從無文件惡意軟件來理解威脅多樣化

責(zé)任編輯:editor005

作者:nana

2017-11-08 14:49:46

摘自:安全牛

此類威脅通常被稱為基于文件的惡意軟件,傳統(tǒng)終端防護(hù)解決方案已經(jīng)集成了磁盤文件掃描功能,可以在文件執(zhí)行之前加以阻斷。

采納了數(shù)字化的公司企業(yè)不僅僅更加敏捷,還大幅優(yōu)化了預(yù)算,提升了競(jìng)爭(zhēng)力。但在整體表現(xiàn)上升的同時(shí),這些新技術(shù)的采納,也擴(kuò)大了攻擊界面,讓網(wǎng)絡(luò)罪犯可以利用來部署威脅,破壞公司整體安全狀態(tài)。

傳統(tǒng)威脅要么作為獨(dú)立應(yīng)用,在受害者機(jī)器上悄悄運(yùn)行;要么破壞現(xiàn)有應(yīng)用完整性,改變它們的行為。此類威脅通常被稱為基于文件的惡意軟件,傳統(tǒng)終端防護(hù)解決方案已經(jīng)集成了磁盤文件掃描功能,可以在文件執(zhí)行之前加以阻斷。

基于文件 vs 無文件

最常見的幾種攻擊技術(shù)里,受害者可能會(huì)下載惡意程序,該惡意程序就在后臺(tái)靜默執(zhí)行,跟蹤用戶行為;或者利用主機(jī)上常見軟件的漏洞,以便可以秘密下載額外的組件,在受害者毫無所覺的情況下執(zhí)行之。

傳統(tǒng)威脅在執(zhí)行惡意代碼之前,必須將代碼寫入受害主機(jī)磁盤?;谔卣鞔a的檢測(cè)就是基于此而存在的,因?yàn)樵摷夹g(shù)可發(fā)現(xiàn)已知惡意程序,并阻止其寫入磁盤或在主機(jī)上執(zhí)行。然而,新的機(jī)制,比如加密、混淆和多態(tài),已將傳統(tǒng)檢測(cè)技術(shù)甩在身后,因?yàn)榫W(wǎng)絡(luò)罪犯不僅可以操縱文件在每臺(tái)受害主機(jī)上的形態(tài),還能讓安全掃描引擎難以分析其中代碼。

傳統(tǒng)基于文件的惡意軟件,通常用于獲取對(duì)操作系統(tǒng)及其程序的未授權(quán)訪問,往往會(huì)創(chuàng)建或釋放帶不同功能的額外文件及依賴,比如.dll、.sys或.exe文件。如果獲得了有效數(shù)字證書,此類惡意軟件還能避免觸發(fā)任何基于文件的傳統(tǒng)終端安全技術(shù),將自身安裝成驅(qū)動(dòng)程序或rootkit,獲得操作系統(tǒng)的完全控制權(quán)。個(gè)中代表,就是大名鼎鼎的震網(wǎng)病毒,滲透特定目標(biāo)的同時(shí)還有長(zhǎng)期駐留能力。該惡意軟件經(jīng)過了數(shù)字簽名,有各種模塊,能夠從一臺(tái)受害主機(jī)秘密擴(kuò)散到另一臺(tái),直至抵達(dá)最終既定目標(biāo)。

在惡意代碼執(zhí)行方式和傳統(tǒng)文件掃描技術(shù)規(guī)避方式上,無文件惡意軟件與基于文件的惡意軟件完全不同。正如其名稱所顯示的,無文件惡意軟件不涉及任何磁盤文件寫入操作就能執(zhí)行。惡意代碼直接在受害計(jì)算機(jī)內(nèi)存中執(zhí)行,意味著系統(tǒng)重啟后惡意代碼就不復(fù)存在。但是,網(wǎng)絡(luò)罪犯還采用了各種技術(shù),將無文件的能力與駐留功能結(jié)合。比如說,惡意代碼放到注冊(cè)表中,就能隨Windows重啟而啟動(dòng),既隱蔽又長(zhǎng)久。

利用注冊(cè)表的無文件惡意軟件,還常常會(huì)使用腳本、shellcode,甚至加密二進(jìn)制文件——因?yàn)閭鹘y(tǒng)終端安全機(jī)制通常缺乏仔細(xì)檢查腳本的能力。由于傳統(tǒng)終端安全掃描工具和技術(shù),大多專注在已知及未知惡意軟件樣本的靜態(tài)文件分析上,無文件攻擊就能在相當(dāng)長(zhǎng)的時(shí)期內(nèi)不被發(fā)現(xiàn)。

