多家资安公司指出，潜藏在记忆体内执行的无档案攻击手法今年上半大幅增加,,近2年来，许多资安厂

原标题：多家资安公司指出，潜藏在记忆体内执行的无档案攻击手法今年上半大幅增加

我们在听闻资安攻击事件时，都会先留意到出现明显现象的手法，像是会将档案加密，并要求电脑使用者支付赎金的勒索软件，或是会消耗大量运算资源，导致电脑难以正常运作的挖矿攻击等。近2年来，许多资安厂商推出的年度...

我们在听闻资安攻击事件时，都会先留意到出现明显现象的手法，像是会将档案加密，并要求电脑使用者支付赎金的勒索软件，或是会消耗大量运算资源，导致电脑难以正常运作的挖矿攻击等。近2年来，许多资安厂商推出的年度报告中，上述的2大攻击型态，虽是所有人留意的焦点，但今年以来，趋势科技与McAfee两家资安大厂，特别提到无档案式攻击手法（Fileless）大幅增长的情形，而以次世代防毒起家的SentinelOne、Carbon△Black等，也在最近推出的报告中，印证这种现象的严重性。

为了回避电脑上防毒软件的侦测，时下许多的攻击中，便采取了所谓的无执行档案手法，在这类手法中，恶意软件实际执行的位置为记忆体内，不会在电脑的储存装置上出现，因此，往往需要正在执行时，才能从记忆体内容中发现，侦测的难度也非常高。

事实上，这种执行恶意软件攻击手法，最早可追溯到30年前（1987年）的Lehigh病毒，它埋藏在记忆体中，能在使用者将电脑与DOS磁片连接时，感染磁片上的COMMAND.COM档案。而随着时代的演进，通过像是Windows作业系统内建的PowerShell，或是JavaScript下达指令，将恶意软件埋藏到记忆体内执行的做法，便成为现在运用的主要管道。这包含了较为近期的网站漏洞渗透工具（Exploit△Kit），像是Magnitude，就是不需先经过储存装置，而直接在记忆体中发动攻击的例子。

无档案攻击的运作方式，大致可分为图中的6个过程，首先是使用者受到钓鱼邮件等攻击后，骇客借由特定软件弱点（如Flash）渗透后，将带有恶意内容的指令码，写入合法的处理程式所使用的记忆体内，以此连线到C△C中继站伺服器，并下载完整的作案工具到记忆体内执行。（图片来源／Morphisec）

无档案型态攻击行为急速成长

趋势科技在今年上半年度报告中，特别列出这种攻击型态明显增加的情形。该公司指出，他们每月拉黑的事件数量，从1月份的24,430件，到5月、6月接近4万件（39,988件与38,189件），增加接近一倍的数量。

防毒大厂发现到无档案式攻击大幅成长的现象，趋势科技在今年的上半年度报告中，就呈现了5月与6月的攻击数量，较1月时多出许多。（图片来源／趋势科技）

更进一步来看，McAfee在每季推出一次的威胁报告中，则是针对利用JavaScript和PowerShell的攻击手法，提出相关的发现。今年3月时，他们指出通过PowserShell触发的恶意软件，不论是新的攻击手法还是事件数量，去年度都大幅增加，而JavaScirpt恶意软件也有持续的成长。

而在今年6月份的报告中，利用PowerShell的恶意软件增加幅度趋缓，新的恶意软件数量则是明显少了许多。不过，McAfee指出，从去年下半年开始，使用LNK捷径档案，借此启动PowerShell指令的做法，则是成为另一个大幅增加的现象。

在今年6月McAfee推出的每季威胁报告中，则是呈现了近期JavaScript与PowerShell滥用增加的现象，不过，值得留意的是，虽然近期PowerShell受到骇客广泛运用在攻击上，但实际上采用JavaScript的做法才是大宗。（图片来源／McAfee）

在8月28日，SentinelOne刚发布的2018上半年企业风险指标报告中，指出无档案式攻击的数量，从今年1月到6月，只有短短5个月之间，竟然多出了接近一倍。而值得注意的是，勒索软件的次数，远少于前述的攻击手法。

根据该公司的资料，无档案式的攻击数量，在今年1月份，平均每1,000台电脑中，只有21.9次攻击，但到6月份时，增加到42.5次，几乎是快要多出一倍（94%）。而勒索软件事件次数，这6个月里，从每千台电脑每月出现5.6次到14.4次不等。此外，虽然内建于Windows电脑的PowerShell，是无档案攻击常用的手法，但这份报告中，采用这种做法的比例并不高，每千台电脑中，每月只有1.5至5.2次不等。这份报告的内容，也与前述趋势科技和McAfee研究成果相符。

以次世代防毒起家的SentinelOne，最近发布了今年上半年度的企业风险指标，指出1月到6月中，无档案式（Fileless）攻击事件比例大幅增加，且在5个月内接近翻倍的情况，但PowerShell攻击的次数则并未随之成长。（图片来源／SentinelOne）

而同样是次世代防毒起家的Carbon△Black，他们在今年1月发表的报告中，也指出无档案式攻击的严重性。根据该公司的研究，去年的无档案式攻击事件数量，超过了一般的恶意软件档案攻击（52%与48%）。他们也对资安研究员进行访查，结果发现，相较于一般的恶意软件，普遍认为无档案式的攻击手法会为企业带来更多的风险，而且超过6成的研究员（64%）, 也留意到此类攻击明显增加的现象。

在Carbon△Black今年年初发表的报告中，也强调无档案式攻击（这里以Non-malware称呼）手法泛滥的情形，而且多达63％研究员，已经留意到相关攻击事件数量的显着成长。（图片来源／Carbon△Black）

与其他攻击手法混合运用是未来趋势

无档案式攻击手法滥用的现象，也有其他端点防护厂商，注意到这样的情况，并在博客上发表他们的看法。像是Malwarebytes实验室最近的一篇文章中，就点名锁定中大型企业发动攻击的SamSam勒索软件，这个攻击手法虽然会在磁碟上写入恶意软件档案，但内容会受到加密保护，只有骇客解密之后，才会在受害电脑的记忆体中执行。

该实验室认为，像SamSam这样部分无档案式（Semi-Fileless）的攻击手法，虽然会先存放恶意软件到受害者电脑的磁碟，但企业仍然难以分析是否有害，而且除非通过骇客手上的脚本，不然这些档案也不会执行，这意味着，企业利用沙箱设备触发，也无法判别就是SamSam勒索软件。因此，Malwarebytes实验室指出，上述的混合攻击型态攻击方式，将是这种攻击手法的未来发展方向。

橙山网（Csnd.net）简评：近2年来，许多资安厂商推出的年度...我们在听闻资安攻击事件时，都会先留意到出现明显现象的手法，像是会将档案加密，并要求电脑使用者支付赎金的勒索软件，或是会消耗大量运算资源，导致电脑难以正常运作的挖矿