公務電腦應避免登入不明網站及點選廣告
知名資安業者卡巴斯基實驗室(Kaspersky Lab)於2/8提出警告,有一支名為Meterpreter的無檔案(fileless)惡意程式已滲透到全球40個國家,逾140個組織包括銀行、電信業者及政府機構都是該惡意程式的受害者。近幾年興起的無檔案惡意程式是指存在於隨機存取記憶體(Random Access Memory, RAM),而非硬碟上的惡意程式,它通常是在使用者造訪惡意網站或點選惡意廣告時進行感染,有時會被注入某些程式的執行程序上,藉以進駐RAM,進而竊取資料或下載其他惡意程式,由於它並非以檔案的形式存在,因此可躲過防毒軟體的偵測。
卡巴斯基是在接獲其銀行客戶的受駭報告後展開調查,發現駭客先是利用Metasploit Framework產生腳本程式,該程式會分配記憶體、解析WinAPIs,並把Meterpreter直接下載到RAM上,還以Windows中的Netsh網路配置命令行工具作為被駭主機及駭客伺服器之間的傳輸通道。該實驗室在全球逾140個組織網路的Windows登錄檔(Registry)中發現不同惡意PowerShell腳本的蹤跡,皆為木馬程式,其中光是在美國就有21個組織受到影響,中國也在名單之列,台灣則倖免於難。目前並不確定所有的攻擊是否來自同一個駭客組織。
卡巴斯基實驗室表示,上述駭客技術愈來愈普遍,特別是用於攻擊金融產業時,駭客使用多元化的攻擊工具與手法讓偵測變得更加困難。雖然這類的攻擊只會出現在RAM、網路及登錄檔中,但卡巴斯基實驗室還是提醒所有企業皆要提高警覺,小心防範。
防範之道
1.同仁於使用公務電腦時,勿登入至高風險網站。
2.切勿受聳動標題與誇大內容影響隨意點選廣告。
3.避免執行網站內來歷不明程式。