規避惡意軟體的熱潮
在我們這個行業歷史上,幾乎每一個IT專業人員都非常清楚,有必要制定一個安全策略,這種策略不僅可以防範當前的威脅,也能防範未來的IT組織一樣,在攻擊方法中的“下一件大事”到來時,確保他們做好準備。
多年來,安全供應商一直在尋求阻止惡意軟體,從純粹基於簽名的檢測,到機器學習,再到利用雲技術為許多終端提供有關惡意軟體的最新更新。所有這些進步都改善了企業的安全立場,但網路犯罪組織已經也取得了自己的進展。
業界發現使用至少一種規避技術的惡意軟體變種數量有所增加,這些技術專注於確保惡意軟體本身逃避檢測,允許它感染機器,或者處於休眠狀態,等待另一個感染機會。在2017年惡意軟體年度回顧報告中,分析了看到的漏洞利用工具包和有效負載組合,發現86%的漏洞利用工具包和85%的有效載荷都採用了規避技術。
這些百分比無需簡單地傳遞,認為您的端點或電子郵件反病毒解決方案將阻止它們; 這些技術是根據防病毒解決方案的弱點專門設計的。這意味著壞人知道好人正在做些什麼來發現惡意軟體,並且正在想出新的方法來確保感染而不被發現。
逃避檢測
如果您不熟悉規避惡意軟體技術,可以將它們簡化為我們在2017年看到的三種高階方法:
- 記憶體注入——有時稱為“無檔案”惡意軟體,這種攻擊技術將惡意程式碼直接放入記憶體,導致惡意邏輯耗盡其他合法應用程式,以混淆惡意軟體的存在。研究報告中,我們看到這種技術佔48%的時間。
- 惡意文件檔案——通過PDF,Word文件等執行命令的功能。攻擊者利用這些檔案型別,因為在許多情況下,企業允許開啟他們,並在沒有問題的情況下執行內部程式碼,從而獲得過去的檢測解決方案。我們看到這種技術佔用了28%的時間。
- 環境測試——壞人知道好人如何執行基於行為的測試(例如,“沙箱”,其中可疑檔案開啟PDF附件以檢視它是否嘗試執行惡意操作)。因此,惡意軟體經常查詢其環境可以識別威脅(例如檢測沙箱或安全工具的存在),並保持休眠以避免檢測。
應對增長
防病毒大約有三十年曆史,但仍然是端點保護策略的核心。而且,儘管多年來在檢測方法,更新速度,人工智慧的包含以及甚至從世界任何地方的端點上學習更新的雲源方面都有所改進,但防病毒仍然是一種反應性檢測為重點的手段保護。
2017年,我們看到了規避惡意軟體技術的興起,成為惡意軟體攻擊的主流部分,使得從任何地方進行檢測都變得困難到不可能。現在絕大多數惡意軟體都採用了規避技術,現在是時候認識到你的安全策略已經不再具有前瞻性了。
防病毒在保護端點方面發揮著重要作用。但是,通過專門設計的解決方案來增強其安全性至關重要,該解決方案旨在防止惡意軟體繞過基線保護。通過控制惡意軟體如何感知其環境使其失效(如果程式具有規避特徵)來實現此目的。例如,我們的技術在於惡意軟體無法解壓縮惡意程式碼,拒絕訪問Shell/">PowerShell以避免巨集攻擊或模擬每個端點上安全工具的存在,以說服惡意軟體終止自我保護。通過將此層新增到現有端點安全策略中,可以縮小傳統防病毒解決方案留下的空白。