運作方式
大多數應用程式和基於檔案的惡意軟體都是以寫入磁碟的檔案開始的。執行該文件時,副本將加載到內存中,並執行程序的命令。 無檔案惡意軟體跳過寫入磁碟的步驟,僅存在於記憶體中。
可以實現這一點的一些方法包括:
- 靠土地為生:惡意軟體執行的許多操作都可以透過合法的系統功能來完成。無檔案惡意軟體通常使用 PowerShell 來存取通常在惡意執行檔中使用的內建 Windows 應用程式開發介面功能。
- 惡意文件:Microsoft Office 文件可能包含使用 PowerShell 執行命令的惡意巨集。 這可能包括下載並運行其他惡意軟體而不將其寫入磁碟。
- 脆弱性利用:應用程式可能包含緩衝區溢位或其他遠端程式碼執行(RCE)脆弱性。透過利用這種脆弱性,攻擊者可以在易受攻擊的進程中執行惡意命令,而無需向磁碟寫入任何內容。
- 程序劫持:一旦文件加載到內存中,可以修改其內存空間。 惡意軟體可以將程式碼寫入現有進程的記憶體空間,並在該進程中啟動其惡意功能。
- 基於註冊表的惡意軟體: Windows 註冊表包含 Windows 作業系統的設定訊息,包括自動運行。無檔案惡意軟體可以定義自動執行,在系統啟動時或使用者登入時透過 LoLBins 啟動惡意程式碼。
無文件惡意軟體可以做什麼?
無文件惡意軟體可以執行傳統的基於文件的惡意軟體變體可以執行的任何操作。這包括充當資訊竊取者、勒索軟體、遠端存取工具包 (RAT) 和加密挖礦程式。
無檔案惡意軟體和基於檔案的惡意軟體之間的主要區別在於它們如何實現惡意程式碼。無文件惡意軟體通常更依賴作業系統的內建功能,而不是在獨立的可執行檔中實現惡意功能。
無檔案攻擊的階段
無檔案惡意軟體攻擊看起來與基於檔案的惡意軟體攻擊非常相似。一些關鍵階段包括:
- 初步存取:惡意軟體需要一種方法來存取組織的系統。無文件惡意軟體可能透過網路釣魚或利用易受攻擊的網路應用程式傳遞惡意文件。
- 執行:無檔案惡意軟體可以透過多種方式實現程式碼執行。例如,惡意文件可能會使用社交工程技術來欺騙收件者啟用巨集,從而允許惡意巨集執行 PowerShell 命令。
- 持久性:一旦惡意軟體獲得對目標系統的存取權限,它就會想要維持該存取權限。將自動執行密鑰添加到 Windows 註冊表是實現持久性的一種常見方法,而無需將代碼寫入磁盤即可完成。
- 目標:惡意軟體旨在完成某些任務。無檔案惡意軟體可能會嘗試竊取憑證、加密檔案、下載其他惡意軟體或執行某些其他惡意活動。
偵測和防禦無檔案惡意軟體攻擊
無文件惡意軟體的設計比傳統的基於文件的惡意軟體變體更難以檢測。原因是一些端點資安解決方案專注於掃描系統上的文件,而不檢查主動運行的進程是否有惡意程式碼或異常活動。
但是,更難檢測並不同於無法檢測的。 組織可以保護自己免受無文件惡意軟體攻擊的一些方法包括:
- 鎖定功能:無檔案惡意軟體通常“生活在陸地上”,使用內建功能來實現其目標。停用或監控高風險應用程式(例如 PowerShell)可以協助預防和偵測無檔案惡意軟體攻擊。
- 管理巨集: Microsoft Office 巨集是無文件惡意軟體實現初始存取和執行的常用方法。停用巨集可以有助於阻止此感染病媒體。
- 補丁脆弱性:攻擊者可能會利用緩衝區溢位等脆弱性在易受攻擊的應用程式中運行程式碼。套用修補程式並透過入侵防禦系統(IPS) 實施虛擬修補程式可限制脆弱性利用的風險。
- 安全身份驗證:網路犯罪分子越來越多地使用受損的憑證和遠端存取解決方案(例如 RDP)來部署和執行惡意軟體。實施多重身份驗證 (MFA) 和零信任安全策略可以限制受損帳戶的潛在影響。
Check Point 的 Harmony Suite 與 XDR 平台
無檔案惡意軟體是組織面臨的多種威脅之一。要了解有關當前網路威脅情勢的更多信息,請查看 Check Point 的2022 年年中網路攻擊趨勢報告。
Implementing defense in depth is essential to managing the risk of sophisticated malware and other leading cyber threats. Check Point Infinity XDR provides centralized visibility and threat management across an organization’s IT infrastructure, while Harmony Endpoint secures the endpoint.
Find out how Check Point can help improve your organization’s malware defenses. Sign in for a free demo of Harmony Endpoint today.
反映意見