非惡意軟件不是說攻擊時真的不需要使用任何文件。而是攻擊者使用被攻擊主機中信任的系統(tǒng)程序或授權(quán)的協(xié)議來進行的一種惡意攻擊。這種攻擊無需運行任何惡意文件,就能達到攻擊的目的。例如,攻擊者定向發(fā)送釣魚郵件,當(dāng)你打開郵件時,會調(diào)用系統(tǒng)可信程序,如PowerShell,執(zhí)行寫好的攻擊代碼,達到攻擊目的。攻擊的代碼只駐留在內(nèi)存中,無落地文件,因此殺毒軟件不會有任何響應(yīng)。杰思安全在實踐中,便遇過許多類似的案例。例如,某省氣象局,便遇到一個利用PowerShell進行挖礦的惡意事件,攻擊者只創(chuàng)建了一個計劃任務(wù),調(diào)用PowerShell定期執(zhí)行挖礦命令,導(dǎo)致業(yè)務(wù)系統(tǒng)卡頓,而這一切攻擊者沒留下任何可疑文件。
由于非惡意軟件攻擊的強大破壞力和隱蔽性,被越來越多的黑客使用。在2018年全球網(wǎng)絡(luò)攻擊中,有超過40%的攻擊者便采用了這種方式。據(jù)Malwarebytes發(fā)布的報告稱,非惡意軟件攻擊正在迅速飆升,平均每3個感染中就有1個是非惡意軟件攻擊造成的。
面對如此神出鬼沒的攻擊,我們應(yīng)采取哪些措施?當(dāng)傳統(tǒng)防御手段失效時,還能利用什么方式來保護企業(yè)?如何盡快發(fā)現(xiàn)非惡意軟件攻擊的蹤跡?基于大量的成功實踐經(jīng)驗,杰思認(rèn)為快速檢測及響應(yīng)(EDR),是一個有效并可靠的辦法,能彌補傳統(tǒng)安全軟件的不足。用戶可以從評估、監(jiān)測、響應(yīng)幾個方面入手。
威脅追蹤關(guān)聯(lián)分析
有些安全威脅能在用戶網(wǎng)絡(luò)中隱匿數(shù)月甚至數(shù)年。再隱匿的威脅,總會留下蛛絲馬跡,因而需要檢查和追蹤當(dāng)前與歷史事件進行綜合安全關(guān)聯(lián)分析。從時間軸維度,對事件發(fā)生期間主機內(nèi)各項變化進行匯總關(guān)聯(lián)分析,還原事件全貌,找出隱匿威脅。用戶必須使用能夠識別歷史攻擊跡象的工具,如可疑的文件、網(wǎng)絡(luò)訪問、注冊表項、用戶登錄、異常命令等。
賬戶監(jiān)控與資產(chǎn)清點
賬戶監(jiān)視和管理可以通過提高工作環(huán)境的可見性,以檢測和防止未經(jīng)授權(quán)的訪問活動。防止由此導(dǎo)致的數(shù)據(jù)丟失,允許權(quán)限用戶控制數(shù)據(jù)訪問權(quán),讓用戶實時了解訪問權(quán)限是否被不當(dāng)授予。資產(chǎn)清點顯示網(wǎng)絡(luò)上正在運行的計算機,允許用戶有效部署安全體系結(jié)構(gòu),以確保沒有惡意系統(tǒng)在內(nèi)網(wǎng)環(huán)境運行。幫助安全和IT運營商區(qū)分環(huán)境中的托管資產(chǎn)、非托管資產(chǎn)和不可管理資產(chǎn),并采取適當(dāng)措施提高整體安全性。
異常命令監(jiān)控
聰明的攻擊者會利用PowerShell、svchost等系統(tǒng)自身進程,執(zhí)行命令行達到挖礦、操控主機等目的,此類攻擊沒有落地的惡意程序,采用傳統(tǒng)的文件檢測甚至行為檢測的方式無法捕獲任何攻擊信息。可采用記錄windows系統(tǒng)中如cmd、PowerShell等進程執(zhí)行的命令操作,并根據(jù)異常命令規(guī)則庫判斷其是否為有威脅的異常命令,并進行阻斷實現(xiàn)防御。
京公網(wǎng)安備 11010502049343號