惡意軟件是數(shù)據(jù)泄露的重要載體。研究表明，無論是最初的危害、在網(wǎng)絡(luò)中擴(kuò)展或者是竊取數(shù)據(jù)，51%的數(shù)據(jù)泄露都使用了惡意軟件。然而，盡管惡意軟件是關(guān)鍵的危害矢量，企業(yè)卻無法抵御在網(wǎng)絡(luò)中肆意運(yùn)行的數(shù)據(jù)竊取惡意軟件。事實(shí)上，某些規(guī)模很大、最廣為人知的數(shù)據(jù)泄露都是由未檢測到的惡意軟件造成的。

這是為什么呢?現(xiàn)代惡意軟件的出現(xiàn)就是為了規(guī)避傳統(tǒng)的惡意軟件防御措施的。當(dāng)前的惡意軟件是復(fù)雜的多矢量危害武器，采用了一系列的規(guī)避危害和偽裝技術(shù)來規(guī)避檢測措施。在破壞者和防御者的博弈中，黑客會不斷尋找始終領(lǐng)先現(xiàn)有防御系統(tǒng)一步的新方法。這里，我們?yōu)楦魑粴w納了5種現(xiàn)代惡意軟件常見的規(guī)避技術(shù)，以及它們是如何戰(zhàn)勝傳統(tǒng)惡意軟件防御措施的。

1. 多態(tài)惡意軟件

許多傳統(tǒng)的惡意軟件防御措施可以針對已知的惡意軟件特征碼進(jìn)行防御。現(xiàn)代的數(shù)據(jù)竊取惡意軟件可以通過不斷的偽裝或變形來解決這一點(diǎn)。只需簡單地改變代碼，破壞者就可以輕松地為文件生成一個(gè)全新的二進(jìn)制特征碼。變形的零日惡意軟件戰(zhàn)勝了殺毒軟件、電子郵件過濾、IPS/IDS和沙盒等基于特征碼的防御措施。

2. 無文件惡意軟件

許多惡意軟件防御工具會通過關(guān)注靜態(tài)文件和操作系統(tǒng)(OS)進(jìn)程來檢測惡意活動。然而，越來越多的破壞者采用了只在運(yùn)行時(shí)內(nèi)存中執(zhí)行的無文件惡意軟件技術(shù)，不會在目標(biāo)主機(jī)上留下任何痕跡，因此對基于文件的防御措施是透明的。無文件惡意軟件戰(zhàn)勝了IPS/IDS、用戶與實(shí)體行為分析(UEBA)、殺毒軟件和沙盒。

3. 加密有效負(fù)載

某些惡意軟件防御措施采用了內(nèi)容掃描來攔截敏感數(shù)據(jù)泄露。破壞者會通過加密被感染主機(jī)和命令控制(C&C)服務(wù)器之間的信息傳送來躲過這一措施。加密有效負(fù)載戰(zhàn)勝了DLP、終端檢測響應(yīng)(EDR)和Web安全網(wǎng)關(guān)(SWG)。

4. 域生成算法(DGA)

某些惡意軟件防御措施包含已知C&C服務(wù)器的地址，可以阻斷這些服務(wù)器之間的信息傳送。然而，具備域生成功能的惡意軟件可以通過定期修改C&C地址細(xì)節(jié)并使用未知地址來解決這個(gè)問題。戰(zhàn)勝了Web安全網(wǎng)關(guān)(SWG)、終端檢測響應(yīng)(EDR)和沙盒。

5. 主機(jī)欺詐

偽造頭文件信息可以混淆數(shù)據(jù)的真實(shí)目的地，因此可以繞過針對已知C&C服務(wù)器地址的防御措施。戰(zhàn)勝了Web安全網(wǎng)關(guān)(SWG)、IPS/IDS和沙盒。

那么，企業(yè)要如何應(yīng)對呢?其實(shí)，戰(zhàn)勝零日規(guī)避式惡意軟件并不容易，但企業(yè)可以采取下面幾個(gè)重要措施來嚴(yán)格限制這些惡意軟件的影響：

• 采用多層防御措施：保護(hù)企業(yè)防御規(guī)避式惡意軟件并不是一件一勞永逸的事情。相反，這是一項(xiàng)持續(xù)的工作，需要將端點(diǎn)防御(例如殺毒軟件)和防火墻、Web安全網(wǎng)關(guān)等網(wǎng)絡(luò)層防護(hù)措施結(jié)合起來。只有多層防護(hù)措施才能實(shí)現(xiàn)完全的安全覆蓋。
• 關(guān)注零日惡意軟件：在目前常見的惡意軟件中，零日惡意軟件占了50%。現(xiàn)有的惡意軟件防御措施通常都無法檢測到零日惡意軟件，這是造成數(shù)據(jù)丟失的主要原因。因此，企業(yè)亟需能夠明確識別并檢測到零日惡意軟件的惡意軟件防御機(jī)制。
• 進(jìn)行流量分析：數(shù)據(jù)竊取惡意軟件破壞以整個(gè)網(wǎng)絡(luò)為目標(biāo)，竊取敏感數(shù)據(jù)。盡管感染可能來自用戶端點(diǎn)，但破壞者通常會將其擴(kuò)展到網(wǎng)絡(luò)資源中。因此，惡意軟件防御解決方案不僅要關(guān)注網(wǎng)絡(luò)中的某個(gè)區(qū)域或資源類型，還要全盤考慮整個(gè)網(wǎng)絡(luò)，并分析正在發(fā)生的破壞事件。
• 利用大數(shù)據(jù)：檢測零日惡意軟件的一個(gè)關(guān)鍵因素就是能夠從長期積累的海量信息中采集數(shù)據(jù)。這就使得防御者可以檢測全球范圍內(nèi)的惡意軟件活動，并將看似無關(guān)的活動關(guān)聯(lián)起來，追蹤惡意軟件的發(fā)展和演變。