規(guī)避惡意軟件的熱潮
在我們這個(gè)行業(yè)歷史上,幾乎每一個(gè)IT專業(yè)人員都非常清楚,有必要制定一個(gè)安全策略,這種策略不僅可以防范當(dāng)前的威脅,也能防范未來的IT組織一樣,在攻擊方法中的“下一件大事”到來時(shí),確保他們做好準(zhǔn)備。
多年來,安全供應(yīng)商一直在尋求阻止惡意軟件,從純粹基于簽名的檢測,到機(jī)器學(xué)習(xí),再到利用云技術(shù)為許多終端提供有關(guān)惡意軟件的最新更新。所有這些進(jìn)步都改善了企業(yè)的安全立場,但網(wǎng)絡(luò)犯罪組織已經(jīng)也取得了自己的進(jìn)展。
業(yè)界發(fā)現(xiàn)使用至少一種規(guī)避技術(shù)的惡意軟件變種數(shù)量有所增加,這些技術(shù)專注于確保惡意軟件本身逃避檢測,允許它感染機(jī)器,或者處于休眠狀態(tài),等待另一個(gè)感染機(jī)會。在2017年惡意軟件年度回顧報(bào)告中,分析了看到的漏洞利用工具包和有效負(fù)載組合,發(fā)現(xiàn)86%的漏洞利用工具包和85%的有效載荷都采用了規(guī)避技術(shù)。
這些百分比無需簡單地傳遞,認(rèn)為您的端點(diǎn)或電子郵件反病毒解決方案將阻止它們; 這些技術(shù)是根據(jù)防病毒解決方案的弱點(diǎn)專門設(shè)計(jì)的。這意味著壞人知道好人正在做些什么來發(fā)現(xiàn)惡意軟件,并且正在想出新的方法來確保感染而不被發(fā)現(xiàn)。
逃避檢測
如果您不熟悉規(guī)避惡意軟件技術(shù),可以將它們簡化為我們在2017年看到的三種高級方法:
- 內(nèi)存注入——有時(shí)稱為“無文件”惡意軟件,這種攻擊技術(shù)將惡意代碼直接放入內(nèi)存,導(dǎo)致惡意邏輯耗盡其他合法應(yīng)用程序,以混淆惡意軟件的存在。研究報(bào)告中,我們看到這種技術(shù)占48%的時(shí)間。
- 惡意文檔文件——通過PDF,Word文檔等執(zhí)行命令的功能。攻擊者利用這些文件類型,因?yàn)樵谠S多情況下,企業(yè)允許打開他們,并在沒有問題的情況下運(yùn)行內(nèi)部代碼,從而獲得過去的檢測解決方案。我們看到這種技術(shù)占用了28%的時(shí)間。
- 環(huán)境測試——壞人知道好人如何執(zhí)行基于行為的測試(例如,“沙箱”,其中可疑文件打開PDF附件以查看它是否嘗試執(zhí)行惡意操作)。因此,惡意軟件經(jīng)常查詢其環(huán)境可以識別威脅(例如檢測沙箱或安全工具的存在),并保持休眠以避免檢測。
應(yīng)對增長
防病毒大約有三十年歷史,但仍然是端點(diǎn)保護(hù)策略的核心。而且,盡管多年來在檢測方法,更新速度,人工智能的包含以及甚至從世界任何地方的端點(diǎn)上學(xué)習(xí)更新的云源方面都有所改進(jìn),但防病毒仍然是一種反應(yīng)性檢測為重點(diǎn)的手段保護(hù)。
2017年,我們看到了規(guī)避惡意軟件技術(shù)的興起,成為惡意軟件攻擊的主流部分,使得從任何地方進(jìn)行檢測都變得困難到不可能。現(xiàn)在絕大多數(shù)惡意軟件都采用了規(guī)避技術(shù),現(xiàn)在是時(shí)候認(rèn)識到你的安全策略已經(jīng)不再具有前瞻性了。
防病毒在保護(hù)端點(diǎn)方面發(fā)揮著重要作用。但是,通過專門設(shè)計(jì)的解決方案來增強(qiáng)其安全性至關(guān)重要,該解決方案旨在防止惡意軟件繞過基線保護(hù)。通過控制惡意軟件如何感知其環(huán)境使其失效(如果程序具有規(guī)避特征)來實(shí)現(xiàn)此目的。例如,我們的技術(shù)在于惡意軟件無法解壓縮惡意代碼,拒絕訪問PowerShell以避免宏攻擊或模擬每個(gè)端點(diǎn)上安全工具的存在,以說服惡意軟件終止自我保護(hù)。通過將此層添加到現(xiàn)有端點(diǎn)安全策略中,可以縮小傳統(tǒng)防病毒解決方案留下的空白。
