但企业仍然难以分析是否有害,而且除非透过骇客手上的脚本,不然这些档案也不会执行,这意味着,企业利用沙箱设备触发,也无法判别就是SamSam勒索软件。因此,Malwarebytes实验室指出,上述的混合攻击型态攻击方式,将是这种攻击手法的未来发展方向。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09