零日惡意軟件創下歷史新高
WatchGuard的最新報告顯示,在2021年第一季度檢測到的威脅中有74%是零日惡意軟件——那些在被利用時無法被基于簽名的防病毒解決方案所檢測的,且不能夠被傳統的殺軟工具查殺的惡意軟件。
“2021年第一季度零日惡意軟件檢測率創下歷史新高。逃避檢測的惡意軟件的比率實際上已經超過了傳統威脅的比率,該動向表明,企業需要讓自己的防御措施領先于日益復雜的威脅行為者的攻擊手段。”WatchGuard的CSO Corey Nachreiner指出。
“僅靠傳統的反惡意軟件解決方案不足以應對當今的威脅環境。每個企業都需要一個多層次、主動的安全策略,包括機器學習和行為分析的技術手段,以檢測和阻止未知的高級威脅。”
無文件惡意軟件變種大受歡迎
XML.JSLoader是一種惡意負載,首次出現就位于惡意軟件檢測數量榜首的位置,也是第一季度通過HTTPS檢查中最常檢測到的變體。
在已識別出的樣本中,發現上述惡意軟件使用XML外部實體 (XXE)攻擊打開shell來運行命令以繞過本地PowerShell執行策略,并以非交互式方式運行,對實際用戶或受害者隱藏,這是無文件惡意軟件日益流行,同時導致市場對高級端點檢測和響應功能需求持續增長的主要因素。
簡單的文件名技巧可幫助黑客通過將勒索軟件加載程序Zmutzy偽裝成合法的PDF附件,是第一季度排名前二的加密惡意軟件變種。典型的是與Nibiru勒索軟件相關聯,受害者通常會以電子郵件的壓縮文件附件或從惡意網站下載的方式遭遇此威脅。運行zip文件會下載一個可執行文件,但在受害者看來,它是一個合法的PDF。
攻擊者使用逗號而不是文件名中的句點和手動調整的圖標將惡意zip文件作為PDF傳遞。這種類型的攻擊凸顯了網絡釣魚教育和培訓的重要性,以及在此類變體引發勒索軟件感染的情況下實施備份解決方案的重要性。
物聯網設備持續受到攻擊
雖然Linux.Ngioweb.B變種沒有進入第一季度的前10名惡意軟件列表,但它最近已被攻擊者用來攻擊物聯網設備,首次是針對運行WordPress的Linux服務器以擴展格式語言(EFL)文件的形式出現。該惡意軟件的另一個版本將物聯網設備變成了一個帶有命令和控制服務器的僵尸網絡。
網絡攻擊激增20%以上
檢測到超過400萬次網絡攻擊,比上一季度增長21%,是2018年以來的最高數量。盡管企業轉向遠程和混合工作模式,但公司服務器和現場資產仍然是攻擊者的高價值目標,因此企業需要維護辦公環境安全,并以用戶為中心進行安全防護。
目錄遍歷攻擊技術卷土重來
在第一季度檢測到一個新的威脅簽名特征,它通過CAB文件進行目錄遍歷攻擊,CAB文件是一種Microsoft設計的存檔格式,用于無損數據壓縮和嵌入式數字證書。
作為前10名網絡攻擊列表中的新成員,利用傳統技術誘使用戶打開惡意CAB文件,或通過欺騙連接網絡的打印機欺騙用戶通過受損的CAB文件安裝打印機驅動程序。
HAFNIUM提供零日惡意威脅的響應策略
上個季度,微軟報告說,攻擊者利用Exchange Server版本中的四個HAFNIUM漏洞來獲得完整的、未經身份驗證的系統遠程代碼執行以及對暴露于Internet的任何未打補丁的服務器的任意文件寫入訪問權限,就像大多數電子郵件服務器一樣。
攻擊者在加密貨幣活動中選擇合法域
第一季度,與加密貨幣挖礦威脅相關的幾個受感染的惡意域被阻止。由于最近加密貨幣市場的價格飆升以及攻擊者可以輕松地從毫無戒心的受害者那里竊取資源,使Cryptominer惡意軟件變得越來越流行。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
