為什麼企業都有安裝防毒軟體還是會遭到駭客釣魚信件入侵,導致加密勒索
這是一個非常核心的資安痛點。即便企業部署了知名的防毒軟體(AV)或端點偵測系統(EDR),駭客依然能透過釣魚信件成功入侵並植入勒索軟體,主要原因可以歸納為以下幾個維度:
1. 「預執行」階段的偵測盲區
大多數傳統防毒軟體是基於特徵碼(Signatures)或行為準則(Rules)。
- 靜態特徵失效: 駭客在發動攻擊前,會使用自動化工具不斷修改惡意程式的二進位代碼(多型變異),直到目前的防毒軟體「認不出來」為止。這就是所謂的「零日攻擊」(Zero-day)。
- 行為偵測的滯後性: 許多安全工具必須等到程式「執行後」,發現它開始加密檔案或掃描網路,才會觸發警告。然而,此時駭客可能已經取得權限或開始破壞,損害已經造成。
2. 郵件防護與端點防禦的脫節
釣魚信件(BEC 或 Phishing)通常是攻擊的進入點(Initial Access)。
- 電子郵件劫持(Email Thread Hijacking): 駭客潛伏在已洩漏的郵件往來中,偽裝成合作夥伴回覆郵件並夾帶惡意檔案。這類郵件來自「真實的通訊對象」,且內容邏輯合理,安全閘道器很難判定為惡意。
- 逃避沙箱偵測: 惡意檔案可能被設有密碼(密碼就在信件內容中),或者設定在特定時間後才啟動。這讓自動化的沙箱(Sandbox)掃描無法第一時間觸發其惡意行為。
3. 利用合法工具進行攻擊 (Living-off-the-Land)
現代駭客不一定會直接執行「病毒檔案」。他們會利用系統內建的合法工具(如 PowerShell, WMI, 或遠端桌面 RDP)進行操作。
- 防毒軟體通常會信任系統內建的程式。
- 駭客透過釣魚信件騙取員工憑證後,直接以合法身分登入,接著進行橫向移動(Lateral Movement)。這在防毒軟體眼中看起來像是正常的管理行為。
4. 針對工廠與遠端節點的弱點
正如你曾關注的案例,駭客常從安全性較弱的遠端廠區作為跳板。
- 防禦等級不一: 總部可能防禦嚴密,但分點或廠區的資安政策可能較鬆散,或者設備較為老舊,無法運行最新的安全偵測軟體。
- VPN 與連線漏洞: 駭客一旦透過釣魚取得員工的 VPN 帳密,就能直接穿透防火牆進入內部網路,導致加密行為從內部發起,防不勝防。
5. 如何強化?從「偵測」轉向「預防」
為了彌補這些漏洞,企業目前的技術趨勢正朝向以下方向發展:
- 深度學習靜態分析: 採用如 Deep Instinct 這種不依賴行為、而是直接分析二進位位元流(Bitstream)的技術,在檔案執行前就識別出惡意基因。
- 零信任網路存取(ZTNA): 不再信任內網中的任何連線,即便是從廠區連回總部的流量也必須經過嚴格身份驗證。
- 微切分(Micro-segmentation): 利用如 Nutanix AHV 內建的 Flow 功能,限制虛擬機之間的通訊。即使廠區一台主機被感染,駭客也無法輕易移動到總部的資料中心。
總結來說: 傳統防毒軟體是在「找壞人」,但現在的駭客會「變裝」成好人,或直接「偷好人的鑰匙」。因此,結合具備強大泛化能力的深度學習模型,以及嚴格的內網隔離,才是防止釣魚攻擊演變成大規模勒索的關鍵。