|
盤點惡意病毒的藏身之處�����,不起眼但是危害大���!
近來��,高級持續(xù)性威脅(APT)����、勒索病毒和其他復雜犯罪的激增�����,表明隱藏良好的病毒絕對是值得警惕的�����。 最新的安全威脅的特征是它們能夠在公司的網(wǎng)絡上長時間保持不被發(fā)現(xiàn)�����,在某些情況下���,罪犯一直都沒有被注意到���。 IT專業(yè)人員需要為新一代的惡意軟件和APT的攻擊做準備,這些軟件很不起眼���,但很危險��。
接下來���,就讓我們一起回顧APT��、勒索軟件和其他復雜的惡意軟件可以隱藏在您網(wǎng)絡中的位置�,以及如何保護您的組織����。1. 關鍵系統(tǒng)文件
高度復雜的惡意軟件可以隱藏的最危險和無害的地方之一是你的關鍵系統(tǒng)文件。傳統(tǒng)上�����,可以通過數(shù)字簽名的方式用于替換或修改現(xiàn)有關鍵系統(tǒng)文件���,許多惡意軟件文件由在已簽名文件的屬性可認證字段(ACT)中可見的外部簽名或元數(shù)據(jù)來區(qū)分����。 最近有國外的安全研究人員發(fā)現(xiàn)簽名不再是萬無一失的����。
現(xiàn)在�����,網(wǎng)絡犯罪分子已經(jīng)發(fā)現(xiàn)如何在不修改ACT的情況下通過將惡意軟件隱藏在簽名文件中來完成“文件速記”。 雖然高度復雜的網(wǎng)絡罪犯使用的文件速記技術可以繞過大多數(shù)傳統(tǒng)的檢測方法���,但仍有一些痕跡����。使用除了特征碼改變之外還能夠檢測文件大小或內(nèi)容的變化的技術����,可以檢測這些負面的變化。
2. 注冊表
一些惡意軟件會修改Windows注冊表鍵����,以便在“自動運行”之間建立位置,或者確保每次啟動操作系統(tǒng)時都啟動惡意軟件��。InfoWorld的Roger A.Grimes在2015年寫道��,現(xiàn)在絕大多數(shù)惡意軟件修改注冊表密鑰�,作為確保長期駐留于網(wǎng)絡中的一種模式。手動檢查Windows注冊表項以檢測異常是一項艱巨的任務�。理論上需要將日志文件與成千上萬的自動運行設置進行比較。雖然存在一些可能的捷徑,但是通常使用文件完整性監(jiān)視解決方案最有效地確定對注冊表鍵的修改����。
3. 臨時文件夾
操作系統(tǒng)包含一組臨時文件夾,其范圍從Internet緩存到應用程序數(shù)據(jù)����。這些文件是操作系統(tǒng)的固有部分,允許系統(tǒng)處理和壓縮信息以支持用戶體驗��。本質(zhì)上����,這些臨時文件夾通常是缺省可寫的,以便所有用戶能夠進行互聯(lián)網(wǎng)瀏覽�、創(chuàng)建Excel電子表格和其他常見活動。 由于這些臨時文件夾固有的松散安全性�����,一旦罪犯通過網(wǎng)絡釣魚���、rootkit漏洞或其他方法進入您的系統(tǒng)�����,它就成為惡意軟件和贖金軟件的常見著陸點�。隨機軟件和惡意軟件可以使用臨時文件夾作為啟動臺�,以便立即執(zhí)行,或通過權限提升和其他模式�����,在公司的網(wǎng)絡內(nèi)建立各種其他據(jù)點��。
4. LNK文件
也被稱為“快捷方式”�,可能包含到惡意軟件或充斥贖金軟件網(wǎng)站的直接路徑,或者更危險的可執(zhí)行文件���。很可能���,您的員工在桌面上有很多這樣的途徑,以便于使用常訪問的Web應用程序和其他工具�。 惡意軟件和贖金軟件都可以通過巧妙偽裝的.lnk文件下載后在系統(tǒng)中獲得支持,該文件可能類似于現(xiàn)有的快捷方式���,甚至無害的PDF文檔��。不幸的是���,由于文件的LNK方面沒有明顯顯示���,很多用戶無法區(qū)分。
5. Word文件
即使是比較低級的垃圾郵件過濾器也有足夠的智慧來識別.exe文件可能是惡意的����。然而,很多網(wǎng)絡犯罪分子已經(jīng)意識到了這種做法����,并且正在利用Microsoft Office VBA在Word文檔宏中插入贖金代碼。這種特殊風格的“鎖定贖金軟件”立即輸入臨時文件�,并執(zhí)行對數(shù)據(jù)和贖金軟件需求的鎖定。
|
