从无文件恶意软件来理解威胁多样化

采纳了数字化的公司企业不仅仅更加敏捷,还大幅优化了预算,提升了竞争力。但在整体表现上升的同时,这些新技术的采纳,也扩大了攻击界面,让网络罪犯可以利用来部署威胁,破坏公司整体安全状态。

传统威胁要么作为独立应用,在受害者机器上悄悄运行;要么破坏现有应用完整性,改变它们的行为。此类威胁通常被称为基于文件的恶意软件,传统终端防护解决方案已经集成了磁盘文件扫描功能,可以在文件执行之前加以阻断。

基于文件 vs 无文件

最常见的几种攻击技术里,受害者可能会下载恶意程序,该恶意程序就在后台静默执行,跟踪用户行为;或者利用主机上常见软件的漏洞,以便可以秘密下载额外的组件,在受害者毫无所觉的情况下执行之。

传统威胁在执行恶意代码之前,必须将代码写入受害主机磁盘。基于特征码的检测就是基于此而存在的,因为该技术可发现已知恶意程序,并阻止其写入磁盘或在主机上执行。然而,新的机制,比如加密、混淆和多态,已将传统检测技术甩在身后,因为网络罪犯不仅可以操纵文件在每台受害主机上的形态,还能让安全扫描引擎难以分析其中代码。

传统基于文件的恶意软件,通常用于获取对操作系统及其程序的未授权访问,往往会创建或释放带不同功能的额外文件及依赖,比如.dll、.sys或.exe文件。如果获得了有效数字证书,此类恶意软件还能避免触发任何基于文件的传统终端安全技术,将自身安装成驱动程序或rootkit,获得操作系统的完全控制权。个中代表,就是大名鼎鼎的震网病毒,渗透特定目标的同时还有长期驻留能力。该恶意软件经过了数字签名,有各种模块,能够从一台受害主机秘密扩散到另一台,直至抵达最终既定目标。

在恶意代码执行方式和传统文件扫描技术规避方式上,无文件恶意软件与基于文件的恶意软件完全不同。正如其名称所显示的,无文件恶意软件不涉及任何磁盘文件写入操作就能执行。恶意代码直接在受害计算机内存中执行,意味着系统重启后恶意代码就不复存在。但是,网络罪犯还采用了各种技术,将无文件的能力与驻留功能结合。比如说,恶意代码放到注册表中,就能随Windows重启而启动,既隐蔽又长久。

利用注册表的无文件恶意软件,还常常会使用脚本、shellcode,甚至加密二进制文件——因为传统终端安全机制通常缺乏仔细检查脚本的能力。由于传统终端安全扫描工具和技术,大多专注在已知及未知恶意软件样本的静态文件分析上,无文件攻击就能在相当长的时期内不被发现。

基于文件的恶意软件和无文件恶意软件的主要区别,在于其组件的存储及执行的位置和方式。由于网络罪犯已能绕过文件扫描技术并保持驻留和隐秘性,无文件恶意软件的流行度逐年上升。

投放机制

虽然两种攻击类型都依赖同样的投放机制,比如被感染的电子邮件附件,或者利用浏览器或常用软件漏洞的偷渡式下载;无文件恶意软件却往往基于脚本,且能利用现有合法应用程序来执行指令。比如说,附在恶意Word文档中的PowerShell脚本,就能被Windows原生工具PowerShell自动执行。其指令可以将受害系统的详细信息发给攻击者,或者下载本地传统安全解决方案检测不到的经混淆攻击载荷。

其他可能案例还包括恶意URL:一旦点击,就会重定向用户到利用Java漏洞执行PowerShell脚本的网站。因为脚本本身仅仅是一系列合法指令——就算这些指令可能下载并在内存中直接执行二进制代码,那也是合法指令;传统文件扫描式终端安全机制就不会检测此类威胁。

