恶意blog程序

blog程序  时间:2021-05-03  阅读:()
CiscoBlog>安全安全潜行匿迹:无文件恶意软件MarcBlackmer2018年9月13日-3条评论我最近看到一则新闻,说有一项调查向受访者询问,他们是更希望拥有飞翔能力还是隐身能力.
当然,这个问题非常不切实际*,但是听听受访者如何选择也很有意思.
大多数人选择拥有飞翔能力.
真正吸引我的是,该项调查的作者以为大多数人都会更希望拥有隐身能力.
但是人们却选择了飞翔能力,因为他们将隐身能力与不道德的犯罪行为联系在了一起.
当然,这种联系让我想到了安全性.
隐身是网络犯罪分子极力追求的目标,而无文件恶意软件的开发帮助他们越发接近这个目标.
无文件恶意软件是一种驻留在内存中的恶意软件.
顾名思义,这种恶意软件在受害者的系统内存中运行,而不是在磁盘上的文件中运行.
这导致它很难被检测出来,因为扫描不到任何文件.
它使调查分析变得更加困难,因为当受害者的计算机重新启动时,这种恶意软件便会消失.
无文件恶意软件可以通过网络钓鱼、恶意网站等进入网络,就像任何其他类型的恶意软件一样.
不同之处在于,它在实施感染时不会安装或运行任何可执行文件.
这就是所谓的"无文件"的意思.
然后,这种恶意软件会在系统内存中运行,并操纵管理实用程序(例如WindowsPowerShell和WindowsManagementInstrumentation[WMI])来发起攻击.
由于许多安全技术明确信任这些实用程序,因此这种恶意软件不易被发现,并且其活动会看似无害.
2017年底,思科Talos威胁情报团队发布了一篇博客文章,介绍一种名为DNSMessenger的新型无文件恶意软件.
(您可以在此处全文阅读这篇有关DNSMessenger的博客文章)攻击者通过邮件向受害者发送受感染的Word文档,并诱使用户在文档中启用宏.
启用后,宏便启动WindowsPowerShell脚本,以通过WMI访问特定的互联网域.
该恶意软件从与这些域关联的DNSTXT文件中收到进一步的指令.
以文件为中心的传统恶意软件检测技术无法检测到这种威胁,因为它不安装任何文件,并且将恶意指令巧妙地放置在受害者网络外部的DNS记录中.
从基于文件的角度来看,一切都会显得很正常,必须密切监视DNS流量才能检测出这种威胁.
无文件恶意软件制作者使用的另一种技术是将编码命令放在一个或多个特定的Windows注册表项中.
安全产品往往不会在注册表中查找恶意软件.
注册表是受信任的位置.
因此,如果PowerShell脚本读取注册表项,会发现该活动似乎并无异常.
异常的是注册表项编码不正常.
同样,基于文件的恶意软件检测不会检测到这种威胁,这就需要能够查找经过模糊处理的注册表项的终端保护技术.
这些只是几个示例,说明了攻击者会如何挖空心思利用可信进程和彼此孤立的安全技术之间的缺口.
攻击者不会只尝试一种攻击途径,未达到目标就放弃.
他们会尝试各种途径,寻找一切可乘之机,利用漏洞在您的网络中获得落脚点.
而前述安全保护技术方面的缺口就会让他们有机可乘.
因此从逻辑上讲,仅通过一种安全技术无法防御所有这些变化多端的攻击.
人们需要阻止网络钓鱼攻击;需要从邮件中删除恶意;需要停止流向恶意域的流量;需要监视网络流量,以发现数据中心内外到终端的异常.
当通过一种攻击途径检测到威胁时,需要在所有防御技术中共享该情报,最好通过自动化手段实现.
好消息是,我们可以实现这些目标,而且还可以提供更多优势.
首先,我们制定了针对无文件恶意软件的感染指标,例如检测DNS请求中的异常内容或可用于混淆恶意命令的异常Windows注册表项内容.
接下来,我们从数千亿封邮件、超过1000亿条DNS请求中收集遥测数据,每天分析近200万个恶意软件样本.
我们使用数千个蜜罐,通过恶意软件逆向工程和漏洞分析进行研究.
由于我们的研究包括网络、终端、Web、云、邮件和文件,因此我们可以了解到更多内容并且可以检测到更多信息.
我们的所有研究成果都会融入我们的整个安全产品组合,从而为您提供更好的保护.
如果您想了解有关无文件恶意软件的更多信息,请务必阅读上面链接的Talos博客文章以及此处的后续博客文章.
这两篇博客文章的结尾都列出了我们帮助缓解无文件恶意软件威胁的方式.
一如既往,我们很乐意通过即时在线演示或我们的安全专家提供的个性化演示与您分享我们的技术.
*至于我吗我会选择飞翔能力.
不,是真的.
喜欢这些类型的文章请订阅ThreatoftheMonth博客系列,及时了解我们发现的新威胁.
标签:AMP无文件恶意软件恶意软件安全安全思想领袖ThreatoftheMonth

