Microsoft最近报告说,他们的高级威胁防护工具能够检测并阻止两个严重混淆的恶意脚本。 这些威胁显然是使用Sharpshooter技术进行的,该技术已记录并发布在2017年一家英国安全公司的博客文章中。
该公司的报告详细说明了难以捉摸的有效载荷-它没有触发防病毒扫描,是使用执行脚本的合法进程加载的,并且在磁盘上也没有留下任何痕迹。 鉴于这些特征,他们将脚本归类为无文件威胁。
典型地,无文件恶意软件设法避免了传统的检测技术,因为它没有将有效载荷传递到受害者的设备上。 相反,它将恶意代码注入正在运行的应用程序的内存中,或者滥用系统或设备上已经存在的合法工具。
对于这些检测到的无文件威胁,攻击分两个无文件阶段进行,涉及难以捉摸的.NET可执行有效载荷,该载荷使用DNS查询下载数据(之前已经完成), 然后用于初始化和解码恶意软件的核心。 核心也是无文件威胁,因为它在内存中执行而无需写入磁盘。
在他们的报告中,他们得出结论,该恶意软件可能是测试活动,而不是实际攻击。 2018年无文件恶意软件的普遍性
恶意软件检测已经并且一直在跟上不断发展的威胁,迫使恶意行为者寻找新的逃避方法和进入途径。 我们在年中的安全摘要中详细介绍了挑战基于文件的检测技术的恶意软件的数量不断增加。 各种类型的应用脱颖而出-小型恶意软件,宏恶意软件,当然还有无文件恶意软件。
无文件恶意软件一年多来一直是安全领域的重大威胁。 在2017年6月,我们看到了具有自我毁灭性的SOREBRECT无文件勒索软件; 在那年下半年,我们报告了Trojan JS_POWMET,它是一种完全无文件的恶意软件。 我们还注意到涉及这些类型的恶意软件的安全事件有所增加。
从年初到2018年6月,趋势科技产品阻止的事件增加了56%。
图1。无文件事件在2018年上半年被阻止
最近在2018年7月发生的事件表明,恶意软件作者继续采用无文件技术进行创新。 有报道称,针对企业系统的名为PowerGhost的无文件加密货币挖掘恶意软件。 该恶意软件利用了合法的软件工具PowerShell和EternalBlue漏洞,可以在不同组织的设备和服务器之间传播未被检测到的病毒。
包含问题
大多数威胁是多方面的,并且线索超出文件范围—来自其传递机制的电子邮件或链接,来自服务器的有效负载的证据,网络或系统日志中的行为线索 。 根据Microsoft的说法,Sharpshooter技术一经公开,他们便知道该技术将被滥用并用于攻击。 为了检测无文件威胁,他们使用了多层方法及其反恶意软件扫描接口(AMSI),行为监控和引导扇区保护。
它表明企业需要使用跨代安全解决方案来应对无文件威胁,并在整个网络中采用集成的保护层。 趋势科技云安全智能防护套件可提供多种功能,例如高保真机器学习,Web信誉服务,行为监控和应用程序控制以及漏洞屏蔽,以最大程度地减少此威胁的影响。 趋势科技端点传感器还将有效监视事件,因为该产品将帮助快速检查哪些进程或事件正在触发恶意活动。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