從無文件惡意軟件來理解威脅多樣化

發布日期:2017-11-09首頁 > 安全資(zī)訊

 采納了數字化的公司企業不僅僅更加敏捷,還大(dà)幅優化了預算,提升了競争力。但在整體(tǐ)表現上升的同時,這些新技術的采納,也擴大(dà)了攻擊界面,讓網絡罪犯可以利用來部署威脅,破壞公司整體(tǐ)安全狀态。
 

8677-1G10910445QR.jpg
 

  傳統威脅要麽作爲獨立應用,在受害者機器上悄悄運行;要麽破壞現有應用完整性,改變它們的行爲。此類威脅通常被稱爲基于文件的惡意軟件,傳統終端防護解決方案已經集成了磁盤文件掃描功能,可以在文件執行之前加以阻斷。

  基于文件 vs 無文件

  最常見的幾種攻擊技術裏,受害者可能會下(xià)載惡意程序,該惡意程序就在後台靜默執行,跟蹤用戶行爲;或者利用主機上常見軟件的漏洞,以便可以秘密下(xià)載額外(wài)的組件,在受害者毫無所覺的情況下(xià)執行之。

  傳統威脅在執行惡意代碼之前,必須将代碼寫入受害主機磁盤。基于特征碼的檢測就是基于此而存在的,因爲該技術可發現已知(zhī)惡意程序,并阻止其寫入磁盤或在主機上執行。然而,新的機制,比如加密、混淆和多态,已将傳統檢測技術甩在身後,因爲網絡罪犯不僅可以操縱文件在每台受害主機上的形态,還能讓安全掃描引擎難以分(fēn)析其中(zhōng)代碼。

  傳統基于文件的惡意軟件,通常用于獲取對操作系統及其程序的未授權訪問,往往會創建或釋放(fàng)帶不同功能的額外(wài)文件及依賴,比如.dll、.sys或.exe文件。如果獲得了有效數字證書(shū),此類惡意軟件還能避免觸發任何基于文件的傳統終端安全技術,将自身安裝成驅動程序或rootkit,獲得操作系統的完全控制權。個中(zhōng)代表,就是大(dà)名鼎鼎的震網病毒,滲透特定目标的同時還有長期駐留能力。該惡意軟件經過了數字簽名,有各種模塊,能夠從一(yī)台受害主機秘密擴散到另一(yī)台,直至抵達最終既定目标。

  在惡意代碼執行方式和傳統文件掃描技術規避方式上,無文件惡意軟件與基于文件的惡意軟件完全不同。正如其名稱所顯示的,無文件惡意軟件不涉及任何磁盤文件寫入操作就能執行。惡意代碼直接在受害計算機内存中(zhōng)執行,意味着系統重啓後惡意代碼就不複存在。但是,網絡罪犯還采用了各種技術,将無文件的能力與駐留功能結合。比如說,惡意代碼放(fàng)到注冊表中(zhōng),就能随Windows重啓而啓動,既隐蔽又(yòu)長久。

  利用注冊表的無文件惡意軟件,還常常會使用腳本、shellcode,甚至加密二進制文件——因爲傳統終端安全機制通常缺乏仔細檢查腳本的能力。由于傳統終端安全掃描工(gōng)具和技術,大(dà)多專注在已知(zhī)及未知(zhī)惡意軟件樣本的靜态文件分(fēn)析上,無文件攻擊就能在相當長的時期内不被發現。

  基于文件的惡意軟件和無文件惡意軟件的主要區别,在于其組件的存儲及執行的位置和方式。由于網絡罪犯已能繞過文件掃描技術并保持駐留和隐秘性,無文件惡意軟件的流行度逐年上升。

  投放(fàng)機制

  雖然兩種攻擊類型都依賴同樣的投放(fàng)機制,比如被感染的電(diàn)子郵件附件,或者利用浏覽器或常用軟件漏洞的偷渡式下(xià)載;無文件惡意軟件卻往往基于腳本,且能利用現有合法應用程序來執行指令。比如說,附在惡意Word文檔中(zhōng)的PowerShell腳本,就能被Windows原生(shēng)工(gōng)具PowerShell自動執行。其指令可以将受害系統的詳細信息發給攻擊者,或者下(xià)載本地傳統安全解決方案檢測不到的經混淆攻擊載荷。

  其他可能案例還包括惡意URL:一(yī)旦點擊,就會重定向用戶到利用Java漏洞執行PowerShell腳本的網站。因爲腳本本身僅僅是一(yī)系列合法指令——就算這些指令可能下(xià)載并在内存中(zhōng)直接執行二進制代碼,那也是合法指令;傳統文件掃描式終端安全機制就不會檢測此類威脅。

  這種神出鬼沒的威脅往往針對特定組織和公司,秘密滲漏數據。

  下(xià)一(yī)代終端防護平台

  下(xià)一(yī)代終端防護平台,通常指的是将分(fēn)層安全——也就是基于文件的掃描和行爲監視,與機器學習技術和威脅檢測沙箱技術結合到一(yī)起的安全解決方案。某些技術隻依賴機器學習算法作爲單獨一(yī)層防禦。其他終端防護平台,則使用涉及多個機器學習強化安全層的檢測技術。此類情況下(xià),算法就集中(zhōng)在檢測高級複雜(zá)威脅的執行前、執行中(zhōng)和執行後三個階段的表現。

  當下(xià)常見的錯誤之一(yī),是将機器學習作爲能檢測任何類型威脅的獨立安全層來看待。依賴僅采用機器學習的終端防護平台,強化不了企業的整體(tǐ)安全态勢。

  機器學習算法是用來強化安全層的,不是要替代它們。比如說,垃圾郵件過濾,就可以通過使用機器學習模型來予以增強,對基于文件的惡意軟件的檢測,也可以使用機器學習來評估未知(zhī)文件是否惡意。

  無特征碼安全層用于提供防護、可見性和控制——在預防、檢測和封鎖任何類型威脅的意義上。考慮到新攻擊方法,強烈建議下(xià)一(yī)代終端安全平台能抵禦利用未修複已知(zhī)漏洞的攻擊工(gōng)具及技術,當然,已知(zhī)漏洞更要能防護住。

  需要指出的是,傳統基于特征碼的技術尚未死亡,也不應該被抛棄。它們是很重要的一(yī)個安全層,因爲它們可以快速準确地驗證文件是否惡意。特征碼、行爲分(fēn)析和機器學習安全層的融合,可以打造出全面的安全解決方案,不僅能夠處理已知(zhī)惡意軟件,還能對付未知(zhī)威脅,可大(dà)幅提升企業的整體(tǐ)安全态勢。這種安全技術的全面整合,不僅僅可以增加網絡罪犯的攻擊成本,還能讓安全團隊深入了解自家企業常被哪些類型的威脅盯上,又(yòu)該怎樣準确地進行緩解。