全球上百家銀行和金融機構感染了一種「無文件」惡意程序，幾乎無法檢測

根據卡巴斯基發布的最新報告，超過140家美國、南美、歐洲和非洲的銀行、通訊企業和政府機構感染了一種幾乎無法被檢測到的極為複雜的無文件惡意程序。

卡巴斯基的專家警告：

雖然目前的官方數據顯示成為目標的銀行和企業至少有140家，但是鑒於這種惡意程序極難被發現的特性，潛在受害者數量可能遠高於這個數字。

這種類型的感染並不是第一次出現，幾年前卡巴斯基就曾在自己企業內部網路中發現了這種在當時前所未有的惡意程序，並將其稱為Duqu 2.0。Duqu 2.0的來源則被認為是震網，是當時美國與以色列為了破壞伊朗核計劃專門合作創建的一種極為複雜的電腦蠕蟲。

感染現狀

目前這種與Duqu 2.0十分相似的惡意程序已經在不計其數的企業和銀行之中像野火一樣蔓延開來。它會利用像是PowerShell, Metasploit和Mimikatz這樣的合法管理系統或安全工具將惡意程序注入電腦內存。

卡巴斯基選擇不公布這些目前正在遭受攻擊的具體機構，但確定這些機構來自40個不同國家。其中受感染的5個重災區分別是美國、法國、厄瓜多、肯亞和英國。

此次攻擊十分令人厭惡的原因主要是：它可以潛伏很久並且很難被發現，並且無法確定在這個惡意程序背後的究竟是一個黑客、一個組織或很多組織？除非哪天有人出來聲稱對此事負責，否則在很長時間內這個幕後真兇對安全專家或當局來說都會是一個未解之謎。

工作原理

無文件惡意程序最初是由卡巴斯基在2014年發現的，一直不算是什麼主流的攻擊方式，直到此次事件的發生。說起來無文件惡意程序並不會為了執行而將文件或文件夾複製到硬碟上，反而是將payloads直接注入正在運行程序的內存，導致惡意軟體直接在系統RAM中執行，也讓專家很難在系統重啟之後找到此惡意軟體的蹤跡。

該惡意程序首次被發現是在2016年底，有一家銀行的安全團隊在微軟域控制器的物理內存發現了一段Meterpreter代碼。經過取證分析，卡巴斯基的專家發現這段代碼是入侵者利用Windows PowerShell將Meterpreter代碼注入內存，而並未將其寫入磁碟。

Meterpreter是一種可注入運行程序的內存攻擊payload，它可以在在被感染的系統中造成持續破壞。Meterpreter是Metasploit滲透測試框架的一部分，Metasploit在安全團隊或惡意入侵者中都是十分流行的工具。

攻擊者利用已知漏洞的利用工具來入侵目標組織的伺服器，在獲得訪問權之後就利用Mimikatz來獲取系統的身份憑證——這樣才能完成進一步的提權，也是後續攻擊必須的。

然後再用PowerShell腳本、Meterpreter和Windows工具Sc在內存中部署惡意代碼。目前我們知道會用如下腳本來生成Metasploit框架。腳本會分配內存並將WinAPIs和下載的Meterpreter直接解析到RAM。

入侵者還會利用微軟的NETSH網路工具設置了一個代理通道，與C&C伺服器通信並遠程控制被感染的主機。NETSH (Network Shell) 是windows系統本身提供的功能強大的網路配置命令行工具。

為了消除設備重啟後留在日誌或硬碟的痕迹，入侵者將PowerShell命令隱藏在Windows註冊表，讓安全專家之後的取證和分析過程變得更加困難。

看起來這個惡意程序的主要目的就是為了收集系統管理員的密碼及遠程控制受到感染的主機。

此次攻擊的終極目標可能是感染那些控制自動取款機的電腦，讓入侵者能以這樣的方式獲取錢財。

雖然受感染的企業和機構範圍很廣、數量較多，但是入侵者所採取的方法相對一致，這樣就能幫助各公司的安全人員認識現狀並採取相應措施。

卡巴斯基實驗室計劃在4月2日至6日之間揭露更多關於此次攻擊的細節。

Gartner安全分析師Avivah Litan提到，「現如今越來越多的公司會在終端部署保護和檢測工具，所以採用無文件惡意軟體的攻擊也變得越來越頻繁。」

Litan也給企業該如何快速檢測並阻止無文件惡意軟體攻擊提出了一下幾點建議：

頻繁對系統進行維護；

根據需求，限制使用Microsoft PowerShell和類似管理工具的電腦和用戶；

購買一些有預防內存攻擊功能的產品，像是賽門鐵克、Trend和McAfee等；

可以考慮對終端電腦實施應用程序控制，只允許一個機構的應用程序可以運行。

*參考來源：securelist，FB小編孫毛毛編譯，轉載請註明來自FreeBuf