Intel Security(前McAfee)研究人員已經編譯出了最新一份《網路威脅報告》,其中剖析了上個月最激進和廣泛傳播的惡意軟體型別。根據這份報告,他們發現了兩種型別的惡意活動:其中一類是基於巨集病毒的惡意軟體,另一類則是‘無檔案’(fileless)式的‘記憶體中’(in-memory)惡意軟體。
巨集惡意軟體是一種可以追溯至90年代的舊型別惡意軟體,巨集(Macro)用於描述一組操作記錄,在使用者點選按鈕後即可發動。
巨集被廣泛用於企業軟體,員工們可藉此自動化完成一些重複任務。近年來,辦公軟體給予了巨集對計算機更深入的訪問許可權,除了辦公軟體之外,還能夠與一些低層級的PC功能互動。
由於這個原因,給予巨集的惡意軟體重新浮出水面,並通過Word文件大肆傳播。這些文件通常通過釣魚或垃圾郵件傳送給受害人,開啟之後,它就會問你是否啟用巨集支援。
一旦使用者給予了授權,惡意軟體就會自動執行一些影響使用者PC的操作。Intel Security指出,給予Office的巨集威脅已達到過去六年來最高的水平。
同樣的,‘無檔案式’(fileless)惡意軟體威脅也有著上升的趨勢,這種位於‘記憶體中’(in-memory)的惡意軟體,也已經存在了多年。
當然,它並不是100%地無檔案,只是將二進位制內容留在了硬碟上的其它地方而已。對於反病毒軟體來說,它還是很容易被揪出來的。
據Intel Security所述,近期的無檔案式而已軟體版本似乎已經找到了一個迂迴的解決方案,由於完整執行於PC的RAM中,使得檢測變得更加困難。
近段時間被觀察到的無檔案型惡意軟體包括Kovter、Powerlike、XswKit等。其數量並沒有基於巨集操作的惡意軟體那麼高,但也不容忽視。