无用的恶意软件成长趋势,警告麦克菲
依赖于系统工具(如Microsoft PowerShell)的无用恶意软件正在普及,因为它们使攻击者能够在不检测的情况下访问Windows功能。
许多传统安全系统基于检测恶意软件文件,但如果涉及没有恶意软件文件,则这些系统呈现无用,使攻击非常难以检测。
PowerShell提供了完全访问Microsoft组件对象模型(COM)和MicrosoftWindows管理仪器(WMI),使其成为启动攻击的完美工具。
根据McAfee研究人员称,一个特定的无纺丝威胁被称为Cactortorch,已经增长了rapy,并且可以执行CustomShellCodeon Windows系统。
研究人员发现了30多种魔术师的糖类,旨在攻击技术的快速收养率与其成功和逃避检测的能力。
CactStorch使用dotnettojscript技术,该技术直接加载和执行恶意.NET组件,在博客帖子中写了McAfee Security研究员Debasish Mandal。
“这些装配是应用程序的最小部署单位,”他说。“与其他无纺丝攻击技术一样,dotnettojscript不会在计算机的硬盘驱动器上写下恶意.NET程序集的任何部分,因此传统的文件扫描仪无法检测到这些攻击。”
这种类型的攻击滥用可信的.NET库在COM上暴露,并且在这类攻击中,恶意.NET程序集(可执行文件)从未写入/丢弃到磁盘。整个过程的加载和执行恶意二进制文件在运行时发生在内存中。因此,研究人员说,该技术绕过了基于传统的文件扫描仪的检测。
卡巴斯基实验室的研究人员最近警告了旨在劫持企业计算资源的新型无光彩软件,为Cyber犯罪分子挖掘加密。
卡巴斯基实验室研究人员表示,恶意软件在企业网络中使用多种无线技术来获得立足点,这意味着矿工不会将其身体直接存放在磁盘上,提高其检测和修复的复杂性。
“在感染过程中,一行播放的是下载矿工的身体,并立即推出它而不将其写入硬盘,”他们在Abrog Post中说。
“无用”威胁类别的增长在McAfee的2018年3月威胁报告中证明了使用Powershell脚本在2017年使用的四倍增加了四倍。
许多无用的恶意软件广告系列被发现,使用PowerShell在内存中发射攻击以创建一个后门进入系统。2017年,与上一年相比,这些飙升了432%,仅在一年中的过去三个月中达到267%。
McAfee研究人员表示,竞选金龙是一个例子,因为它是为冬季奥运会攻击而定制的,它持续存在于受感染的系统上,并在随后的攻击中显示出来,特别是在奥运会后一周多于一周的智利的被攻击的服务器。事件。
根据端点安全性的Ponemon InstituteStateState,估计未经文件攻击成功的可能性比基于文件的攻击更可能的10倍。
这种类型的攻击利用了安全软件和正版Windows应用程序之间的信任因素。
研究人员表示,由于这种类型的攻击通过信誉良好的可信任,可信赖的可执行文件,传统的白名单的检测系统失败了,所以剧烈地失败了。
在最近的计算机周刊上关于无用攻击的文章,金融服务的首席信息风险官员 - 信息共享和分析中心(FS-ISAC)的首席信息风险官员指出,无用的恶意软件并不完全无法察觉。
“但是,如果您的网络受到损害,您需要知道要减少受感染的机会或如何限制曝光的传播,”他说。“
维护网络和优化安全性的一般性最佳实践包括从网络上的各种设备的监视日志,如FFIreWALL表示TEMM。
“这种类型的监测应始终如一地完成,以检测整个一天的各个点的未经授权的流量,例如在重型工作量或偏心时间内,”他说。“这不仅会让您更好地了解网络的运行流程,还可以有助于检测异常网络活动,这是一种感染的迹象。”