【Intezer 無檔案惡意程式防禦】深入解析記憶體攻擊機制，打造主動式資安防線

作者：Shannon McFarland ｜ 編譯：AIShield 編輯部 ｜ 發稿日期：2025 年 7 月 7 日

無檔案惡意程式（Fileless Malware）近年來成為網路攻擊中最複雜的威脅之一。這類潛藏於系統中的攻擊，利用作業系統漏洞發動攻擊，卻不在硬碟上留下任何傳統檔案的痕跡。

本文將說明什麼是無檔案惡意程式，透過真實案例（包括深入探討 PowerShell 為基礎的攻擊）剖析其運作手法，並提供可行的防禦策略。

什麼是無檔案惡意程式？

無檔案惡意程式是一種完全存在於電腦記憶體中的網路威脅，不需依賴傳統檔案儲存方式。攻擊者透過作業系統內建的合法工具與應用程式，潛入系統、操控操作流程，行蹤極為隱密。儘管「純記憶體型惡意程式碼」的概念並不新穎，早在 2001 年的 Code Red 蠕蟲就已出現，但這類威脅的使用頻率近年急遽上升。

理想的惡意程式是不留檔案痕跡的。不過值得注意的是，這類攻擊在初始階段仍可能利用檔案來引導後續行動。例如，透過文件或腳本下載記憶體中的有效負載（payload）。

記憶體內部攻擊手法

傳統惡意程式依賴可執行檔運作，但無檔案惡意程式則透過記憶體漏洞進行攻擊。2014 年的 Poweliks 木馬是經典案例，它完全寄宿於 Windows 登錄檔中，不需在磁碟上建立任何檔案。Poweliks 利用 Microsoft Word 的漏洞，透過一封夾帶 Word 檔的電子郵件，建立一組隱藏的自動啟動登錄機碼，藉此在系統重新啟動後仍能持續運作。後續階段則依序執行 JScript 程式碼、PowerShell 腳本，最終載入 Poweliks 的惡意程式碼。

利用原生工具（LotL）攻擊

無檔案惡意程式常見的手法是 LotL 攻擊，也就是濫用系統原生合法工具，例如 PowerShell 或 Windows Management Instrumentation（WMI）等，來執行惡意操作。這類行為往往躲過傳統偵測機制，極難察覺。

例如，Mandiant 所揭露的後門程式 POSHSPY，就是利用 PowerShell 與 WMI 執行攻擊。它僅透過合法程序執行惡意行為，僅能透過進階日誌記錄或記憶體分析才能偵測。

無檔案惡意程式攻擊的常見形式

• 漏洞攻擊套件（Exploit Kits）：這類惡意工具可自動化利用瀏覽器、外掛或作業系統中的已知漏洞，將惡意程式植入受害系統。通常透過惡意網站或被植入惡意程式的合法網站進行傳播。

• 合法系統工具濫用（LotL 攻擊）：攻擊者使用像 PowerShell、WMI 或命令列工具等系統原生程式，執行攻擊流程。由於這些工具本就存在於系統中，因此更容易躲避偵測。

• 寄宿於登錄檔的惡意程式（Registry-Resident Malware）：這類惡意程式將自身隱藏於 Windows 登錄檔中，達成持久化目的，即使重新啟動系統也能繼續存活。

• 僅存在於記憶體的惡意程式（Memory-Only Malware）：這類攻擊完全在揮發性記憶體（RAM）中執行，硬碟上無任何痕跡。通常透過程式碼注入等技巧，直接在記憶體中執行惡意邏輯，避開檔案型偵測。

• 無檔案勒索軟體（Fileless Ransomware）：此類勒索軟體會在記憶體中進行檔案加密，或利用其他非檔案方式進行勒索，藉此繞過以檔案為核心的資安防線。

• 被竊取的帳號憑證（Stolen Credentials）：攻擊者可能透過釣魚、資料外洩或憑證填充攻擊等方式，取得帳號密碼後登入系統執行無檔案攻擊。

這些不同攻擊手法呈現了無檔案威脅的多樣性。因應之道需結合技術防禦、使用者教育與主動防護機制。

使用 PowerShell 執行無檔案攻擊

PowerShell 是 Windows 系統內建的腳本語言，也成為無檔案攻擊中最常見的工具之一。攻擊者利用它在記憶體中直接執行命令與腳本，完全不產生磁碟檔案。例如前述的 POSHSPY，就是典型的 PowerShell 攻擊載荷範例。

