恶意软件是数据泄露的重要载体。研究表明,无论是最初的入侵、在网络中扩展或者是窃取数据,51的数据泄露都使用了恶意软件。然而,尽管恶意软件是关键的攻击矢量,企业却无法抵御在网络中肆意运行的数据窃取恶意软件。事实上,某些规模最大、最广为人知的数据泄露都是由未检测到的恶意软件造成的。
这是为什么呢?现代恶意软件的出现就是为了规避传统的恶意软件防御措施的。当前的恶意软件是复杂的多矢量攻击武器,采用了一系列的规避攻击和伪装技术来规避检测措施。在攻击者和防御者的博弈中,黑客会不断寻找始终领先现有防御系统一步的新方法。这里,我们为各位归纳了5种现代恶意软件常见的规避技术,以及它们是如何战胜传统恶意软件防御措施的。
1. 多态恶意软件
许多传统的恶意软件防御措施可以针对已知的恶意软件特征码进行防御。现代的数据窃取恶意软件可以通过不断的伪装或变形来解决这一点。只需简单地改变代码,攻击者就可以轻松地为文件生成一个全新的二进制特征码。变形的零日恶意软件战胜了杀毒软件、电子邮件过滤、ips/ids和沙盒等基于特征码的防御措施。
2. 无文件恶意软件
许多恶意软件防御工具会通过关注静态文件和操作系统(os)进程来检测恶意活动。然而,越来越多的攻击者采用了只在运行时内存中执行的无文件恶意软件技术,不会在目标主机上留下任何痕迹,因此对基于文件的防御措施是透明的。无文件恶意软件战胜了ips/ids、用户与实体行为分析(ueba)、杀毒软件和沙盒。
3. 加密有效负载
某些恶意软件防御措施采用了内容扫描来拦截敏感数据泄露。攻击者会通过加密被感染主机和命令控制(c&c)服务器之间的信息传送来躲过这一措施。加密有效负载战胜了dlp、终端检测响应(edr)和web安全网关(swg)。
4. 域生成算法(dga)
某些恶意软件防御措施包含已知c&c服务器的地址,可以阻断这些服务器之间的信息传送。然而,具备域生成功能的恶意软件可以通过定期修改c&c地址细节并使用未知地址来解决这个问题。战胜了web安全网关(swg)、终端检测响应(edr)和沙盒。
5. 主机欺诈
伪造头文件信息可以混淆数据的真实目的地,因此可以绕过针对已知c&c服务器地址的防御措施。战胜了web安全网关(swg)、ips/ids和沙盒。
那么,企业要如何应对呢?其实,战胜零日规避式恶意软件并不容易,但企业可以采取下面几个重要措施来严格限制这些恶意软件的影响: