您能告訴我更多關(guān)于The Mask的信息嗎?這個被有些人吹捧為“世界上最先進(jìn)的惡意軟件”到底是怎樣的?對于一般企業(yè)來說,這種惡意軟件的威脅到底有多大,什么樣的防御會有效呢?
Nick Lewis:The Mask(又名Careto)目前可能是公開已知的惡意軟件中最先進(jìn)的一種,但是它無疑會被未來出現(xiàn)的惡意軟件所超越。然而,The Mask的確成功整合了多種前沿的攻擊技術(shù)。與此同時,The Mask似乎還應(yīng)用了一些非常好的編程,例如它在設(shè)計中結(jié)合了模塊化發(fā)展,允許模塊被更新,還可以在它已滲透的系統(tǒng)中部署新的模塊,這可以很好地幫助隱藏惡意軟件。一旦惡意軟件開發(fā)人員知道反惡意軟件工具檢測到某些特定組件,他們就可以部署一個升級版的模塊來替代被偵測到的模塊。The Mask還可以在被入侵系統(tǒng)中使反惡意軟件失效,通過阻止反惡意軟件掃描惡意文件或直接在入侵系統(tǒng)中禁止反惡意軟件工具運(yùn)行。
對于大多數(shù)企業(yè)來說,好消息是The Mask是具有針對性的攻擊,目前似乎受害企業(yè)不到400個,感染的IP地址不到1000個。目前受感染的企業(yè)具體名稱還沒有公布,而受感染的國家和行業(yè)名稱已經(jīng)公布了。同時,The Mask還用一些舊的惡意軟件來攻擊系統(tǒng),所以在終端運(yùn)行最新版本的反惡意軟件工具可能可以潛在地阻止攻擊。
一項(xiàng)研究得出了一些判斷系統(tǒng)被The Mask入侵的暗示,這些暗示包括可以用來檢測你的系統(tǒng)是否被惡意軟件感染的特定的IP地址、域名系統(tǒng)名稱和文件名稱。看起來The Mask似乎試圖通過在終端尋找文件類型來收集敏感數(shù)據(jù),所以監(jiān)控本地系統(tǒng)時以更多的可疑文件系統(tǒng)活動作為監(jiān)控基礎(chǔ),使用更完整的文件監(jiān)控,也能得到一些可以用來進(jìn)行調(diào)查的有用信息。
京公網(wǎng)安備 11010502049343號