如何检测无文件恶意软件攻击?
Malwarebytes陈诉称最近无文件恶意软件进攻飙升,并提议企业监控历程内存以抵制这些威胁。那么,监控历程内存怎样阻止无文件进攻以及企业的最佳做法是什么? 对付掩护端点,最重要的是在端点陈设可作为安详监控器的对象,这是指执行授权会见计策的体系组件,在美国国防部“橙皮书”中被称为参考监控器。 端点安详监控器独立于操纵体系,并跟踪也许影响端点的任何不安详设置或恶意勾当。Windows防病毒软件用于监控大大都端点;该软件旨在掩护用户免受各类威胁,包罗恶意软件、告白软件、特洛伊木马和基于文件的进攻。 企业在评估无文件恶意软件进攻时,端点体系内存监控是应该思量的安详器材,尽量它会发生大量数据。 通过监控内存,安详监控器可确定在体系上执行了哪些呼吁,包罗检测行使PowerShell的无文件恶意软件进攻。我们可监控内存以探求正在体系上执行的某个操纵–不管开始执行恶意代码的措施是什么,以辨认隐藏有害的操纵,譬喻措施或剧本被设置为在登录时执行或在端点变动与一连性相干的其他方面。譬喻,,假如Microsoft Word宏在执行伟大PowerShell下载措施作为进攻的一个阶段,我们可通过监控内存以检测与Microsoft Word宏相干的勾当。 同样,体系内存监控也许发生大量数据。但企业可以行使计策(包罗举动法则或署名)来标志举措序列或实行会见也许是恶意的内存。此时,该体系可觉得说明师天生警报以举办观测。 最终,恶意软件开拓职员将找到要领来降服这种防止,部门是通过改变用于会见内存的API来停止检测,就像他们试图哄骗磁盘会见API一样。这样的话,端点安详供给商将必要改造其防改动掩护法子,以防备这些进攻禁用或绕过防病毒器材。 克日Malwarebytes尝试室宣布的陈诉首要在研究这些无文件恶意软件进攻的演变。该尝试室提议,端点安详器材应包罗监督内存的成果,以及诊断基于PowerShell进攻的成果。假如你的端点安详器材无法抵制这些范例的进攻,请确定供给商何时打算添加这些成果或转移到新产物。 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |