从无文件恶意软件来理解威胁多样化

简介:

采纳了数字化的公司企业不仅仅更加敏捷,还大幅优化了预算,提升了竞争力。但在整体表现上升的同时,这些新技术的采纳,也扩大了攻击界面,让网络罪犯可以利用来部署威胁,破坏公司整体安全状态。

从无文件恶意软件来理解威胁多样化

传统威胁要么作为独立应用,在受害者机器上悄悄运行;要么破坏现有应用完整性,改变它们的行为。此类威胁通常被称为基于文件的恶意软件,传统终端防护解决方案已经集成了磁盘文件扫描功能,可以在文件执行之前加以阻断。

基于文件 vs 无文件

最常见的几种攻击技术里,受害者可能会下载恶意程序,该恶意程序就在后台静默执行,跟踪用户行为;或者利用主机上常见软件的漏洞,以便可以秘密下载额外的组件,在受害者毫无所觉的情况下执行之。

传统威胁在执行恶意代码之前,必须将代码写入受害主机磁盘。基于特征码的检测就是基于此而存在的,因为该技术可发现已知恶意程序,并阻止其写入磁盘或在主机上执行。然而,新的机制,比如加密、混淆和多态,已将传统检测技术甩在身后,因为网络罪犯不仅可以操纵文件在每台受害主机上的形态,还能让安全扫描引擎难以分析其中代码。

传统基于文件的恶意软件,通常用于获取对操作系统及其程序的未授权访问,往往会创建或释放带不同功能的额外文件及依赖,比如.dll、.sys或.exe文件。如果获得了有效数字证书,此类恶意软件还能避免触发任何基于文件的传统终端安全技术,将自身安装成驱动程序或rootkit,获得操作系统的完全控制权。个中代表,就是大名鼎鼎的震网病毒,渗透特定目标的同时还有长期驻留能力。该恶意软件经过了数字签名,有各种模块,能够从一台受害主机秘密扩散到另一台,直至抵达最终既定目标。

在恶意代码执行方式和传统文件扫描技术规避方式上,无文件恶意软件与基于文件的恶意软件完全不同。正如其名称所显示的,无文件恶意软件不涉及任何磁盘文件写入操作就能执行。恶意代码直接在受害计算机内存中执行,意味着系统重启后恶意代码就不复存在。但是,网络罪犯还采用了各种技术,将无文件的能力与驻留功能结合。比如说,恶意代码放到注册表中,就能随Windows重启而启动,既隐蔽又长久。

利用注册表的无文件恶意软件,还常常会使用脚本、shellcode,甚至加密二进制文件——因为传统终端安全机制通常缺乏仔细检查脚本的能力。由于传统终端安全扫描工具和技术,大多专注在已知及未知恶意软件样本的静态文件分析上,无文件攻击就能在相当长的时期内不被发现。

基于文件的恶意软件和无文件恶意软件的主要区别,在于其组件的存储及执行的位置和方式。由于网络罪犯已能绕过文件扫描技术并保持驻留和隐秘性,无文件恶意软件的流行度逐年上升。

投放机制

虽然两种攻击类型都依赖同样的投放机制,比如被感染的电子邮件附件,或者利用浏览器或常用软件漏洞的偷渡式下载;无文件恶意软件却往往基于脚本,且能利用现有合法应用程序来执行指令。比如说,附在恶意Word文档中的PowerShell脚本,就能被Windows原生工具PowerShell自动执行。其指令可以将受害系统的详细信息发给攻击者,或者下载本地传统安全解决方案检测不到的经混淆攻击载荷。

其他可能案例还包括恶意URL:一旦点击,就会重定向用户到利用Java漏洞执行PowerShell脚本的网站。因为脚本本身仅仅是一系列合法指令——就算这些指令可能下载并在内存中直接执行二进制代码,那也是合法指令;传统文件扫描式终端安全机制就不会检测此类威胁。

这种神出鬼没的威胁往往针对特定组织和公司,秘密渗漏数据。

下一代终端防护平台

下一代终端防护平台,通常指的是将分层安全——也就是基于文件的扫描和行为监视,与机器学习技术和威胁检测沙箱技术结合到一起的安全解决方案。某些技术只依赖机器学习算法作为单独一层防御。其他终端防护平台,则使用涉及多个机器学习强化安全层的检测技术。此类情况下,算法就集中在检测高级复杂威胁的执行前、执行中和执行后三个阶段的表现。

