国产理论片在线播放-国产理论片在线观看-国产理论视频在线观看-国产理论在线观-国产理论在线观看-国产理论在线观看应用

行業(yè)新聞

您當(dāng)前的位置:首頁 > 新聞資訊 > 行業(yè)新聞

抵御無文件型惡意軟件攻擊的那些事兒

發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時間:2020-09-14 瀏覽次數(shù):

目前,針對企業(yè)環(huán)境的無文件型惡意軟件威脅正在日趨增長。

無文件型惡意軟件所使用的代碼不需要駐留在目標(biāo)Windows設(shè)備上,而普通的Windows安裝程序涉及到很多的東西:PowerShell、WMI、VB、注冊表鍵和.NET框架等等,但對于無文件型惡意軟件來說,它們在實現(xiàn)目標(biāo)主機感染時,并不需要通過文件來調(diào)用上述組件。

這個過程通常被稱之為Process Hollowing,在這種機制下,惡意軟件可以使用一個特定進程來作為惡意代碼的存儲容器以及分發(fā)機制。

近期,F(xiàn)ireEye的研究人員就發(fā)現(xiàn)有攻擊者將PowerShell、VB腳本和.NET應(yīng)用整合進了一個代碼包中。

利用PowerShell來實現(xiàn)攻擊已經(jīng)很常見了,而且大家應(yīng)該也清楚基于PowerShell的漏洞攻擊殺傷力有多么強大,因為惡意代碼可以直接在PC內(nèi)存中執(zhí)行。

此外,PowerShell還可以用于遠程訪問攻擊或繞過應(yīng)用白名單保護等等。

鑒于這類日趨嚴(yán)重的安全威脅,安全團隊可以做些什么來保護他們的組織抵御無文件型惡意軟件呢?確保公司內(nèi)部環(huán)境的安全為了抵御無文件型惡意軟件的攻擊,首先我們要確保組織網(wǎng)絡(luò)系統(tǒng)內(nèi)的計算機安裝了最新的補丁程序。

很多攻擊者會利用舊版本系統(tǒng)中未修復(fù)或延遲修復(fù)的漏洞,而“永恒之藍”漏洞就是一個很好的例子(該漏洞的補丁要先于漏洞利用程序的發(fā)布)。

接下來,我們要設(shè)計一個強有力的安全意識培訓(xùn)方案。

這并不意味著你要定期進行安全練習(xí),或偶爾向員工發(fā)送釣魚測試郵件。

這里需要我們制定一套安全操作流程,并且讓員工有效地意識到電子郵件附件的危險性,防止員工無意識地點擊陌生鏈接。

因為很多無文件型惡意軟件攻擊都是通過一封簡單的網(wǎng)絡(luò)釣魚郵件開始的,因此這樣的安全培訓(xùn)或操作方案是非常重要的。

第三,安全團隊需要了解Windows內(nèi)置代碼的操作行為,這樣我們就可以在第一時間發(fā)現(xiàn)異常情況。

比如說,如果你在/TEMP目錄中發(fā)現(xiàn)了隱藏的PowerShell腳本,那你就需要小心了。

更新訪問權(quán)限和特權(quán)賬號組織應(yīng)該了解無文件型惡意軟件的攻擊機制,因為就算你點擊了一封郵件中的惡意附件,也并不意味著你的電腦就會立即感染惡意軟件。

因為很多惡意軟件會在目標(biāo)系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境中進行橫向滲透,并尋找更加有價值的攻擊目標(biāo),比如說域控制器或Web服務(wù)器等等。

為了防止這種情況的發(fā)生,我們應(yīng)該對組織內(nèi)的網(wǎng)絡(luò)系統(tǒng)以及相應(yīng)訪問權(quán)限進行仔細劃分,尤其是針對第三方應(yīng)用程序和用戶進行劃分。

