抵制无文件型恶意软件进攻的那些事儿
|
媒介 今朝,针对企业情形的无文件型恶意软件威胁正在日趋增添。无文件型恶意软件所行使的代码不必要驻留在方针Windows装备上,而平凡的Windows安装措施涉及到许多的对象:PowerShell、WMI、VB、注册表键和.NET框架等等,但对付无文件型恶意软件来说,它们在实现方针主机传染时,并不必要通过文件来挪用上述组件。 这个进程凡是被称之为Process Hollowing,在这种机制下,恶意软件可以行使一个特定历程来作为恶意代码的存储容器以及分发机制。近期,FireEye的研究职员就发明有进攻者将PowerShell、VB剧本和.NET应用整合进了一个代码包中。 操作PowerShell来实现进攻已经很常见了,并且各人应该也清晰基于PowerShell的裂痕进攻杀伤力有何等强盛,由于恶意代码可以直接在PC内存中执行。另外,PowerShell还可以用于长途会见进攻或绕过应用白名单掩护等等。
鉴于这类日趋严峻的安详威胁,安详团队可以做些什么来掩护他们的组织抵制无文件型恶意软件呢? 确保公司内部情形的安详 为了抵制无文件型恶意软件的进攻,起首我们要确保组织收集体系内的计较机安装了最新的补丁措施。许多进攻者会操作旧版本体系中未修复或耽误修复的裂痕,而“永恒之蓝”裂痕就是一个很好的例子(该裂痕的补丁要先于裂痕操作措施的宣布)。 接下来,我们要计一律个强有力的安详意识培训方案。这并不料味着你要按期举办安详操练,或无意向员工发送垂纶测试邮件。这里必要我们拟定一套安详操纵流程,而且让员工有用地意识到电子邮件附件的伤害性,防备员工有时识所在击生疏链接。由于许多无文件型恶意软件进攻都是通过一封简朴的收集垂纶邮件开始的,因此这样的安详培训或操纵方案长短常重要的。 第三,安详团队必要相识Windows内置代码的操纵举动,这样我们就可以在第一时刻发明非常环境。好比说,假如你在/TEMP目次中发明白潜匿的PowerShell剧本,那你就必要警惕了。
更新会见权限和特权账号 组织应该相识无文件型恶意软件的进攻机制,由于就算你点击了一封邮件中的恶意附件,也并不料味着你的电脑就会当即传染恶意软件。由于许多恶意软件会在方针体系所处的收集情形中举办横向渗出,并探求越发有代价的进攻方针,好比说域节制器或Web处事器等等。为了防备这种环境的产生,我们应该对组织内的收集体系以及响应会见权限举办细心分别,尤其是针对第三方应用措施和用户举办分别。 当恶意软件乐成渗出方针组织的收集体系后,跟着恶意软件的横向渗出,进攻者可以操作PowerShell来实现提权。好比说,进攻者可以发送反向DNS哀求,列举出收集共享的会见节制列表,并查找出特定域组的成员。 因此,安详团队该当遵循“起码权限”的原则,实时搜查已逾期账户的会见权限,并按照必要限定某些账号的特权。除此之外,组织还要禁用那些不必要的Windows措施,由于并不是每个员工都必要在本身的计较机上运行PowerShell或.NET框架的。虽然了,你也可以移除像SMBv1这样的遗留协议,而这类协议也是WannaCry可以或许为非作歹的首要缘故起因。 最后,为了确保不被进攻者操作MS Office恶意宏来实现进攻,我们也应该尽也许地禁用宏成果,不外这并不是一种通用办理方案,由于许多用户如故必要宏成果来完成他们的事变。 抗争到底! 固然无文件进攻日益猖狂,但微软方面并没有裹足不前。现实上,他们已经开拓出了一个名为“反恶意软件扫描接口”的开放接口,并且许多供给商已经开始行使它来检测无文件型恶意软件进攻了,尤其是在说明剧本举动时,这个接口的浸染就浮现得越发明明晰。 另外,任何想要深入相识无文件型进攻的研究职员都应该去看一看开源项目-AltFS。这是一个完备的无文件型假造文件体系,可以用来演示无文件技能的事变机制,并且该项目可以直接在Windows或macOS平台上搭建行使。
正如各人所看到的那样,反抗无文件进攻必要我们扎踏实实地做好许多细节事变,并在各类器材与技能之间举办细心和谐。跟着越来越多不行预见的恶意软件威胁呈现,各大组织更应该采纳法子来增强自身的安详防止。
(编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
