這波以 CountLoader 為核心的加密貨幣剪貼簿偷竊(Crypto Clipper)活動,其整個感染鏈
是專門為了規避傳統防毒軟體與特徵碼偵測而量身打造的。以下為您詳細拆解傳統防毒軟體在這場攻擊中面臨的五大致命盲點:
根據情資內容以及資安防禦技術原理,傳統防毒軟體(Traditional Antivirus, AV)基本上「無法」預防此類攻擊手法。
1. 濫用系統合法工具(Living off the Land)
傳統防毒軟體極度依賴「黑名單」與「特徵碼(Signatures)」比對。然而,CountLoader 卻是將惡意代碼包裝成 HTA 檔案,並透過 Windows 內建且預設受信任的合法公用程式 mshta.exe 來執行。
- 傳統 AV 的盲點:因為 mshta.exe 帶有微軟官方的合法數位簽章,傳統防毒軟體通常會將其視為良性程序放行,難以直接封鎖它,讓惡意代碼得以成功混入日常系統活動中。
2. 記憶體內無痕執行(Fileless / Memory-Only Execution)
情資中指出,攻擊的後半段透過 PowerShell 打包器解密並運行「殼層碼注射器(Shellcode Injector)」,將最終的惡意 payload 直接注入到 systeminfo.exe 程序的記憶體中,檔案從頭到尾完全不落地(Never touches the disk)。
- 傳統 AV 的盲點:傳統防毒主要防禦「硬碟磁碟區」內儲存的惡意檔案。一旦惡意程式改採無痕(Fileless)技術或直接於記憶體(Memory)中解密執行,沒有在硬碟生成可掃描的實體檔案,傳統防毒的特徵碼比對功能就等同失效。
3. 動態繞過核心安全防線(AMSI Bypass)
在將 Shellcode 注入記憶體之前,該惡意指令碼會使用公開的繞過技術,直接停用 Windows 內建的預設腳本掃描機制——AMSI(Antimalware Scan Interface)。
- 傳統 AV 的盲點:AMSI 是傳統防毒或 Windows Defender 用來審查動態腳本(如 Base64 加密的 PowerShell 指令)的重要管道。一旦 AMSI 在記憶體中被駭客中途關閉,傳統防毒就失去了對後續 PowerShell 行為的動態解碼與透視能力。
4. 區塊鏈隱蔽 C2(EtherHiding 技術)
傳統防毒或基本的網路防火牆,通常仰賴更新「惡意網域/IP 黑名單(威脅情資饋送, Threat Intelligence Feeds)」來阻斷惡意程式對外連線。但此 Clipper payload 採用了 EtherHiding 技術,直接從去中心化的以太坊(Ethereum)區塊鏈上抓取真正的控制伺服器位址。
- 傳統 AV 的盲點:對防毒軟體來說,惡意程式只是在讀取合法的區塊鏈公開數據,無法將整個以太坊網路列入黑名單阻斷。只要駭客在區塊鏈上更新智能合約或交易內容,就能隨時更換 C2 網域,導致防毒軟體的事後黑名單天天處於滯後狀態。
5. 混淆與動態加密(Obfuscation & Base64)
此活動在早期階段大量使用混淆 JavaScript 以及 Base64 編碼的 PowerShell 載荷,並在執行時才使用 Invoke-Expression 在記憶體中將其動態還原。
- 傳統 AV 的盲點:特徵碼只能辨識「已知的靜態字串」。駭客只需透過自動化工具對腳本進行微小的混淆、隨機化變更或多層加密,產生的二進位特徵碼(Hash)就會完全改變,輕鬆躲過傳統 AV 的靜態特徵比對。
企業應如何有效調整防禦轉向?
面對這類完全避開磁碟、甚至連 EDR(端點偵測與回應)可能都因為行為發生太快(毫秒級)而來不及阻斷的精密多階段攻擊,企業必須將資安策略從「事後偵測」轉向「執行前即時預防(Prevention-First)」:
- 引入深度學習預防引擎(Deep Learning AI):
根據相關資安前瞻技術(如 Deep Instinct),應布署不依賴雲端特徵碼比對、而是採用專門針對資安程式碼 DNA 進行辨識的「判別式類神經網路」防護工具。這類工具能夠在混淆的 EXE 或是惡意 HTA 檔案被嘗試執行前的毫秒瞬間(<20ms),直接判別出其惡意行為的 Decision Boundary 並直接在前端予以攔截,遏止第一階段的 PowerShell 被啟動。 - 強化記憶體與動態腳本防禦:
企業端點安全軟體必須具備「預防記憶體攻擊」與「防止 AMSI 被惡意竄改/繞過」的保護能力,確保在記憶體(Shellcode Injection)階段就能強制終止行為,而非眼睜睜看著 clipper payload 潛伏進 systeminfo.exe。 - 加強基礎安全衛生(Cyber Hygiene):
- 管制或停用非必要的 Windows 管理工具(如限制普通員工權限執行 mshta.exe 或高風險 PowerShell 命令)。
- 封鎖外部未授權 USB 裝置存取,防止 CountLoader 透過惡意 LNK 捷徑檔案進行實體橫向擴散。
節錄引用 2026.05.19_網路安全新聞: https://cybersecuritynews.com/malware-campaign-deliver-crypto-clipper/