網(wǎng)絡犯罪分子使用規(guī)避技術來逃避偵查，尤其是在腳本的上下文中，這種技術尤其普遍，因為腳本本身具有合法的用途(例如，在計算機系統(tǒng)上自動化進程)。不幸的是，腳本也可以用于惡意目的，惡意腳本不太可能被一般的反惡意軟件解決方案檢測或阻止。這就是為什么網(wǎng)絡犯罪分子比以往任何時候都更多地轉向基于腳本的攻擊和其他規(guī)避性惡意軟件(如Emotet)。

[[341107]]

雖然Emotet是使用腳本作為其規(guī)避策略一部分的威脅的一個例子，但組織需要了解許多其他類型的基于腳本的規(guī)避技術，以確保其系統(tǒng)的安全。

生活在陸地上的二進制文件(“LoLBins”)是Windows系統(tǒng)中已經(jīng)存在的默認應用程序，網(wǎng)絡犯罪分子可能會濫用這些程序來執(zhí)行常見的攻擊步驟，而無需將其他工具下載到目標系統(tǒng)上。例如，罪犯可以使用LoLBins創(chuàng)建重啟后的持久性，訪問聯(lián)網(wǎng)設備，繞過用戶訪問控制，甚至提取密碼和其他敏感信息。

在Windows操作系統(tǒng)中有許多本機的棒棒糖可以被罪犯使用，例如。，父進程, certutil.exe、regsvr32.exe等。這是網(wǎng)絡犯罪分子掩飾其活動的方式之一，因為默認操作系統(tǒng)應用程序不太可能被反惡意軟件解決方案標記或阻止。除非您對這些進程正在執(zhí)行的確切命令有很強的可見性，否則很難檢測來自LoLBins的惡意行為。

腳本內容模糊處理

內容“混淆”隱藏了腳本的真實行為。雖然混淆也有合法的目的，但在規(guī)避攻擊的上下文中，混淆使分析腳本的真實性質變得困難。屏幕截圖顯示了一個模糊處理代碼的示例(頂部)，以及其去模糊處理的版本(底部)。

無文件和逃避執(zhí)行

使用腳本，可以在不需要文件的情況下在系統(tǒng)上執(zhí)行操作。可以編寫一個腳本來分配系統(tǒng)上的內存，然后將外殼代碼寫入該內存并將控制權傳遞給該內存。這意味著惡意功能在沒有文件的情況下在內存中執(zhí)行，這使得檢測感染源并阻止感染變得極其困難。

但是，對于無文件執(zhí)行，當計算機重新啟動時，內存會被清除。這意味著無文件感染的執(zhí)行可以通過重啟系統(tǒng)來停止。

不出所料，網(wǎng)絡犯罪分子總是在研究新的方法來確保持久性，即使是在使用無文件威脅的情況下。一些示例包括在計劃任務、LNK文件和Windows注冊表中存儲腳本。

如何保護自己

好消息是，windows10操作系統(tǒng)現(xiàn)在包含了微軟的反惡意軟件掃描接口(AMSI)，以幫助打擊日益增長的惡意和模糊腳本的使用。這意味著，要確保組織的安全，首先要做的事情之一就是確保所有Windows設備都使用最新的操作系統(tǒng)版本。

此外，還有其他幾個步驟可以幫助確保有效和有彈性的網(wǎng)絡安全戰(zhàn)略：

• 使所有應用程序保持最新–過時的軟件可能包含罪犯希望利用的漏洞。定期檢查所有Windows和第三方應用程序的更新，以降低風險
• 禁用宏和腳本解釋器-雖然宏有合法的應用程序，但大多數(shù)家庭或企業(yè)用戶不太可能需要它們。如果您或其他員工下載的文件指示您啟用宏來查看該文件，請不要這樣做。這是另一種常見的逃避策略，網(wǎng)絡犯罪分子使用這種策略將惡意軟件帶入您的系統(tǒng)。IT管理員應確保宏和腳本解釋器完全禁用，以幫助防止基于腳本的攻擊
• 刪除未使用的第三方應用程序–Python和Java等應用程序通常是不必要的。如果存在未使用過的，只需將其移除，以幫助彌補一些潛在的安全漏洞
• 教育最終用戶——網(wǎng)絡罪犯專門設計攻擊，利用最終用戶的信任、天真、恐懼和普遍缺乏技術或安全專業(yè)知識。教育最終用戶了解網(wǎng)絡攻擊的風險、如何避免攻擊、何時以及如何向IT人員報告，可以極大地改善企業(yè)的整體安全態(tài)勢及其網(wǎng)絡彈性
• 使用端點安全性，該安全性提供多層保護，防止受到威脅，包括基于文件、無文件、模糊處理和加密的威脅。

盡管黑客不斷創(chuàng)新和創(chuàng)新使得逃避戰(zhàn)術變得普遍，但了解其戰(zhàn)術運作的框架，網(wǎng)絡安全和IT專業(yè)人士可以設計更有效的防御措施，以抵御最頑固的攻擊者。再加上專注于整體網(wǎng)絡、端點和用戶保護以及客戶數(shù)據(jù)恢復的網(wǎng)絡彈性文化，企業(yè)可以從任何威脅中恢復過來。