江苏龙网

  1. 首页 > 资讯 > 科技 > >

FreeBuf|CrowdStrike | 无文件攻击白皮书( 三 )


3)内存型(Memory-only)恶意软件
有些恶意软件只存在于内存中 , 以逃避检测 。 新版本的Duqu蠕虫就是这种情况 , 它只驻留在内存中 , 不会被发现 。 Duqu 2.0有两个版本:第一个是后门 , 它允许攻击者在组织中站稳脚跟 。 如果攻击者认为目标值得攻击 , 他可以使用Duqu 2.0的高级版本 , 该版本提供了诸如侦察、横向移动、数据渗出等附加功能 。 Duqu2.0以成功攻破电信行业的公司以及至少一家知名的安全软件提供商而闻名 。
4)无文件型勒索软件
甚至勒索软件攻击者 , 现在也在使用无文件技术 , 来实现他们的目标 。 在这类勒索软件中 , 恶意代码要么嵌入文档中以使用本机脚本语言(如宏) , 要么使用漏洞直接写入内存 。 然后 , 勒索软件使用合法的管理工具如PowerShell , 来加密人质文件 , 而所有这些都不需要写入磁盘 。
04 为何传统技术无法抵御无文件攻击由于传统安全解决方案极难检测到无文件攻击 , 因此无文件攻击正在增加 。 让我们来看看 , 为什么当今市场上的一些端点保护技术 , 对这些无恶意软件入侵如此脆弱 。
1)传统防病毒(AV)旨在寻找已知恶意软件的特征码 。 由于无文件攻击没有恶意软件 , 所以AV没有可检测的特征码 。
2)基于机器学习(ML)的反恶意软件方法 , 在应对无文件攻击时 , 面临着与传统AV相同的挑战 。 ML动态分析未知文件 , 并将其区分为好的或坏的 。 但是我们已经注意到 , 在无文件攻击中 , 没有要分析的文件 , 因此ML无法提供帮助 。
3)白名单方法包括列出一台机器上所有良好的进程 , 以防止未知进程执行 。 无文件攻击的问题在于 , 它们利用易受攻击的合法白名单应用程序 , 并利用内置的操作系统可执行文件 。 阻止用户和操作系统共同依赖的应用程序 , 并不是一个好的选项 。
4)使用失陷指标(IOC)工具来防止无文件攻击也不是很有效 。 本质上 , IOC类似于传统的AV签名 , 因为它们是攻击者留下的已知恶意制品 。 然而 , 由于它们利用合法的进程 , 并且在内存中操作 , 所以无文件攻击不会留下制品 , 因此IOC工具几乎找不到任何东西 。
5)另一种方法涉及沙箱 , 它可以采取多种形式 , 包括基于网络的爆破和微虚拟化 。 由于无文件攻击不使用PE文件 , 因此沙盒没有什么可爆破的 。 即便真有东西被发送到沙箱 , 因为无文件攻击通常会劫持合法进程 , 大多数沙箱也都会忽略它 。
05 CrowdStrike的解决方案正如我们所看到的 , 如果您依赖基于签名的方法、沙盒、白名单甚至机器学习保护方法 , 那么想检测无文件技术是非常有挑战性的 。
为了抵御秘密的、无文件的攻击 , CrowdStrike独特地将多种方法结合到一个强大的集成式方法中 , 提供了无与伦比的端点保护 。 CrowdStrike Falcon平台通过单个的轻量级代理提供了云原生的下一代端点保护 , 并提供一系列互补的预防和检测方法:
应用程序清单(Application inventory):
可以发现在您的环境中运行的任何应用程序 , 帮助您找到漏洞 , 以便您可以修补或更新它们 , 使之不会成为漏洞利用工具包的目标 。
漏洞利用阻断(Exploit blocking):
通过未修补漏洞的漏洞利用方法 , 来阻断无文件攻击的执行 。
攻击指标(IOA , Indicators of Attack):
在攻击的早期阶段 , 识别并阻止恶意活动 , 以免其完全执行并造成损害 。 此能力还可以防止那些新的勒索软件类别 , 那些勒索软件不使用文件加密受害者系统 。
托管狩猎(Managed hunting):
全天候地主动搜索由于无文件技术而产生的恶意活动 。
06 IOA(攻击指标)的力量IOA之所以引人注目 , 是因为它们提供了针对无文件攻击的独特的主动预防能力 。 IOA寻找攻击可能正在进行的迹象 , 而不是关心攻击的步骤是如何执行的 。 这些迹象可以包括代码执行、试图隐身、横向移动等等 。 如何启动或执行这些步骤对IOAs来说并不重要 。 例如 , 对于IOA来说 , 一个活动是从驱动器上复制的文件启动的 , 还是从无文件技术启动的 , 都无关紧要 。 IOA关注的是所执行的行为、它们之间的关系、它们的顺序、它们的依赖性 , 将它们视为揭示一系列事件背后真实意图和目的的指标 。 IOA不关注攻击者使用的特定工具和恶意软件 。


推荐阅读


上一篇:互联网|进口订单清关破1000万 菜鸟进口物流创新纪录

下一篇:夜色无痕生活分享|微信支付宝明明有密码,超市扫码枪为何能将钱扫走?别说没告诉你