日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

在本文中，專(zhuān)家Nick Lewis探討了高級(jí)惡意軟件為逃避檢測(cè)所使用的一些技術(shù)，并解釋了如何檢測(cè)和緩解這些威脅。

公司專(zhuān)注于為企業(yè)提供做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)、微信公眾號(hào)開(kāi)發(fā)、商城建設(shè)，成都小程序開(kāi)發(fā)，軟件按需搭建網(wǎng)站等一站式互聯(lián)網(wǎng)企業(yè)服務(wù)。憑借多年豐富的經(jīng)驗(yàn)，我們會(huì)仔細(xì)了解各客戶的需求而做出多方面的分析、設(shè)計(jì)、整合，為客戶設(shè)計(jì)出具風(fēng)格及創(chuàng)意性的商業(yè)解決方案，創(chuàng)新互聯(lián)更提供一系列網(wǎng)站制作和網(wǎng)站推廣的服務(wù)。

只要有攻擊目標(biāo)和金錢(qián)吸引，惡意軟件就會(huì)不斷進(jìn)化。

為了保持攻擊性和賺取利益，惡意軟件編寫(xiě)者將會(huì)采用高級(jí)逃避技術(shù)，并增加新功能來(lái)滿足其客戶的要求，這樣一來(lái)，利用惡意軟件的攻擊會(huì)變得更加有效和有利可圖。在過(guò)去幾個(gè)月，我們看到惡意軟件變得更加復(fù)雜的很多例子，包括Zeus從32位過(guò)渡到64位以及iBanking惡意軟件改進(jìn)為針對(duì)Android設(shè)備。

除了惡意軟件中引入新功能，還出現(xiàn)了圍繞“回歸自然”的新理念，即攻擊者利用內(nèi)置或合法工具來(lái)防止其攻擊被反惡意軟件檢測(cè)。Poweliks惡意軟件是這方面最新的例子。在本文中，筆者將探討最新的惡意軟件改進(jìn)以及檢測(cè)和控制惡意軟件所需的企業(yè)控制。

惡意軟件的進(jìn)化

TROJ_POWELIKS.A或者Poweliks是一種fileless惡意軟件，旨在下載其他惡意軟件來(lái)控制受感染系統(tǒng)。Poweliks需要單獨(dú)的初始感染媒介來(lái)感染本地系統(tǒng)和安裝該惡意軟件，據(jù)報(bào)道，這個(gè)媒介是Word文件。在初次感染后，惡意軟件會(huì)被安裝，并作為經(jīng)編碼的動(dòng)態(tài)鏈接庫(kù)(DLL)存儲(chǔ)在注冊(cè)表中，這個(gè)DLL被提取和注入系統(tǒng)中運(yùn)行的合法dllhost.exe進(jìn)程，隨后將會(huì)被執(zhí)行。

雖然存儲(chǔ)DLL在注冊(cè)表并不是在端點(diǎn)安裝惡意軟件的常見(jiàn)方法，但這確實(shí)使企業(yè)更難以檢測(cè)到該惡意軟件，因?yàn)椴⒉皇撬蟹磹阂廛浖ぞ叨紩?huì)檢查注冊(cè)表。然而，對(duì)于檢測(cè)注冊(cè)表的工具，發(fā)現(xiàn)包含大量數(shù)據(jù)的注冊(cè)表項(xiàng)肯定會(huì)有所警覺(jué)。Poweliks惡意軟件還會(huì)運(yùn)行PowerShell命令來(lái)完成攻擊。PowerShell命令可以被用來(lái)避免檢測(cè)，因?yàn)镻owerShell被安裝在大多數(shù)系統(tǒng)，并且它具有與操作系統(tǒng)交互的高級(jí)功能，這可以幫助完成攻擊。

其他惡意軟件也在繼續(xù)改進(jìn)，以讓惡意軟件編寫(xiě)者保持盈利。成熟的Zeus惡意軟件不斷加入新功能;據(jù)稱(chēng)最新添加的功能是完善的社會(huì)工程攻擊，即惡意軟件發(fā)送假的瀏覽器警告消息來(lái)讓用戶安裝惡意軟件。同樣地，iBanking.Android也添加了新功能，它使用假的安全軟件來(lái)讓用戶安裝該惡意軟件，然后它竊取雙因素身份驗(yàn)證中使用的短信。

