最新上市的安克諾斯Acronis True Image 2021是全球第一款內建防毒的備份軟體,在網路這個無形的戰場上,每天無時無刻不在進行著戰爭,而網路犯罪份子不斷調整或探索新的攻擊媒介,這就產生了「LotL」進行無檔案攻擊的方式。這個概念已經存在了數十年,過去曾在Unix攻擊中大量使用,但是最近在Windows系統上又重新堀起。而最新上市的安克諾斯Acronis True Image 2021則可以有效抵禦來去無蹤的LotL無檔案攻擊。
LotL無檔案攻擊是什麼
無檔案攻擊簡而言之在硬碟上沒有特定的惡意檔案,利用合法的應用程式執行惡意活動。當預先安裝的合法軟體被用於無檔案攻擊時,該技術通常就稱為「LotL」。我們經常看到攻擊鏈的某些階段正在使用無檔案技術。與傳統惡意軟體的不同之處在於,它不需要安裝惡意軟體來感染受害者的電腦。相反,它利用了電腦上的現有漏洞。它存在於電腦的記憶體中,並使用常見的系統工具通過將惡意代碼注入正常安全且受信任的程序(如javaw.exe和iexplore.exe)來執行攻擊。這些攻擊可以在不下載任何惡意文件的情況下控制電腦,因此得名。
LotL無檔案攻擊為何快速成長?
無檔案攻擊基於惡意軟體的傳統威脅更容易實施也更有效。所以,網路罪犯會尋找阻力最小、成功率最高的途徑實施攻擊,這也是越來越多的網路罪犯採用無檔案攻擊造成快速成長的原因。據Ponemon Institute的2「端點安全風險狀況報告」指出,成功的惡意軟體攻擊中有77%涉及無檔案技術攻擊。早在2017年4月,駭客透過新型惡意軟體 「ATMitch」就以「無檔案攻擊」方式,一夜劫持俄羅斯8台ATM機,竊走80萬美元。在今年年初,全球40個國家的140多家包括銀行、電信和政府機構等組織遭到 「ATMitch」無檔案攻擊,感染機構遍佈美國、法國、厄瓜多、肯亞、英國和俄羅斯等國家。
無檔案的常見攻擊方式
常見的攻擊方式是發送網路釣魚電子郵件,試圖欺騙人們點擊惡意連結或打開惡意附件,一旦駭客獲得訪問權限,他們就會直接從電腦的記憶體中,執行命令或啟動惡意軟體。他們經常利用內建的系統管理工具(如Windows PowerShell或計畫任務)來執行命令。主要有四種攻擊類別:
- 僅記憶體攻擊:例如EternalBlue和CodeRed的遠端程式碼執行漏洞
- 兩用工具 Dual-use tools:使用如: PSExec、WinRAR之類的信任工具來執行惡意行為
- 非PE檔案:包含巨集、PDF、javascript和腳本(VBS、javascript、powershell等)的檔案
- 無檔案載入點:隱藏登錄檔、WMI或GPO中的腳本,例如: poweliks的無檔案攻擊正在增加
安克諾斯Acronis True Image 2021如何有效抵禦來去無蹤的無檔案功擊?
安克諾斯Acronis的行為引擎,會監視PowerShell和其他應用程式,分析以識別罕見的行為。所以如果任何一種已執行的腳本進行可疑的操作,而這些操作可能導致系統受損,則腳本將被停止,管理員也會立即收到警示。安克諾斯Acronis True Image 2021基於AI的靜態分析器可以檢查正在執行腳本的結果,從而提供警示和額外的安全性。如果攻擊者由於伺服器未正確更新而能夠上傳初始腳本,則意味著沒有漏洞評估和修補管理功能。安克諾斯Acronis True Image 2021可利用嵌入式漏洞評估和軟體更新管理來幫助防禦此類攻擊媒介,即時阻止攻擊。
安克諾斯Acronis True Image 2021的主動防禦技術還保護備份檔案。當犯罪分子開始攻擊備份檔案時,安克諾斯Acronis True Image 2021主動防禦技術是阻止這種攻擊的有效防勒索軟體,它可以阻止系統中所有程序修改備份檔案的行為。機器學習和新的啟發式演算法使安克諾斯Acronis True Image 2021主動保護成為針對當今勒索軟體和最新威脅的絕佳資料保護解決方案。