扒一扒惡意病毒和勒索軟件最易藏身的地方
2019年01月04日
近來(lái),高級(jí)持續(xù)性威脅(APT)����、勒索病毒和其他復(fù)雜犯罪的激增,表明隱藏良好的病毒絕對(duì)是值得警惕的���。 最新的安全威脅的特征是它們能夠在公司的網(wǎng)絡(luò)上長(zhǎng)時(shí)間保持不被發(fā)現(xiàn)����,在某些情況下�,罪犯一直都沒(méi)有被注意到。 IT專業(yè)人員需要為新一代的惡意軟件和勒索軟件的攻擊做準(zhǔn)備��,這些軟件很不起眼���,但很危險(xiǎn)�����。
接下來(lái)��,就讓我們一起回顧APT��、勒索軟件和其他復(fù)雜的惡意軟件可以隱藏在您網(wǎng)絡(luò)中的位置�����,以及如何保護(hù)您的組織�����。
1.關(guān)鍵系統(tǒng)文件
高度復(fù)雜的惡意軟件可以隱藏的最危險(xiǎn)和無(wú)害的地方之一是你的關(guān)鍵系統(tǒng)文件�。傳統(tǒng)上�,可以通過(guò)數(shù)字簽名的方式用于替換或修改現(xiàn)有關(guān)鍵系統(tǒng)文件,許多惡意軟件文件由在已簽名文件的屬性可認(rèn)證字段(ACT)中可見(jiàn)的外部簽名或元數(shù)據(jù)來(lái)區(qū)分����。 最近有國(guó)外的安全研究人員發(fā)現(xiàn)簽名不再是萬(wàn)無(wú)一失的。現(xiàn)在���,網(wǎng)絡(luò)犯罪分子已經(jīng)發(fā)現(xiàn)如何在不修改ACT的情況下通過(guò)將惡意軟件隱藏在簽名文件中來(lái)完成“文件速記”��。 雖然高度復(fù)雜的網(wǎng)絡(luò)罪犯使用的文件速記技術(shù)可以繞過(guò)大多數(shù)傳統(tǒng)的檢測(cè)方法�����,但仍有一些痕跡��。使用除了特征碼改變之外還能夠檢測(cè)文件大小或內(nèi)容的變化的技術(shù)����,可以檢測(cè)這些負(fù)面的變化。
2.注冊(cè)表
一些惡意軟件會(huì)修改Windows注冊(cè)表鍵����,以便在“自動(dòng)運(yùn)行”之間建立位置,或者確保每次啟動(dòng)操作系統(tǒng)時(shí)都啟動(dòng)惡意軟件�。InfoWorld的Roger A.Grimes在2015年寫(xiě)道,現(xiàn)在絕大多數(shù)惡意軟件修改注冊(cè)表密鑰����,作為確保長(zhǎng)期駐留于網(wǎng)絡(luò)中的一種模式。手動(dòng)檢查Windows注冊(cè)表項(xiàng)以檢測(cè)異常是一項(xiàng)艱巨的任務(wù)�����。理論上需要將日志文件與成千上萬(wàn)的自動(dòng)運(yùn)行設(shè)置進(jìn)行比較����。雖然存在一些可能的捷徑��,但是通常使用文件完整性監(jiān)視解決方案最有效地確定對(duì)注冊(cè)表鍵的修改�。
3.臨時(shí)文件夾
操作系統(tǒng)包含一組臨時(shí)文件夾�����,其范圍從Internet緩存到應(yīng)用程序數(shù)據(jù)���。這些文件是操作系統(tǒng)的固有部分���,允許系統(tǒng)處理和壓縮信息以支持用戶體驗(yàn)�����。本質(zhì)上����,這些臨時(shí)文件夾通常是缺省可寫(xiě)的,以便所有用戶能夠進(jìn)行互聯(lián)網(wǎng)瀏覽���、創(chuàng)建Excel電子表格和其他常見(jiàn)活動(dòng)���。 由于這些臨時(shí)文件夾固有的松散安全性���,一旦罪犯通過(guò)網(wǎng)絡(luò)釣魚(yú)、rootkit漏洞或其他方法進(jìn)入您的系統(tǒng)��,它就成為惡意軟件和贖金軟件的常見(jiàn)著陸點(diǎn)�����。隨機(jī)軟件和惡意軟件可以使用臨時(shí)文件夾作為啟動(dòng)臺(tái)����,以便立即執(zhí)行,或通過(guò)權(quán)限提升和其他模式���,在公司的網(wǎng)絡(luò)內(nèi)建立各種其他據(jù)點(diǎn)�。
4.LNK文件
也被稱為“快捷方式”�����,可能包含到惡意軟件或充斥贖金軟件網(wǎng)站的直接路徑���,或者更危險(xiǎn)的可執(zhí)行文件�。很可能,您的員工在桌面上有很多這樣的途徑����,以便于使用常訪問(wèn)的Web應(yīng)用程序和其他工具。 惡意軟件和贖金軟件都可以通過(guò)巧妙偽裝的.lnk文件下載后在系統(tǒng)中獲得支持���,該文件可能類(lèi)似于現(xiàn)有的快捷方式����,甚至無(wú)害的PDF文檔���。不幸的是����,由于文件的LNK方面沒(méi)有明顯顯示�����,很多用戶無(wú)法區(qū)分����。
5.Word文件
即使是比較低級(jí)的垃圾郵件過(guò)濾器也有足夠的智慧來(lái)識(shí)別.exe文件可能是惡意的�。然而,很多網(wǎng)絡(luò)犯罪分子已經(jīng)意識(shí)到了這種做法,并且正在利用Microsoft Office VBA在Word文檔宏中插入贖金代碼���。這種特殊風(fēng)格的“鎖定贖金軟件”立即輸入臨時(shí)文件���,并執(zhí)行對(duì)數(shù)據(jù)和贖金軟件需求的鎖定。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全�����、運(yùn)維平臺(tái)建設(shè)����、動(dòng)漫設(shè)計(jì)、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型�����,從“人員素養(yǎng)”�����、“制度流程”���、“技術(shù)產(chǎn)品”三個(gè)視角提供全面���、可信的方案��,業(yè)務(wù)涵蓋咨詢��、評(píng)估�����、規(guī)劃��、管控�、建設(shè)����、培訓(xùn)等。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商����。
