top of page
作家相片WESTCON TW

竊資軟體化身可客製化的惡意攻擊服務 賽門鐵克雲端沙箱成功揪出入侵指標

資料竊取軟體的攻擊模式揭秘:揪出資安盲點 許多已部署不少資安防護設備的企業,在遭到勒索軟體攻擊後百思不得其解,究竟是哪個環節讓駭客有機可乘?答案恐怕與資料竊取(infostealer)惡意軟體脫離不了關係,尤其現今駭客已發展出infostealer的惡意攻擊服務,駭客製惡意工具以竊取目標攻擊對象的用戶憑證、網路或端點環境等各種資訊,也因此被鎖定侵入的受害者幾乎插翅難飛,而其中Monster Stealer就是一個典型的惡意程式即服務(Malware-as-a-Service)的例子。


💡 infostealer是什麼? infostealer 是一種專門設計用來竊取機密資料的惡意軟體,通常以潛入企業或個人的系統為目的,收集包括用戶名、密碼、金融信息、網路瀏覽歷史、加密貨幣錢包等敏感數據。駭客通常透過釣魚郵件、社交工程或利用系統漏洞來植入這類軟體。一旦系統感染,Infostealer 能在不被察覺的情況下運作,並將蒐集到的數據傳送至駭客控制的伺服器,導致資料洩露和更大的安全風險。 infostealer 通常是企業網路攻擊的第一步,因為其目的是為駭客進一步攻擊收集關鍵情報。這類軟體經常被整合在惡意軟體即服務(Malware-as-a-Service)平臺上,讓駭客更容易定制攻擊策略,針對不同的目標進行攻擊。

💡 Monster Stealer是什麼? Monster Stealer 是一種專門竊取企業敏感資訊的惡意軟體,特別是針對登入憑證、金融數據和加密貨幣。這類惡意軟體經常透過釣魚郵件、社交工程或利用未修補的系統漏洞進行攻擊。對台灣企業而言,這不僅可能導致數據洩漏,還會讓企業面臨財務和法律風險。

Symantec賽門鐵克雲端沙箱全新行為分類技術可有效偵測Monster Stealer

在整個Monster Stealer複雜的攻擊鏈中,一開始也是透過惡意廣告、社交工程等手法來散佈其infostealer惡意軟體,一旦企業員工為了貪圖免費的網路資源而點擊連結,或是臉書粉專管理員不慎點擊釣魚訊息連結,都有可能感染infostealer。


Monster Stealer 變種攻擊鏈
Monster Stealer 變種攻擊鏈

感染之後在不同攻擊階段,Monster Stealer使用多種不同惡意檔案、程序(如先前提過的就地取材攻擊),以及透過遠端連線以滲透、停留、竊取資訊並將蒐羅到的資料外傳。而Monster Stealer之所以難被傳統的偵測技術發現,是因為它每個版本所使用的惡意檔案、被用來散佈檔案的惡意程式都不同,也由於它是可客製化的,因此在受害者A公司的攻擊行為也會與在受害者B的行為模式大不相同。因此賽門鐵克雲端沙箱(Symantec Cloud Sandbox)透過新的行為分類技術,以彈性的偵測方式來對付Monster Stealer家族。


Symantec賽門鐵克雲端沙箱的運作原理在於透過多個先進的安全引擎,對攻擊活動進行檢測和分析,這些活動包括檔案、程序、網路活動和系統行為等,而這些可疑的異常活動往往也就是入侵指標(IoC)。然而,其中某些行為也可能是合法的軟體操作,因此在現實的工作環境中,很難區分這些異常行為究竟是攻擊還是正常的背景活動。例如,系統管理員在進行診斷時所執行的操作,與攻擊者試圖獲取系統資訊的行為看起來十分相似,導致傳統以行為為基礎的保護技術常會誤判,可能阻擋合法軟體,或放行Monster Stealer變種的執行。Symantec賽門鐵克雲端沙箱則不會有這個問題,因為它在一個完全受控且可預測的環境中運作,讓安全引擎可以更直接鎖定這些IoC,而不會受到干擾。


