恶意blog程序
blog程序 时间:2021-05-03 阅读:(
)
CiscoBlog>安全安全潜行匿迹:无文件恶意软件MarcBlackmer2018年9月13日-3条评论我最近看到一则新闻,说有一项调查向受访者询问,他们是更希望拥有飞翔能力还是隐身能力.
当然,这个问题非常不切实际*,但是听听受访者如何选择也很有意思.
大多数人选择拥有飞翔能力.
真正吸引我的是,该项调查的作者以为大多数人都会更希望拥有隐身能力.
但是人们却选择了飞翔能力,因为他们将隐身能力与不道德的犯罪行为联系在了一起.
当然,这种联系让我想到了安全性.
隐身是网络犯罪分子极力追求的目标,而无文件恶意软件的开发帮助他们越发接近这个目标.
无文件恶意软件是一种驻留在内存中的恶意软件.
顾名思义,这种恶意软件在受害者的系统内存中运行,而不是在磁盘上的文件中运行.
这导致它很难被检测出来,因为扫描不到任何文件.
它使调查分析变得更加困难,因为当受害者的计算机重新启动时,这种恶意软件便会消失.
无文件恶意软件可以通过网络钓鱼、恶意网站等进入网络,就像任何其他类型的恶意软件一样.
不同之处在于,它在实施感染时不会安装或运行任何可执行文件.
这就是所谓的"无文件"的意思.
然后,这种恶意软件会在系统内存中运行,并操纵管理实用程序(例如WindowsPowerShell和WindowsManagementInstrumentation[WMI])来发起攻击.
由于许多安全技术明确信任这些实用程序,因此这种恶意软件不易被发现,并且其活动会看似无害.
2017年底,思科Talos威胁情报团队发布了一篇博客文章,介绍一种名为DNSMessenger的新型无文件恶意软件.
(您可以在此处全文阅读这篇有关DNSMessenger的博客文章)攻击者通过邮件向受害者发送受感染的Word文档,并诱使用户在文档中启用宏.
启用后,宏便启动WindowsPowerShell脚本,以通过WMI访问特定的互联网域.
该恶意软件从与这些域关联的DNSTXT文件中收到进一步的指令.
以文件为中心的传统恶意软件检测技术无法检测到这种威胁,因为它不安装任何文件,并且将恶意指令巧妙地放置在受害者网络外部的DNS记录中.
从基于文件的角度来看,一切都会显得很正常,必须密切监视DNS流量才能检测出这种威胁.
无文件恶意软件制作者使用的另一种技术是将编码命令放在一个或多个特定的Windows注册表项中.
安全产品往往不会在注册表中查找恶意软件.
注册表是受信任的位置.
因此,如果PowerShell脚本读取注册表项,会发现该活动似乎并无异常.
异常的是注册表项编码不正常.
同样,基于文件的恶意软件检测不会检测到这种威胁,这就需要能够查找经过模糊处理的注册表项的终端保护技术.
这些只是几个示例,说明了攻击者会如何挖空心思利用可信进程和彼此孤立的安全技术之间的缺口.
攻击者不会只尝试一种攻击途径,未达到目标就放弃.
他们会尝试各种途径,寻找一切可乘之机,利用漏洞在您的网络中获得落脚点.
而前述安全保护技术方面的缺口就会让他们有机可乘.
因此从逻辑上讲,仅通过一种安全技术无法防御所有这些变化多端的攻击.
人们需要阻止网络钓鱼攻击;需要从邮件中删除恶意;需要停止流向恶意域的流量;需要监视网络流量,以发现数据中心内外到终端的异常.
当通过一种攻击途径检测到威胁时,需要在所有防御技术中共享该情报,最好通过自动化手段实现.
好消息是,我们可以实现这些目标,而且还可以提供更多优势.
首先,我们制定了针对无文件恶意软件的感染指标,例如检测DNS请求中的异常内容或可用于混淆恶意命令的异常Windows注册表项内容.
接下来,我们从数千亿封邮件、超过1000亿条DNS请求中收集遥测数据,每天分析近200万个恶意软件样本.
我们使用数千个蜜罐,通过恶意软件逆向工程和漏洞分析进行研究.
由于我们的研究包括网络、终端、Web、云、邮件和文件,因此我们可以了解到更多内容并且可以检测到更多信息.
我们的所有研究成果都会融入我们的整个安全产品组合,从而为您提供更好的保护.
如果您想了解有关无文件恶意软件的更多信息,请务必阅读上面链接的Talos博客文章以及此处的后续博客文章.
这两篇博客文章的结尾都列出了我们帮助缓解无文件恶意软件威胁的方式.
一如既往,我们很乐意通过即时在线演示或我们的安全专家提供的个性化演示与您分享我们的技术.
*至于我吗我会选择飞翔能力.
不,是真的.
喜欢这些类型的文章请订阅ThreatoftheMonth博客系列,及时了解我们发现的新威胁.
标签:AMP无文件恶意软件恶意软件安全安全思想领袖ThreatoftheMonth
搬瓦工最新优惠码优惠码:BWH3HYATVBJW,节约6.58%,全场通用!搬瓦工关闭香港 PCCW 机房通知下面提炼一下邮件的关键信息,原文在最后面。香港 CN2 GIA 机房自从 2020 年上线以来,网络性能大幅提升,所有新订单都默认部署在香港 CN2 GIA 机房;目前可以免费迁移到香港 CN2 GIA 机房,在 KiwiVM 控制面板选择 HKHK_8 机房进行迁移即可,迁移会改变 IP...
Hostodo发布了几款采用NVMe磁盘的促销套餐,从512MB内存起,最低年付14.99美元,基于KVM架构,开设在拉斯维加斯机房。这是一家成立于2014年的国外VPS主机商,主打低价VPS套餐且年付为主,基于OpenVZ和KVM架构,产品性能一般,数据中心目前在拉斯维加斯和迈阿密,支持使用PayPal或者支付宝等付款方式。下面列出几款NVMe硬盘套餐配置信息。CPU:1core内存:512MB...
LightNode官网LightNode是一家位于香港的VPS服务商.提供基于KVM虚拟化技术的VPS.在提供全球常见节点的同时,还具备东南亚地区、中国香港等边缘节点.满足开发者建站,游戏应用,外贸电商等应用场景的需求。为用户带来高性能服务器以及优质的服务的同时还提供丰厚的促销活动,新用户注册最高送$20。注册用户带新客即可得10%返佣。商家支持PayPal,支付宝等支付方式。官网:https:/...
blog程序为你推荐
ILtodell服务器bios设置dell R410服务器 bios设置参数如何恢复出厂设置?重庆400年老树穿楼生长重庆轻轨穿过居民楼在哪里,从解放碑怎么去360防火墙在哪里电脑或电脑360有联网防火墙吗,在哪里设置网站ipad的是cuteftp即时通请问有没有人知道即时通是什么?怎样先可以开??网络u盘有没有网络U盘 5G的 就像真的U盘一样的?就像下载到真U盘一样的 到自己电脑直接复制就可以拉的啊ie假死我的电脑,IE一直会死机,怎么回事???论坛版块图标请问论坛版块图标后面如何展示分类信息而不是显示主题和发表时间。求详细教程。
虚拟空间购买 免费注册域名 过期域名抢注 老鹰主机 美国仿牌空间 国外php空间 长沙服务器 免费smtp服务器 商务主机 天互数据 中国电信宽带测速网 支付宝扫码领红包 免费ftp cxz 国外在线代理服务器 测试网速命令 好看的空间 万网服务器 ncp winserver2008 更多