v5server:香港+美国机房,优质CN2网络云服务器,7折优惠,低至35元/月

v5net当前对香港和美国机房的走优质BGP+CN2网络的云服务器进行7折终身优惠促销,每个客户进线使用优惠码一次,额外有不限使用次数的终身9折优惠一枚!V5.NET Server提供的都是高端网络线路的机器,特别优化接驳全世界骨干网络,适合远程办公、跨境贸易、网站建设等用途。 官方网站:https://v5.net/cloud.html 7折优惠码:new,仅限新客户,每人仅限使用一次 9...

香港服务器多少钱一个月?香港云服务器最便宜价格

香港服务器多少钱一个月?香港服务器租用配置价格一个月多少,现在很多中小型企业在建站时都会租用香港服务器,租用香港服务器可以使网站访问更流畅、稳定性更好,安全性会更高等等。香港服务器的租用和其他地区的服务器租用配置元素都是一样的,那么为什么香港服务器那么受欢迎呢,香港云服务器最便宜价格多少钱一个月呢?阿里云轻量应用服务器最便宜的是1核1G峰值带宽30Mbps,24元/月,288元/年。不过我们一般选...

萤光云(13.25元)香港CN2 新购首月6.5折

萤光云怎么样?萤光云是一家国人云厂商,总部位于福建福州。其成立于2002年,主打高防云服务器产品,主要提供福州、北京、上海BGP和香港CN2节点。萤光云的高防云服务器自带50G防御,适合高防建站、游戏高防等业务。目前萤光云推出北京云服务器优惠活动,机房为北京BGP机房,购买北京云服务器可享受6.5折优惠+51元代金券(折扣和代金券可叠加使用)。活动期间还支持申请免费试用,需提交工单开通免费试用体验...

blog程序为你推荐
苹果appstore宕机最近app store一直不能用 怎么回事啊 改dns也不能用 持续好久好久了支付宝调整还款日支付宝调整花呗还款日,这个调整有没有对你造成什么影响?ipad代理如何贷款买IPAD碧海银沙网怎样在碧海银沙网里发布图片?12306.com注册12306邮箱地址怎么写tumblr上不去为什么,爱看软件打不开?页面一直在加载即时通EC营销即时通是什么?做什么的?团购程序有什么好用的社区团购小程序?无忧代理网无忧考网好不好,为什么注册要输入电话号码,可信度高不高,还有中国公务员考试网,这些网站是不是要收费discuzx2DISCUZ X2是PHP还是ASP的?
ftp空间 edgecast burstnet 加勒比群岛 台湾服务器 godaddy优惠码 ixwebhosting 免费名片模板 360抢票助手 网站监控 godaddy域名转出 2017年黑色星期五 申请个人网页 免费ftp空间申请 河南服务器 建立邮箱 免费个人空间 idc查询 新世界服务器 免费邮件服务器 更多