「無檔案」惡意軟件隱身難發現 逾140銀行企業中招

「無檔案」惡意軟件隱身難發現 逾140銀行企業中招
Image Credit: VectorDoc / Shutterstock / 達志影像
我們想讓你知道的是

有電腦保安公司發現,掃描電腦也不能找到的惡意程式似乎越來越流行,有位於40個國家超過140個機構的網絡受到感染。

唸給你聽
powered by Cyberon

一般來說,對抗電腦病毒、惡意程式的方式,不外是安裝防毒軟件再定期掃描硬碟,發現受感染的檔案後就將之隔離、移除。但萬一惡意程式沒有檔案呢?聽起來好像不太可能,不過電腦保安公司卡巴斯基實驗室(Kaspersky Lab)發現,把程式碼直接注入記憶體的惡意程式有增加趨勢。

這種在記憶體運作、於硬碟上不留痕跡的「隱形」惡意程式近年開始被發現。卡巴斯基在2015年就曾在其內部網絡偵測度有入侵跡象,在大規模調查後發現新型的惡意平台,正是把惡意程式碼寫進記憶體。

根據他們分析,這次攻擊跟2011年開發惡意程式Duqu的團體有關——Duqu亦跟被指由美國及以色列共同開發的「震網」(Stuxnet)有關——所以稱之為Duqu 2.0。

卡巴斯基的全球研究及分析團隊(GReAT)近日撰文表示,這種「無檔案惡意程式」(fileless maleware)逐漸流行,多家機構網絡受到這種惡意程式感染,全部都使用同一種設計來「隱身」。而且它們都使用一些常見的系統管理、保安工具來把惡意程式碼寫進電腦的記憶體中,所以更難被發現。

這項攻擊最初由一家銀行的保安團隊發現,該團隊在一個網域控制器(domain controller)的記憶體中發現不尋常的程式碼,再通知卡巴斯基。GReAT表示有最少來自40個國家的140個機構——包括銀行、企業、政府部門及電訊公司——受到影響。

根據分析,攻擊者透過惡意程式記錄了系統管理員的密碼,令黑客可以得到更多權限,包括從自動櫃員機(ATM)中提取金錢。這種惡意程式的難纏之處在於,它「居住」在電腦中一般用戶難以發現的地方,即使事後可以將之移除,很多機構一開始並沒有注意到,發現時可能已經太遲。

去年12月電腦保安公司Carbon Black的報告顯示,他們的客戶中受到「無檔案惡意程式」攻擊的比率,由年初的3%升至11月的13%。

不過,越來越多的「無檔案惡意程式」出現,相信會令電腦保安公司加強預防揩施。卡巴斯基的研究員Kurt Baumgartner表示,保安團隊可以監察系統中異常的服務、網絡流量,以及關掉不需要的功能,在檢查檔案之外,亦應該注意進出網絡的活動。他強調,即使威脅不斷進化,基本的安全措施仍然有助防止攻擊。

相關文章︰

資料來源︰