必要的企業(yè)控制

我們可以通過(guò)很多不同的方式來(lái)檢測(cè)高級(jí)惡意軟件。多級(jí)惡意軟件(例如Poweliks)和多級(jí)攻擊會(huì)給企業(yè)更多時(shí)間來(lái)檢測(cè)惡意軟件，因?yàn)槊總€(gè)步驟都需要一定的時(shí)間;然而，未必需要檢測(cè)出每個(gè)步驟，因?yàn)橛行┎襟E本身可能并不是惡意。

在Poweliks的例子中，當(dāng)每個(gè)單獨(dú)的階段發(fā)生時(shí)，其多級(jí)方面可能很難檢測(cè)，但關(guān)聯(lián)所有階段和操作可以幫助檢測(cè)和緩解惡意活動(dòng)。

例如，雖然PowerShell腳本對(duì)系統(tǒng)管理員或高級(jí)用戶很有用，但很少有終端用戶會(huì)開(kāi)發(fā)和使用它們。檢測(cè)惡意PowerShell命令很難，因?yàn)橛泻芏郟owerShell功能的合法企業(yè)用例。然而，對(duì)于最終用戶使用的PowerShell腳本，系統(tǒng)管理員可能會(huì)要求腳本在執(zhí)行前進(jìn)行簽名;這可以幫助阻止惡意軟件執(zhí)行惡意腳本。盡管這個(gè)政策不能阻止專(zhuān)注的攻擊者，但這會(huì)提高攻擊難度，足以阻撓他們來(lái)防止攻擊。

雖然Poweliks惡意軟件的PowerShell方面可能很難檢測(cè)，但檢測(cè)它的命令和控制基礎(chǔ)設(shè)施及網(wǎng)絡(luò)連接會(huì)更容易。趨勢(shì)科技的博客文章提到特定IP可以用作攻擊的指標(biāo)，讓企業(yè)可以監(jiān)控其網(wǎng)絡(luò)對(duì)該IP的連接，并調(diào)查每個(gè)連接。監(jiān)控惡意網(wǎng)絡(luò)連接還可以幫助發(fā)現(xiàn)受感染系統(tǒng)，并對(duì)系統(tǒng)進(jìn)一步調(diào)查。這可能包括查看NetFlow日志來(lái)看看哪些系統(tǒng)是連接到外部IP的主要系統(tǒng)，或者具有大量失敗身份驗(yàn)證嘗試的系統(tǒng)。

新修改的Zeus惡意軟件和iBanking.Android惡意軟件可以通過(guò)用來(lái)發(fā)現(xiàn)Poweliks類(lèi)似的步驟來(lái)識(shí)別，因?yàn)樗鼈兌家蕾?lài)于安全意識(shí)。Zeus變體可以通過(guò)檢測(cè)網(wǎng)絡(luò)中到命令控制IP的連接來(lái)檢測(cè);而iBanking.Android則可以通過(guò)使用移動(dòng)反惡意軟件工具來(lái)掃描系統(tǒng)中的惡意文件來(lái)檢測(cè)。

需要注意的是，檢測(cè)知識(shí)有效控制惡意軟件的一部分。對(duì)涉及惡意軟件事件的積極響應(yīng)才是盡量減小受感染系統(tǒng)的影響的關(guān)鍵。

總結(jié)

毫無(wú)疑問(wèn)，惡意軟件將會(huì)繼續(xù)改進(jìn)和自動(dòng)化其最有效的手動(dòng)攻擊技術(shù)。隨著企業(yè)惡意軟件防御措施日趨成熟，惡意軟件將不可避免地尋找新方法來(lái)規(guī)避它們。這將需要企業(yè)的持續(xù)關(guān)注來(lái)控制和緩解潛在攻擊。企業(yè)需要不斷審查安全控制和技術(shù)來(lái)確保其可以有效抵御當(dāng)前攻擊。在發(fā)現(xiàn)新攻擊或新漏洞時(shí)，更新安全程序和控制是領(lǐng)先于攻擊者的關(guān)鍵。

同樣重要的是，企業(yè)不僅需要評(píng)估其如何管理系統(tǒng)，還需要評(píng)估對(duì)其系統(tǒng)的管理以決定某些功能(例如PowerShell腳本)是否會(huì)給其環(huán)境帶來(lái)新的風(fēng)險(xiǎn)，并需要額外的政策來(lái)防止漏洞被利用。

名稱(chēng)欄目：惡意軟件防御之道：高級(jí)逃避技術(shù)大起底
文章路徑：http://www.dlmjj.cn/article/dpodjsc.html