【加緊提防】2020年首半年 無檔案惡意攻擊佔最多
思科(Cisco)分析上半年最常見嚴重網絡安全威脅遙測數據,發現以無檔案惡意攻擊 (fileless malware) 為最多。所謂無檔案惡意攻擊,即是惡意代碼在裝置記憶體運行,而不是以檔案模式存在於硬盤中。思科將Kovter、Poweliks、Divergent 以及LemonDuck 標示為最常見的無檔案惡意攻擊。
思科指出對端點第二類威脅是常在開發任務和開發後任務 (exploitation and post-exploitation tasks) 中所利用的雙重用途工具,例子包括 PowerShell Empire、Cobalt Strike、Powersploit和Metasploit。思科的研究人員表示,這類型的工具雖然能好好地用在如滲透測試 (penetration test) 的非惡意攻擊活動,但卻常被黑客利用作攻擊用途。而第三類威脅則是如 Mimikatz 的身份驗證和憑據管理系統,惡意攻擊者多數藉這類工具竊取受害者登入資訊。
報告指出,以上三類攻擊佔分析期間入侵指標(Indicators-of-Compromise, IoC)的75%,其餘25%則為不同的惡意軟件,包括勒索軟件(Ryuk,Maze,BitPaymer等); 蠕蟲 Worm(Ramnit和Qakbot); 遠程訪問木馬 Remote Access Trojan(Corebot和Glupteba); 銀行木馬 Banking Trojans(Dridex、Dyre、Astaroth和Azorult)等。
為應對威脅程度高的惡意攻擊,思科建議企業安全管理人員以群組原則 (Group policy) 和白名單 (Whitelisted) 開啟檔案,而需要使用雙重用途工具時,則應採用短期登入政策,另亦應時常監察各端點之間的連接。
資料來源:https://bit.ly/362Q82l、https://zd.net/2FSZ7YW