当下常见的错误之一,是将机器学习作为能检测任何类型威胁的独立安全层来看待。依赖仅采用机器学习的终端防护平台,强化不了企业的整体安全态势。

机器学习算法是用来强化安全层的,不是要替代它们。比如说,垃圾邮件过滤,就可以通过使用机器学习模型来予以增强,对基于文件的恶意软件的检测,也可以使用机器学习来评估未知文件是否恶意。

考虑到新攻击方法,强烈建议下一代终端安全平台能抵御利用未修复已知漏洞的攻击工具及技术,当然,已知漏洞更要能防护住。

需要指出的是,传统基于特征码的技术尚未死亡,也不应该被抛弃。它们是很重要的一个安全层,因为它们可以快速准确地验证文件是否恶意。特征码、行为分析和机器学习安全层的融合,可以打造出全面的安全解决方案,不仅能够处理已知恶意软件,还能对付未知威胁,可大幅提升企业的整体安全态势。这种安全技术的全面整合,不仅仅可以增加网络罪犯的攻击成本,还能让安全团队深入了解自家企业常被哪些类型的威胁盯上,又该怎样准确地进行缓解。


原文发布时间为:2017-11-09

本文作者:nana

本文来自云栖社区合作伙伴51CTO,了解相关信息可以关注51CTO。


目录
相关文章
|
2月前
|
存储 SQL 安全
网络防御的艺术:从漏洞识别到加密技术,构建信息安全的堡垒
【10月更文挑战第6天】在数字化浪潮下,网络安全与信息安全成为我们不可忽视的重要议题。本文将深入浅出地探讨网络安全漏洞的识别、加密技术的基本原理,以及提升个人和组织安全意识的重要性。通过实际案例分析和代码示例,我们将揭示如何有效防御网络攻击,保护个人隐私和组织数据不受侵犯。无论你是网络安全新手,还是希望深化理解的专业人士,这篇文章都将为你提供宝贵的知识分享。
|
3月前
|
安全 算法 网络安全
网络安全的守护神:漏洞防御与加密技术的深度解析
【9月更文挑战第23天】在数字时代的浪潮中,信息安全已成为我们不可忽视的重要课题。本文旨在深入探讨网络安全的两大支柱——漏洞防御和加密技术,揭示其背后的原理及应用。通过分析近期的安全事件,我们将理解安全意识的重要性,并学习如何通过技术和策略保护自己的数字资产。文章不仅提供理论知识,还将分享实用的安全建议,助您在网络世界中更安全地航行。
98 4
|
7月前
|
存储 SQL 安全
网络防御的艺术:洞悉漏洞、加密与安全意识
【5月更文挑战第27天】 在数字化时代,网络安全与信息安全已成为维护信息完整性、确保数据传输和保护用户隐私的关键。本文深入探讨了网络安全的核心组成部分:识别与应对安全漏洞、应用加密技术以及培养强大的安全意识。我们将剖析常见漏洞类型、加密协议的工作原理及如何通过教育与实践提高个人和组织的安全防护水平。
|
安全 网络安全
常用恶意软件分析平台汇总
常用恶意软件分析平台汇总
104 0
|
安全 数据库
新恶意软件GhostAdmin出现,专注于数据窃取
本文讲的是新恶意软件GhostAdmin出现,专注于数据窃取,安全研究团队MalwareHunter Team 今天发现了一个新的恶意软件家族,它可以感染计算机,并允许欺骗者通过IRC通道发送命令控制这些PC。
1483 0
|
安全
如何高效防范勒索软件?这五个对策很重要
本文讲的是如何高效防范勒索软件?这五个对策很重要,现阶段防御勒索软件的策略最为重要的一点就在于需要去领先于标准备份以及实时更新的病毒定义,并且不但要采取深度防御的全面安全策略来避免缴纳赎金还要能够试图去检测它。
1820 0
|
安全 物联网 Android开发
高危预警!移动设备安全面临的5大新型威胁
本文讲的是高危预警!移动设备安全面临的5大新型威胁,十年前,移动恶意软件还被认为是一种新的可怕的威胁。许多移动设备用户甚至心存侥幸地认为自己可以免遭这种威胁侵害。但是根据迈克菲实验室(McAfee Labs)的研究数据显示,仅在今年第一季度就发现了150万起新的移动恶意软件事件,截至目前共发生了超过1600万起移动恶意软件事件。
1629 0