受無檔案惡意程式攻擊企業的全球分佈情形。

圖片來源: 

Kaspersky Lab

卡巴斯基實驗室(Kaspersky Lab)周三(2/8)提出警告,有一名為Meterpreter的無檔案(fileless)惡意程式已滲透到全球40個國家的逾140個組織,包括銀行、電信業者及政府機構。

最近幾年興起的無檔案惡意程式指的是存在於隨機存取記憶體(RAM)而非硬碟上的惡意程式,它通常是在使用者造訪惡意網站或點選惡意廣告時進行感染,有時會被注入某些程式的執行程序上,藉以進駐RAM,進而竊取資料或下載其他惡意程式,由於它並非以檔案的形式存在,因而可躲過防毒軟體的偵測。

卡巴斯基是在接獲銀行客戶的被駭報告後才展開調查,發現駭客先是利用了滲透測試框架Metasploit framework來產生腳本程式(手法如下圖所示,來源:卡巴斯基實驗室),該程式會分配記憶體、解析WinAPIs,並把Meterpreter直接下載到RAM上,還以Windows中的Netsh網路配置命令行工具作為被駭主機及駭客伺服器之間的傳輸通道。

該實驗室在全球逾140個組織網路的Windows註冊檔中發現不同惡意PowerShell腳本的蹤跡,皆為木馬程式,其中光是在美國就有21個組織受到影響,中國也在名單之列,台灣則倖免於難。目前並不確定所有的攻擊是否來自同一個駭客組織。

卡巴斯基實驗室表示,上述駭客技術愈來愈普遍,特別是用於金融產業時,駭客使用了許多常見的工具再加上多元的技倆而讓偵測變得更加困難。不過這類的攻擊只會出現在RAM、網路及登錄檔中,在清除所有的惡意腳本程式後,企業應當要變更所有的密碼。


Advertisement

更多 iThome相關內容