Symantec賽門鐵克雲端沙箱還具備獨特的一項行為分類技術,它可辨識出判斷惡意程式最終目的所需的最少IoC組合。這種分類技術大大提升對Monster Stealer這類惡意程式家族的偵測能力,尤其是在攻擊行為隱藏於合法軟體操作的背景下。


Symantec賽門鐵克雲端沙箱與電子郵件安全、端點偵測回應的結合


賽門鐵克Symantec Email Threat Detection and Response不僅僅檢測已知威脅,它能將檔案副本傳到Symantec Cynic雲端安全服務,而Cynic則會在沙箱中啟動這些檔案。在這個過程中,Cynic會將收集到的數據與Symantec全球情資網路(GIN)進行比對,以確定這些是否為惡意檔案。如此一來Monster Stealer這類的威脅在還未送到使用者端之前,就能被有效阻擋。


Symantec賽門鐵克雲端沙箱是端點安全完整版(Symantec Endpoint Security Complete, SESC)當中內建的功能,當SESC發現執行中的檔案存在潛在威脅,該檔案會立即同步被送至沙箱進行分析。儘管Symantec賽門鐵克端點防護軟體的行為監測、記憶體漏洞防護以及網路入侵防禦系統或防火牆,可能已經在某些情況下遏止了威脅,但沙箱的判定將使該威脅被提升至一個「事件」層級,並通知資安團隊進行進一步調查。


事件調查與防禦加強

當威脅被升級為事件後,資安人員可以深入了解該檔案是如何進入系統的、其執行過程有哪些行為,並決定可採取哪些安全措施來防止類似攻擊再次發生。在Symantec賽門鐵克雲端沙箱的「沙箱結果」標籤中,將列出所有在沙箱環境中觀察到的行為。這些當中被標示為「嚴重性:5- Critical 危急」的行為,代表該檔案之所以被判定為惡意最具關鍵的行動。(如下圖)

系統篩選出被標示為「嚴重性:5- Critical 危急」的Events
系統篩選出被標示為「嚴重性:5- Critical 危急」的Events

雖然上述例子主要針對Monster Stealer家族,但Symantec賽門鐵克雲端沙箱中先進的經驗法則技術可以用來偵測並告警其他複雜且客製化的攻擊。尤其當Symantec賽門鐵克雲端沙箱與賽門鐵克電子郵件安全雲端服務結合時,更成為一種強有力的防護措施,不僅能識別並阻止潛在威脅,更能在這些攻擊真正被啟動之前就予以攔截。而結合端點偵測與回應技術,雲端沙箱為企業提供更清楚的威脅攻擊鏈可視性及網路潛在攻擊的示警,使得整體網路安全策略更加完善。


Symantec持續為企業資安保駕護航

在面對如Monster Stealer這類潛在威脅時,企業應該更加關注資安強化措施的落實。隨著網路攻擊日益複雜,傳統的防護方式已經不敷使用,因此,賽門鐵克提供的多層次解決方案成為保護企業資料安全的關鍵。


賽門鐵克針對這些新興威脅,整合了端點偵測技術、電子郵件防護和雲端沙箱分析。這套完整的防護體系,讓企業能夠主動發現並抵擋惡意軟體在入侵時的每個階段,確保資料安全性與業務的連續性。雲端沙箱技術特別值得注意,因為它能在受到威脅的文件進入企業系統之前,將其隔離並分析,並依賴賽門鐵克全球情資網絡進行比對與檢查,準確判斷威脅真偽。這樣的多層防護,有效應對了Monster Stealer等惡意攻擊服務(Malware-as-a-Service)的複雜變種。


透過賽門鐵克雲端沙箱與其他賽門鐵克安全技術的整合,企業不僅可以迅速辨別潛在威脅,還能在攻擊行為還未真正展開之前進行防禦。這樣的技術創新,使企業能夠更加精準地面對現代化網路攻擊的挑戰。賽門鐵克持續不斷地為全球企業提供更先進且智能化的資安保護,為企業數據安全建立了最堅實的防護基石,使台灣及全球企業在面對新型惡意軟體威脅時能夠有效防禦。



原始資料來源 Symatnec Enterprise Blogs

Comments


bottom of page