i卡會員

資安攻擊手法日新月異，在今年出現了一種新型態的攻擊手法，駭客利用無檔案模式Downloader來隱匿蹤跡，傳統駭客在攻進系統後一定先放木馬或後門程式在使用者的主機，但這些程式多半會被防毒軟體偵測攔截，現行新型態的手法為改用電腦內原生的指令，寄生在開機啟動或是排程區域，自動執行惡意指令，此指令會連線至中繼站下載真正具有破壞性的木馬與後門檔案，藉此避過防毒的偵測。

檔案會偽裝成使用者看了覺得很正常的軟體名稱，讓使用者放鬆戒心，而後每次電腦將自動連向中繼站去慢慢下載木馬，藉以躲避防毒軟體的偵測。

透過木馬成功取得相當的主機權限後，駭客再藉由主機間互相感染進行橫向跳躍，盡可能取得多台主機權限，而透過內網進行高權限帳號的密碼猜測奪得權限，再往伺服器區或資料庫區邁進，進而癱瘓整個系統服務，或透過自動化蠕蟲病毒將資料庫的資料檔案加密，藉此勒索金錢或是比特幣。

關貿網路資安聯防團隊指出，在過往處理這類新型攻擊手法的經驗中，企業若沒有對應的防禦及監控模式，平均可能需要約3個月以上才會偵測到，而此類無檔案的惡意程式，也不會被防毒軟體給抓到，所以建議企業平時利用即時沙箱技術，模擬出最新形式的可疑行為進行分析，並在內部系統架設資安攝影機，隨時監控內網平行移動或對外連線的可疑流量與行為，由資安服務商做即時的警戒與分析處理。

此外，採用資安端點防護，將主機上的可疑程式回報到中心端，才能迅速抓出駭客軌跡。

關貿團隊建議企業可以將內網做分區，例如不同部門可以設定為不同網段，若真的遭受攻擊入侵時，也能將傷害降到最低。

面對推陳出新的資安攻擊手法，企業端也應該化被動為主動，關貿團隊強調，資安服務廠商除了提供全面性的資安情資及監控防禦服務外，更應以攻擊者的角度來解析資安攻擊，協助客戶建立縱深防禦的資安環境，畢竟資安攻防就像竊賊與鎖匠的角力，沒有一個鎖是保證永遠不會被打開的，只能不斷更新、強化本身製鎖的技術才是唯一良方。