• PowerShell 作為攻擊入口：因為 PowerShell 預設安裝於 Windows 中，攻擊者可利用它執行惡意命令或下載有效負載，提升攻擊可行性。

• LotL 攻擊的延伸應用：PowerShell 可用於從資訊蒐集、橫向移動到資料外洩的多個攻擊階段，不需任何額外的惡意檔案。

• 腳本混淆與規避技術：攻擊者會透過混淆技術、規避腳本記錄機制、使用編碼指令等方式，繞過傳統防毒軟體的偵測。

• 程式碼注入：惡意 PowerShell 程式碼可能直接注入合法程序的記憶體空間中，完全不依賴可偵測的執行檔。

• 後滲透行動：PowerShell 也常被用來進行權限提升、載入後續攻擊模組等，形成多階段、難以回應的威脅。

• 偵測難度高：由於 PowerShell 也廣泛應用於日常系統管理中，區分正常與異常活動是資安防禦上的一大挑戰。若使用 Intezer，則可透過 AI 引擎自動分析 PowerShell 與其他腳本行為，有效辨識潛在威脅。

  
  

無檔案惡意程式攻擊的 10 個階段

1. 初始滲透與傳遞：透過釣魚信、惡意網站或受感染的軟體將惡意程式引入系統。

2. 漏洞利用：針對系統、應用程式或作業系統中的漏洞取得初始控制權。

3. 記憶體中執行與程式碼注入：惡意程式碼注入至記憶體中，避開磁碟與檔案偵測。

4. 權限提升：利用漏洞或工具將存取權限提升為管理員。

5. 橫向移動與網路擴散：透過共用資源或合法工具擴散至其他系統。

6. 持久化與登錄檔修改：建立自動啟動項目或排程任務，確保重啟後仍能運作。

7. 與外部指揮控制（C2）伺服器通訊：接收指令、更新模組或外洩資料。

8. 執行惡意行為與資料外洩：加密、竊取個資或敏感資料，發動勒索行動。

9. 反鑑識行為：刪除日誌、更改時間戳、隱藏執行紀錄以躲避調查。

10. 後續滲透或攻擊延伸：利用入侵系統進行新一波攻擊或作為跳板攻擊他人。

    
    

如何防範無檔案惡意程式？

進行進階偵測技術部署前，企業應優先建立下列五大基礎資安防線：

1. 端點防護系統：部署具備行為分析與啟發式偵測能力的進階端點安全解決方案。

2. 強化第一線 SOC 分析能力：導入自動化 SOC 或委外託管服務，以便從攻擊初期即能辨識與升級應對事件。

3. 定期更新軟體與系統：修補漏洞，降低攻擊面。

4. 最小權限原則（PoLP）：限制高權限帳號數量，減少憑證被竊時的風險。

5. 應用程式白名單管理：限制未授權腳本與程序執行，防止惡意行為。

進一步的監控與事件回應應涵蓋記憶體活動分析、自動化鑑識與即時隔離機制，以偵測躲藏於記憶體中的無檔案威脅。

Intezer 自動化記憶體鑑識的關鍵價值

將自動化記憶體分析納入資安策略，能幫助企業主動辨識潛藏於記憶體中的威脅。Intezer 提供的技術能即時擷取惡意程式碼與腳本，自動掃描受感染端點記憶體，判斷哪些設備遭受感染、哪些無異常痕跡。這讓資安團隊能快速掌握現況、防止威脅擴散，確保營運不中斷。

結語

無檔案惡意程式對所有規模的企業而言都是明確且即時的威脅。理解其運作機制，並建構多層式防禦架構，是提升資安韌性的必要步驟。保持主動偵測、持續監控與資訊透明，是對抗無檔案攻擊的關鍵。

🔍資安名詞小辭典（本篇術語快速解釋）

Fileless Malware（無檔案惡意程式）

指完全在記憶體中執行、不於硬碟上留下檔案痕跡的惡意程式。常用合法工具發動攻擊，難以被傳統防毒軟體偵測。

Payload（有效負載）

惡意程式中實際執行破壞性行為的部分，如竊取資料、加密檔案等。可透過腳本、遠端下載等方式載入。

PowerShell

Windows 系統內建的命令列腳本語言。因功能強大且普遍存在，常被攻擊者用於執行無檔案攻擊。

LotL（Living-off-the-Land）攻擊

利用系統內原生工具（如 PowerShell、WMI）進行攻擊，不需外部程式，因此難以察覺。

🛡 想了解如何自動化防禦無檔案惡意程式？預約技術顧問：contact@aishield.com.tw

本文翻譯自 Intezer 原文：“ What is Fileless Malware? Explained, with Examples ”

發佈日期：2023年11 月 22 日

原文出處：Intezer 部落格文章