这种神出鬼没的威胁往往针对特定组织和公司,秘密渗漏数据。

下一代终端防护平台

下一代终端防护平台,通常指的是将分层安全——也就是基于文件的扫描和行为监视,与机器学习技术和威胁检测沙箱技术结合到一起的安全解决方案。某些技术只依赖机器学习算法作为单独一层防御。其他终端防护平台,则使用涉及多个机器学习强化安全层的检测技术。此类情况下,算法就集中在检测高级复杂威胁的执行前、执行中和执行后三个阶段的表现。

当下常见的错误之一,是将机器学习作为能检测任何类型威胁的独立安全层来看待。依赖仅采用机器学习的终端防护平台,强化不了企业的整体安全态势。

机器学习算法是用来强化安全层的,不是要替代它们。比如说,垃圾邮件过滤,就可以通过使用机器学习模型来予以增强,对基于文件的恶意软件的检测,也可以使用机器学习来评估未知文件是否恶意。

考虑到新攻击方法,强烈建议下一代终端安全平台能抵御利用未修复已知漏洞的攻击工具及技术,当然,已知漏洞更要能防护住。

需要指出的是,传统基于特征码的技术尚未死亡,也不应该被抛弃。它们是很重要的一个安全层,因为它们可以快速准确地验证文件是否恶意。特征码、行为分析和机器学习安全层的融合,可以打造出全面的安全解决方案,不仅能够处理已知恶意软件,还能对付未知威胁,可大幅提升企业的整体安全态势。这种安全技术的全面整合,不仅仅可以增加网络罪犯的攻击成本,还能让安全团队深入了解自家企业常被哪些类型的威胁盯上,又该怎样准确地进行缓解。

原文发布时间为:2017-11-09

本文作者:nana

时间: 2024-12-22 21:02:46

从无文件恶意软件来理解威胁多样化的相关文章

揭秘无文件恶意软件的前生今世

本文讲的是揭秘无文件恶意软件的前生今世, 一听到无文件恶意软件,很多企业和个人用户都感觉无所适从.因为目前的很过防御检测技术还足以对这些攻击产生有效的拦截.无文件恶意真有这么厉害吗?今天我们就来详细的回顾一下它的历史,并结合一些目前已经查明的恶意软件样本进行具体分析. 根据Google Trends监测,无文件恶意软件这个词出现在2012年到2014年之间.不过随着恶意软件的开发者开始在攻击中频繁的使用这一技术,网络安全人员对这一术语的集中大规模讨论却发生在2015年,直至2017年随着网络安全

漫谈无文件恶意软件的发展历史

一.前言 究竟什么是"无文件恶意软件(fileless malware)"?谈到这个名词时,许多安全行业的专业人员都心有余悸,许多文章和产品手册在介绍无文件恶意软件时,总会顺带提到我们难以防御和分析这类威胁.我在这篇文章中会试着抛开这些陈词滥调,追溯无文件恶意软件的最初起源,并以此类恶意软件的几个样本为例,勾勒出这个名词的演变轮廓. 二.这是一个热门话题 人们在工业事件.私人会议以及在线讨论中经常会提到无文件恶意软件这个话题.原因可能在于这类威胁放大了传统端点安全技术的缺点,又给了新型

无文件恶意软件采型用DNS作为隐秘信道

本文讲的是无文件恶意软件采型用DNS作为隐秘信道,DNSMessenger是PowerShell脚本多阶段威胁,采用DNS作为与攻击者双向通信的信道. 针对性攻击已经脱离了传统恶意软件,转向更隐蔽的技术.这些技术滥用标准系统工具和协议,其中一些还并非总能被检测到. 最近的例子,是名为DNSMessenger的攻击.思科系统Talos团队分析了该攻击,发现其投放方式比较老套,就是用网络钓鱼邮件附带恶意Word文档. 该文档被打开时,会伪装成英特尔旗下迈克菲杀毒软件的"受保护文档",要求用