基于文件的惡意軟件和無文件惡意軟件的主要區(qū)別,在于其組件的存儲(chǔ)及執(zhí)行的位置和方式。由于網(wǎng)絡(luò)罪犯已能繞過文件掃描技術(shù)并保持駐留和隱秘性,無文件惡意軟件的流行度逐年上升。

投放機(jī)制

雖然兩種攻擊類型都依賴同樣的投放機(jī)制,比如被感染的電子郵件附件,或者利用瀏覽器或常用軟件漏洞的偷渡式下載;無文件惡意軟件卻往往基于腳本,且能利用現(xiàn)有合法應(yīng)用程序來執(zhí)行指令。比如說,附在惡意Word文檔中的PowerShell腳本,就能被Windows原生工具PowerShell自動(dòng)執(zhí)行。其指令可以將受害系統(tǒng)的詳細(xì)信息發(fā)給攻擊者,或者下載本地傳統(tǒng)安全解決方案檢測(cè)不到的經(jīng)混淆攻擊載荷。

其他可能案例還包括惡意URL:一旦點(diǎn)擊,就會(huì)重定向用戶到利用Java漏洞執(zhí)行PowerShell腳本的網(wǎng)站。因?yàn)槟_本本身僅僅是一系列合法指令——就算這些指令可能下載并在內(nèi)存中直接執(zhí)行二進(jìn)制代碼,那也是合法指令;傳統(tǒng)文件掃描式終端安全機(jī)制就不會(huì)檢測(cè)此類威脅。

這種神出鬼沒的威脅往往針對(duì)特定組織和公司,秘密滲漏數(shù)據(jù)。

下一代終端防護(hù)平臺(tái)

下一代終端防護(hù)平臺(tái),通常指的是將分層安全——也就是基于文件的掃描和行為監(jiān)視,與機(jī)器學(xué)習(xí)技術(shù)和威脅檢測(cè)沙箱技術(shù)結(jié)合到一起的安全解決方案。某些技術(shù)只依賴機(jī)器學(xué)習(xí)算法作為單獨(dú)一層防御。其他終端防護(hù)平臺(tái),則使用涉及多個(gè)機(jī)器學(xué)習(xí)強(qiáng)化安全層的檢測(cè)技術(shù)。此類情況下,算法就集中在檢測(cè)高級(jí)復(fù)雜威脅的執(zhí)行前、執(zhí)行中和執(zhí)行后三個(gè)階段的表現(xiàn)。

當(dāng)下常見的錯(cuò)誤之一,是將機(jī)器學(xué)習(xí)作為能檢測(cè)任何類型威脅的獨(dú)立安全層來看待。依賴僅采用機(jī)器學(xué)習(xí)的終端防護(hù)平臺(tái),強(qiáng)化不了企業(yè)的整體安全態(tài)勢(shì)。

機(jī)器學(xué)習(xí)算法是用來強(qiáng)化安全層的,不是要替代它們。比如說,垃圾郵件過濾,就可以通過使用機(jī)器學(xué)習(xí)模型來予以增強(qiáng),對(duì)基于文件的惡意軟件的檢測(cè),也可以使用機(jī)器學(xué)習(xí)來評(píng)估未知文件是否惡意。

無特征碼安全層用于提供防護(hù)、可見性和控制——在預(yù)防、檢測(cè)和封鎖任何類型威脅的意義上。考慮到新攻擊方法,強(qiáng)烈建議下一代終端安全平臺(tái)能抵御利用未修復(fù)已知漏洞的攻擊工具及技術(shù),當(dāng)然,已知漏洞更要能防護(hù)住。

需要指出的是,傳統(tǒng)基于特征碼的技術(shù)尚未死亡,也不應(yīng)該被拋棄。它們是很重要的一個(gè)安全層,因?yàn)樗鼈兛梢钥焖贉?zhǔn)確地驗(yàn)證文件是否惡意。特征碼、行為分析和機(jī)器學(xué)習(xí)安全層的融合,可以打造出全面的安全解決方案,不僅能夠處理已知惡意軟件,還能對(duì)付未知威脅,可大幅提升企業(yè)的整體安全態(tài)勢(shì)。這種安全技術(shù)的全面整合,不僅僅可以增加網(wǎng)絡(luò)罪犯的攻擊成本,還能讓安全團(tuán)隊(duì)深入了解自家企業(yè)常被哪些類型的威脅盯上,又該怎樣準(zhǔn)確地進(jìn)行緩解。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)