非惡意軟件不是說攻擊時真的不需要使用任何文件。而是攻擊者使用被攻擊主機中信任的系統程序或授權的協議來進行的一種惡意攻擊。這種攻擊無需運行任何惡意文件,就能達到攻擊的目的。例如,攻擊者定向發送釣魚郵件,當你打開郵件時,會調用系統可信程序,如PowerShell,執行寫好的攻擊代碼,達到攻擊目的。攻擊的代碼只駐留在內存中,無落地文件,因此殺毒軟件不會有任何響應。杰思安全在實踐中,便遇過許多類似的案例。例如,某省氣象局,便遇到一個利用PowerShell進行挖礦的惡意事件,攻擊者只創建了一個計劃任務,調用PowerShell定期執行挖礦命令,導致業務系統卡頓,而這一切攻擊者沒留下任何可疑文件。
由于非惡意軟件攻擊的強大破壞力和隱蔽性,被越來越多的黑客使用。在2018年全球網絡攻擊中,有超過40%的攻擊者便采用了這種方式。據Malwarebytes發布的報告稱,非惡意軟件攻擊正在迅速飆升,平均每3個感染中就有1個是非惡意軟件攻擊造成的。
面對如此神出鬼沒的攻擊,我們應采取哪些措施?當傳統防御手段失效時,還能利用什么方式來保護企業?如何盡快發現非惡意軟件攻擊的蹤跡?基于大量的成功實踐經驗,杰思認為快速檢測及響應(EDR),是一個有效并可靠的辦法,能彌補傳統安全軟件的不足。用戶可以從評估、監測、響應幾個方面入手。
威脅追蹤關聯分析
有些安全威脅能在用戶網絡中隱匿數月甚至數年。再隱匿的威脅,總會留下蛛絲馬跡,因而需要檢查和追蹤當前與歷史事件進行綜合安全關聯分析。從時間軸維度,對事件發生期間主機內各項變化進行匯總關聯分析,還原事件全貌,找出隱匿威脅。用戶必須使用能夠識別歷史攻擊跡象的工具,如可疑的文件、網絡訪問、注冊表項、用戶登錄、異常命令等。
賬戶監控與資產清點
賬戶監視和管理可以通過提高工作環境的可見性,以檢測和防止未經授權的訪問活動。防止由此導致的數據丟失,允許權限用戶控制數據訪問權,讓用戶實時了解訪問權限是否被不當授予。資產清點顯示網絡上正在運行的計算機,允許用戶有效部署安全體系結構,以確保沒有惡意系統在內網環境運行。幫助安全和IT運營商區分環境中的托管資產、非托管資產和不可管理資產,并采取適當措施提高整體安全性。
異常命令監控
聰明的攻擊者會利用PowerShell、svchost等系統自身進程,執行命令行達到挖礦、操控主機等目的,此類攻擊沒有落地的惡意程序,采用傳統的文件檢測甚至行為檢測的方式無法捕獲任何攻擊信息。可采用記錄windows系統中如cmd、PowerShell等進程執行的命令操作,并根據異常命令規則庫判斷其是否為有威脅的異常命令,并進行阻斷實現防御。
京公網安備 11010502049343號