崛起中的“无文件式”恶意软件攻击

攻击者希望尽可能保持隐身来减少他们被检测的机会,这意味着他们只能对受感染系统进行最少次数的改变,以及在系统留下最少的证据.攻击者保持不被发现的时间越长,他们就越有可能实现自己的目标.攻击者早就知道在攻击过程中删除自己的工具,而恶意软件作者也开始删除在攻击中使用的文件,这被称为无文件(fileless)恶意软件.在无文件恶意软件攻击中,系统变得相对干净,没有很多恶意文件可被检测来通知安全管理人员. 在本文中,让我们一同探讨一下无文件恶意软件的工作原理,它如何变得越来越复杂,以及企业应该怎样做来保护

对新型无文件后门 JS_POWMET 的简单分析

本文讲的是对新型无文件后门 JS_POWMET 的简单分析, 由于高明的网络犯罪分子会在不留下痕迹的情况下进行攻击,因此不留痕迹的恶意软件将成为未来最常见的攻击方法,而且这种苗头已经开始显现了.比如,今年6月,安全研究人员就发现了一个新的无文件勒索病毒, 被称为"Sorebrect",它将恶意代码注入到目标系统的合法进程svchost.exe中, 然后自毁以躲避检测. 然而,许多所谓的无文件恶意攻击只是在进入用户系统时才是无文件的,而在最终执行其有效载荷时还是会暴露自己,所以要想使用完

揭秘基于注册表隐藏的无文件攻击

发展 一直以来,文件是恶意代码存在的最常见形式,安全软件也通常把磁盘上的文件作为重点检测对象.然而,一旦恶意代码以无文件形式存储在系统中,便难以对其追踪.早在十几年前,红色代码.Slammer蠕虫就利用缓冲区溢出进行攻击,通过网络传播,完全存在于内存之中,而不以文件作为载体.不过,这种基于内存的无文件(Fileless)攻击一旦进程或系统关闭,也就不复存在.为了实现攻击持久化,攻击者们找到新的突破口--将恶意软件实体隐藏在注册表的某个键值里,并通过各种加密手段,来逃脱安全软件的查杀.最早使用该技

恶意软件“八月”利用powershell进行无文件感染

本文讲的是 恶意软件"八月"利用powershell进行无文件感染,Proofpoint安全研究专家提醒,一种叫做"八月"(August)的新型窃取信息恶意软件正利用Windows powershell脚本进行无文件感染并通过Word文档传播. 这个恶意软件是由高度个性化的TA530为载体来传播的,研究者表示,"八月"传播的目标是零售商的客服.管理人员,窃取目标计算机当中的认证信息与敏感文件. 为了保证感染成功,攻击者会在邮件标题中会提到目标公司

“无文件”恶意程序攻击技术还原

本文讲的是"无文件"恶意程序攻击技术还原, 最近几天,超过140家美国.南美.欧洲和非洲的银行.通讯企业和政府机构感染了一种几乎无法被检测到的极为复杂的无文件恶意程序,搞得大家异常紧张,似乎碰到了什么神秘攻击.今天就让我们跟随安全专家的脚步来一探究竟. 其实这种类型的感染并不是第一次出现,几年前卡巴斯基就曾在自己企业内部网络中发现了这种在当时前所未有的恶意程序,并将其称为Duqu 2.0.Duqu 2.0的来源则被认为是震网,是当时美国与以色列为了破坏伊朗核计划专门合作创建的一种极为复

趋势科技技术分析:详解无文件勒索病毒Sorebrect

本文讲的是趋势科技技术分析:详解无文件勒索病毒Sorebrect,Fileless威胁和ransomware并不是什么新的东西,但是包含其特征组合的恶意软件却可能成为一种新的危险.例如,我们最近发现的Fileless代码注入ransomware – SOREBRECT. 事实上,我们是在今年第二季度初的监测中首次遇到SOREBRECT的,它对中东各个组织的系统和网络造成了很大的影响.而在我们提取和分析了SOREBRECT样本之后,发现了它用来加密受害者数据的不寻常技术.当然,它滥用PsExec实