當(dāng)惡意軟件成功滲透目標(biāo)組織的網(wǎng)絡(luò)系統(tǒng)后,隨著惡意軟件的橫向滲透,攻擊者可以利用PowerShell來實現(xiàn)提權(quán)。

比如說,攻擊者可以發(fā)送反向DNS請求,枚舉出網(wǎng)絡(luò)共享的訪問控制列表,并查找出特定域組的成員。

因此,安全團隊?wèi)?yīng)當(dāng)遵循“最少權(quán)限”的原則,及時檢查已過期賬戶的訪問權(quán)限,并根據(jù)需要限制某些賬號的特權(quán)。

除此之外,組織還要禁用那些不需要的Windows程序,因為并不是每個員工都需要在自己的計算機上運行PowerShell或.NET框架的。

當(dāng)然了,你也可以移除像SMBv1這樣的遺留協(xié)議,而這類協(xié)議也是WannaCry能夠為非作歹的主要原因。

最后,為了確保不被攻擊者利用MS Office惡意宏來實現(xiàn)攻擊,我們也應(yīng)該盡可能地禁用宏功能,不過這并不是一種通用解決方案,因為很多用戶仍然需要宏功能來完成他們的工作。

抗?fàn)幍降祝‰m然無文件攻擊日益猖獗,但微軟方面并沒有停滯不前。

實際上,他們已經(jīng)開發(fā)出了一個名為“反惡意軟件掃描接口”的開放接口,而且很多供應(yīng)商已經(jīng)開始使用它來檢測無文件型惡意軟件攻擊了,尤其是在分析腳本行為時,這個接口的作用就體現(xiàn)得更加明顯了。

此外,任何想要深入了解無文件型攻擊的研究人員都應(yīng)該去看一看開源項目-AltFS。

這是一個完整的無文件型虛擬文件系統(tǒng),可以用來演示無文件技術(shù)的工作機制,而且該項目可以直接在Windows或macOS平臺上搭建使用。

正如大家所看到的那樣,對抗無文件攻擊需要我們扎扎實實地做好很多細節(jié)工作,并在各種工具與技術(shù)之間進行仔細協(xié)調(diào)。

隨著越來越多不可預(yù)見的惡意軟件威脅出現(xiàn),各大組織更應(yīng)該采取措施來加強自身的安全防御。


  • 上一篇:淺析企業(yè)加密軟件排行榜
  • 下一篇:源代碼防泄密再成焦點問題
  • Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有

    粵ICP備2021016007號

    主站蜘蛛池模板: 国产精品999| 私人家庭影院 | 国产在线观看免费观看不卡 | 国产高清精品亚洲明星换脸 | 国产99久9在线视频 国产大学生酒店刺激在线 国产精品自产精品在线观看 | 国产一级a | 時政要聞| 国产女人喷潮视频在线观看 | 日本手机在线视频 | 日韩欧美精品在线观看视 | 写真福利理论片在线播放 | 全黄裸片一29分钟免费真人版 | 日本一道在线免费观看 | 欧美乱子伦一区二区三区电影 | 91欧美视频 | 精品国产女主播在线观看 | 亚洲欧美日本一区 | 丝袜国产精品视频二区 | 911亚洲精品国 | 热门电影、电视剧、动 | 国产精品一区二区在线播放 | 成人国产| 欧美日韩亚洲第一页 | 午夜三级三级三点在线 | 日韩卡1卡2卡三卡免费网站 | 初爱免费视 | 国产精品九九 | 国产免费一区二区三区vr | 亚洲不卡一卡2 | 日韩欧美中文宇幕无敌色 | 欧美精品日韩二区三区 | 区四区在线观看 | 国产欧美日韩综合 | 国产在在线免 | 国产偷亚洲偷欧美偷精品 | 国产日产精品日韩欧美一区 | 欧美日韩午夜专区 | 中文在线观看亚洲自 | 亚洲欧美综合另类中字 | 玖玖影视 | 成人a大片在线观看 |