Damballa最新的一份報告指出了由“點擊欺詐”攻擊演化而來的惡意軟件。它是如何運作的?我所知道的是有時候低風險攻擊往往造成更為嚴重的危害,但是我們并沒有人力、物力來調查每一個低級攻擊。是否應該將某些問題優先處理呢?
Nick Lewis:惡意軟件作者視圖尋找任何可以從其惡意代碼中獲取的潛在利益,這其中包括“點擊欺詐”攻擊。這可以追溯到廣告軟件、間諜軟件和惡意軟件,如果一個安全工具發現了惡意軟件文件,很多安全專業人士只是忽略掉或者刪除它而非更進一步的調查。這延伸至可能不需要的程序和其他可執行的軟件。
如果“點擊欺詐”惡意軟件讓攻擊者有利可圖,那么他們會一直使用它。但如果以最小的附加風險能換取更多的利益,攻擊者很樂意更新現有惡意軟件,使用另一種不同的惡意軟件。該惡意軟件具備幾種不同的方式從受感染的終端設備上獲利。正如Damballa報告所述,惡意軟件可快速革新,以規避反惡意軟件工具的檢測,并集成新的更邪惡的功能,諸如勒索軟件。
對于絕大多數機構來說關注調查每個低級攻擊是非常重要的。不過問題是,很難知道是否一個“點擊欺詐”惡意軟件已經包括了勒索軟件或破壞性軟件的功能。企業應當使用基于數據安全要求的風險評估來推行調查低級惡意軟件攻擊的優先性。舉個例子,如果在一個支付卡環境中發現“點擊欺詐”惡意軟件時,則應立即對其進行調查,不過如果當同樣的惡意軟件發生在訪客無線網絡上時則可能無需進行調查。
使用快速更新的防毒工具將有助于減少確定是否需要對低級攻擊進行調查的時間。使用威脅情報服務同樣可以幫助識別變種的惡意軟件,無論它是“點擊欺詐”惡意軟件還是勒索軟件。