微信咨询
添加企业微信扫描二维码
为你找到 “软件管理” 的相关内容
恶意软件绕过终端防护的几种方式

因违反终端保护措施而导致的数据泄露数量持续上升。


为什么攻击者经常成功?


互联网图片


根据波耐蒙研究所2018年端点安全风险状况报告,


63%的IT安全专业人士认为,过去一年攻击的频率有所增加。


52%的受访者表示,不可能阻止所有的攻击。他们的反病毒解决方案只阻止了43%的攻击。


64%的受访者表示,他们的公司至少经历过一次导致数据泄露的终端攻击。


该报告基于对660名IT安全专业人士的调查,发现大多数受访者(70%)表示,


他们的公司面临的新威胁和未知威胁有所增加,违规的平均成本从500万美元上升到710万美元。


但几乎每台电脑都有某种形式的保护。


为什么攻击者仍然能够渗透?以下是攻击者用来绕过端点保护措施的主要方法列表。


1. 基于脚本攻击

基于脚本的攻击,也被称为“无文件”攻击,涉及恶意软件,

它只是在现有的合法应用程序中执行脚本,可以利用PowerShell或其他已安装的Windows组件。

由于没有在系统中安装新软件,许多传统的防御措施都可以被绕过。


Ponemon的研究表明,此类攻击极有可能造成数据泄露,且比例逐年上升,

2017年占所有攻击类型的30%,去年这一比例上升至35%。

这种攻击几乎没有留下痕迹,没有物理恶意二进制文件供防病毒软件扫描。


可能有一些网络流量可以被安全系统捕获。

但攻击者也可以对这些通信进行加密,并使用可信的通信路由悄悄泄露数据。


赛门铁克今年早些时候发布的《互联网安全威胁报告》指出,

在过去一年中,恶意PowerShell脚本的使用量增加了1000%。

攻击者可以通过执行人类无法直接读取的指令(例如base64编码的指令)来使用PowerShell。

PowerShell现在被广泛使用,使其成为攻击者几乎无处不在的工具。


捕获此类攻击的关键是寻找执行异常操作的普通应用程序的实例。

例如,如果跟踪环境中最近执行的1,000条指令,则可能要查找出现次数少于5次的指令。

这样做通常会出现异常指令——通常是恶意指令。


2. 在流行的基础设施上托管恶意站点

许多安全平台通过防止用户点击恶意链接来防御网络钓鱼攻击。

例如,安全平台可能会检查特定的IP地址是否与其他恶意软件攻击相关联。

但如果攻击者在Azure或谷歌云上托管恶意网站,

这些恶意网站就不会被列入黑名单,因为它们的基础设施被广泛使用。


3. 投毒法律应用及实用程序

每个企业都有许多员工可以使用的第三方应用程序、工具和实用程序。

如果攻击者入侵开发这些工具的公司,渗透升级功能,或潜入开源项目的代码库,他们就可以植入后门和其他恶意程序




一旦恶意软件成功进入目标系统,它通常会连接回命令和控制(C&C)服务器以获取下一步操作的指令,

或者使用C&C服务器泄露数据。如果C&C服务器托管在合法平台上,则可以成功伪装通信通道。


此外,这些服务通常具有内置加密功能。甚至在线照片分享网站也可以被用作攻击的一部分。

攻击者创建社交媒体账户,上传包含隐藏代码或指令的照片。

恶意软件可以内置访问帐户的预设操作,查看最近的照片,

从中提取隐藏的指令,然后执行这些指令。


对于IT部门和企业安全团队来说,所有迹象都表明有员工在浏览社交媒体。

以这种方式悄悄进行的恶意操作很难被抓住。

即使是最新一代的端点保护技术也无法抵御模仿正常用户行为的攻击者。


为了防御此类攻击,防御者需要寻找在不寻常时间发生的“正常”通信,

或者应用程序被通常不使用它的部门使用的实例。


使用隐写术隐藏照片中的指令的技术也可用于隐藏照片附件中的指令。

今年5月,ESET发布了一份关于Turla LightNeuron的微软Exchange邮件服务器后门的报告,

称LightNeuron使用电子邮件与C&C服务器进行通信,

并将发送和接收的信息隐藏在图像附件中。比如PDF或JPG。


域之盾软件,作为互联网优秀的终端安全管理产品,可以保护您终端安全和终端数据。



2023-07-28 13:33:31 终端防护 终端安全管理系统 软件管理 监控软件
立即咨询

关注公众号

Copyright © 河北中视新研软件开发有限公司 All Rights Reserved

工信部备案号:冀ICP备20019903号-1