在「一切正常」的假象下,企業如何偵測不落地(In-Memory)攻擊?本文解析一起真實資安案例:攻擊者利用 DLL Side-loading 與合法程式掩護,避開傳統防火牆與 EDR 偵測。透過 NEITHNET 的全方位情資整合,展示如何結合 NEITHDNS 識別異常連線、NEITHViewer 監測網路行為,以及 NEITHSeeker 深入端點追蹤,破解偽裝成 Windows Update 或雲端服務的惡意通訊。面對隱藏在合法流程中的威脅,資安關鍵已從單純「防禦」轉向「早期預警」,唯有同步掌握 DNS、流量與端點活動,才能在風險擴大前精準止損。
最近碰到一個案子,受影響的環境第一眼看過去,真的就是「一切正常」。
防火牆好好的在跑、防毒跟 EDR 也都沒叫,系統服務也沒斷掉,從管理者跟維運人員的角度來看,根本沒什麼需要處理。
因此,這件事一開始就沒有被注意到。
真正的問題,是後來回頭去翻系統跟網路行為的時候,才慢慢看出端倪。
這起事件,並非一開始就能明顯看出大規模攻擊或破壞,而是從一連串看起來很合理、甚至再正常不過的行為開始的。攻擊者先從外部偵查鎖定目標,成功入侵ERP主機之後,並沒有丟什麼明顯的惡意程式檔案進去,而是直接利用系統原先就允許的機制,在記憶體裡執行程式碼,走 In-Memory(不落地)的方式,刻意避開傳統防毒跟EDR主要在抓的檔案型偵測。
在端點面,攻擊行為又透過DLL Side-loading的方式藏起來。就是合法程式在正常啟動的時候,被引導去載入已經被換掉的模組,讓惡意行為自然混進原本的程式執行過程。從系統紀錄看,啟動的是合法程式、流程也符合規則,整個過程還是「看起來一切正常」。
接下來,攻擊行為沒有馬上讓服務掛掉或跳告警,而是悄悄在內部環境裡移動,慢慢部署後門程式,持續蒐集敏感資訊。大部分操作都包裝成合法程式在執行,甚至出現合法程式被拿去做壞事的狀況,這種行為在系統跟端點層面,很難被單一防護設備馬上抓到。
對外通訊這塊,這種「正常的假象」同樣被刻意放大了。相關連線表面上看就是一般的DNS查詢跟服務連線,甚至偽裝成 Windows Update、系統時間同步,或是常見的雲端服務之類的合法網址。從網域名稱來看都說得通;但實際上,這些合法網址卻被惡意的DNS解析動了手腳,讓系統在不知情的情況下,把資料送到攻擊者控制端。異常流量就這樣長時間混在一堆正常通訊裡,幾乎不會有人注意到。
回頭看整起事件,會發現問題不是防護設備沒作用,而是攻擊行為刻意躲在「大家早就習以為常的正常流程裡」。當防火牆、防毒跟EDR都安安靜靜的時候,「一切正常」反而變成最容易被忽略、也最危險的狀態。
也是在這個實際案例裡,我們更確定一件事:
資安的關鍵,早就不只是「有沒有擋下來」,而是能不能在早期就看懂正在發生什麼。
透過NEITHDNS,可以從DNS行為裡提早注意到異常解析與不尋常的連線關係;同時搭配NEITHViewer的網路行為觀察,幫忙判斷哪些通訊雖然合法,但其實不太符合原本的使用情境;最後由NEITHSeeker回到端點這層,確認合法程式有沒有被拿去做不該做的事。當這些線索放在同一個脈絡一起看,原本被忽略的異常,才會真正浮現出來。
這起案例再提醒我們一個很簡單、但很重要的事:
看得早、看得清,才守得住。
當企業能同時掌握DNS、網路行為跟端點活動,就算攻擊者刻意藏在合法行為裡面,還是有機會在風險擴大之前,提早發現並處理。這就是NEITHNET 在實際案例中,持續在做的資安思維跟方向。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
