取消
显示结果 
搜索替代 
您的意思是: 
cancel
2761
查看次数
0
有帮助
5
评论
one-time
Expert
Expert
社区为您汇总了《每月热点威胁》系列分享,点击查看思科《每月热点威胁》持续更新中……

比实地作战中 “敌人在暗我在明” 更让人觉得恐怖、紧迫的是网络攻防中的 “威胁在暗我在明”,甚至威胁 “隐身”。
隐身是网络犯罪分子极力追求的目标,而无文件恶意软件的开发帮助他们越发接近这个目标。
何为“无文件恶意软件”?

无文件恶意软件是一种驻留在内存中的恶意软件。顾名思义,这种恶意软件在受害者的系统内存中运行,而不是在磁盘上的文件中运行。由于扫描不到任何文件,这导致它很难被检测出来,而且使调查分析变得更加困难,因为当受害者的计算机重新启动时,这种恶意软件便会消失。
无文件恶意软件可以通过网络钓鱼、恶意网站等进入网络,就像任何其他类型的恶意软件一样。不同之处在于,它在实施感染时不会安装或运行任何可执行文件。这就是所谓的 “无文件” 的意思。
然后,这种恶意软件会在系统内存中运行,并操纵管理实用程序来发起攻击。由于许多安全技术明确信任这些实用程序,因此这种恶意软件不易被发现,并且其活动会看似无害。这才是最可怕的吧!
“作案套路”

2017 年底,思科 Talos 威胁情报团队在博客中介绍了一种名为DNS Messenger 的新型无文件恶意软件。
攻击者通过邮件向受害者发送受感染的 Word文档,并诱使用户在文档中启用宏。启用后,宏便启动 Windows PowerShell 脚本,以通过 WMI 访问特定的互联网域。该恶意软件从与这些域关联的 DNS TXT 文件中收到进一步的指令。
以文件为中心的传统恶意软件检测技术无法检测到这种威胁,因为它不安装任何文件,并且将恶意指令巧妙地放置在受害者网络外部的 DNS 记录中。从基于文件的角度来看,一切都会显得很正常,必须密切监视 DNS 流量才能检测出这种威胁。
无文件恶意软件制作者使用的另一种技术是将编码命令放在一个或多个特定的Windows 注册表项中。注册表是受信任的位置。安全产品往往不会在注册表中查找恶意软件。
因此,如果 PowerShell 脚本读取注册表项,会发现该活动似乎并无异常。异常的是注册表项编码不正常。同样,基于文件的恶意软件检测不会检测到这种威胁,这就需要能够查找经过模糊处理的注册表项的终端保护技术。
如何预防

攻击者不会只尝试一种攻击途径,未达到目标就放弃。他们会尝试各种途径,寻找一切可乘之机。因此从逻辑上讲,仅通过一种安全技术无法防御所有这些变化多端的攻击。
因此,我们可以通过以下动作进行防范:

  • 阻止网络钓鱼攻击;
  • 从邮件中删除恶意附件;
  • 停止流向恶意域的流量;
  • 监视网络流量,以发现数据中心内外到终端的异常。

当通过一种攻击途径检测到威胁时,需要在所有防御技术中共享该情报,最好通过自动化手段实现。
思科可以实现这些目标,而且还可以提供更多优势。
首先,我们制定了针对无文件恶意软件的感染指标,例如检测 DNS 请求中的异常内容或可用于混淆恶意命令的异常 Windows 注册表项内容。接下来,我们从数千亿封邮件、超过 1000 亿条 DNS 请求中收集遥测数据,每天分析近 200 万个恶意软件样本。
我们使用数千个蜜罐,通过恶意软件逆向工程和漏洞分析进行研究。由于我们的研究包括网络、终端、Web、云、邮件和文件,因此我们可以了解到更多内容并且可以检测到更多信息。以上所有的研究成果,都会融入安全产品组合,从而为企业提供更好的保护。

每月热点威胁系列
如今,我们面临着巨大的安全威胁挑战,业内领先的威胁研究和情报团队思科Talos会收集分析大量有关威胁态势的数据,我们每个月都会依据思科Talos的最新发现,持续发布不同类别热点威胁的信息,帮助您了解最新的威胁信息和最佳防御实践方法。
文章来源:思科联天下

延展阅读:
高能“预警”!思科《每月热点威胁》第一弹:SMB与蠕虫的卷土重来
思科《每月热点威胁》第三弹:谋财又害命的数字勒索诈骗!
思科《每月热点威胁》第四弹:社交媒体和黑市
思科《每月热点威胁》第五弹:受到攻击的DNS
思科《每月热点威胁》第六弹:探究加密流量背后的重重威胁
思科《每月热点威胁》第七弹:恶意广告的乱象与防御

评论
avic
Engager
Engager
学习了,坐到沙发了
moxiuli
Engager
Engager
学习了如何防范无文件恶意软件
likuo
Community Member
了解无文件恶意软件。
Stan Huang
Cisco Employee
Cisco Employee
 
LxL9905
Beginner
Beginner
可怕的无文件恶意软件
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:







认可您的同行
快捷链接